笔记;最初发布于网络工程 我有一个运行 Ubuntu 的盒子,并连接到另一个运行软件的盒子,该软件只是更改 VLAN 和 ifc。
Ubuntu -- (vlan 100 on ifc1 say eth1)------- Box
-- (vlan 200 on ifc2 say eth2)-------
2 VLAN say 100 and 200 (vlan100, vlan200 in interface ifc1 and ifc2).
Note:
vlan100 is configured with IP 192.168.1.1
vlan200 is configured with IP 192.168.1.2
另一侧我连接了一个设备,该设备只是将 ifc1 和 ifc2 上接收的数据包中的交换 VLAN 从 100 更改为 200,反之亦然。此外,该设备将 ifc1 上接收的数据包发送到 ifc2,反之亦然。
我看到当我 ping 时,ARP 请求从 ifc1 发出并在 ifc2 上接收,并且 vlan200 接口获取 ARP 请求,但该接口没有响应 arp 响应。
我的问题是: 是否可以在同一个网络中的同一个盒子上的两个相同的 VLAN 之间进行 ping 操作?
答案1
通常不会。VLAN 是一种在第 2 层隔离网络的技术。IP 地址是第 3 层,这意味着在处理第 2 层分离时不会考虑它们。ARP 在 mac 地址级别广播,这意味着网络上的任何网卡都可以接收它。有关更多详细信息,请参阅:
答案2
不是,因为是同一个网络。一般来说,你应该避免在同一个地址空间中有两个 VLAN。一般来说,这会增加管理负担并阻碍 VLAN 间路由。
逻辑是您的默认网关(可能是路由器)将检查子网掩码,并决定将数据包发送到何处,但是当 VLAN100 上的计算机尝试 ping 时,它将检测到同一子网上的 IP,因为它属于同一范围,并将尝试在交换机上进行广播发现以了解谁是 192.168.1.2(ARP),数据包永远不会发送到路由器。
一般情况下,您应避免让两台主机使用相同的 IP 地址。有两种方法可以使用来宾 LAN 或 VSWITCH 支持此配置:
IP 层网络 OSA-Express IP 层实现通过 VLAN 标记隔离特定网络帧,但不通过 VLAN 组隔离 IP 地址注册。因此,您必须使用两个不同的 OSA 卡创建两个来宾 LAN 段或两个 VSWITCH 段,以允许两个不同的主机注册相同的 IP 地址。两个来宾 LAN 段将自动隔离(除非部署了虚拟路由器),如果外部交换机硬件为每个物理 OSA 连接配置唯一的 VID 集,则两个 VSWITCH 段将被隔离。
链路层网络 (layer2) OSA-Express 第 2 层实现允许主机管理 IP 地址和 ARP 缓存,因此可以有一个单独的客户 LAN 段 (或 VSWITCH 段),其中两个不同的主机在不同的 VLAN 组上使用相同的 IP 地址。必须使用 ETHERNET 选项 (而不是默认的 IP 层选项) 定义网络,并且必须将虚拟主机配置为使用 layer2 (而不是默认)。给定 VLAN 组的 ARP 流量仅对该 VLAN 组的授权成员可见。但请注意,为了支持此配置,任何主机都不能是分配给对方的 VLAN 组的成员。此外,必须配置广播域中的所有交换机和路由器,以避免将网络帧从一个 VLAN 转发到另一个 VLAN。