我正在探索IP子网和VLAN之间的备用多重性,超出推荐的1对1实现 . 我的理解如下:
多个子网到单个VLAN(通过交换机连接):
- 跨两个子网的主机将接收第2层广播(例如ARP),但会忽略缺少以其为目标的IP的流量 .
问题:如果我可以在帧头中手动插入目标MAC地址,是否可以在没有第3层设备的情况下跨子网进行通信?我的理解是第2层交换机不知道不同的子网,并假设它知道目的MAC地址的位置,将转发数据包的方向 . 看到其IP和MAC地址的目标PC将接受该数据包,从而有效地让它跨越子网而不会被路由 .
跨多个VLAN的单个子网:
- 广播流量将与各个VLAN隔离 . 这会破坏ARP,因为主机定位于同一子网中的另一台机器(但在另一个VLAN中不知不觉)将发出永远不会响应的ARP请求 .
这将有效地为每个VLAN创建单独的,相同的地址池,尽管我对此配置的优缺点有点不确定 .
我们为什么要这样做?
2 回答
这实际上是它在现代DC中的用例 . 不是你建议的方式(没有L3设备),而是VEPA开关 .
跨多个VLAN的单个子网,也称为透明子网网关(RFC 1027),是一种过时的方法 . 它使用Proxy ARP,但代理ARP有它自己的一组问题 .
您需要更换MAC地址,并需要在整个帧上重新计算FCS,否则交换机会将其拒绝为损坏的帧 . 这必须在您的以太网驱动程序执行此操作后发生 .
同一子网中的主机无法相互通信 . 大多数路由器不允许您将同一网络分配给多个接口,除非它们是桥接接口,在这种情况下,除了长时间发送流量之外,您还没有完成任何工作 .
某些交换机具有类似的功能,称为专用VLAN,其中主机只能与网关通信 . 这是在某些情况下使用的安全功能 .