交換機划分VLAN后同一VLAN間可以互相訪問,不同VLAN間無法訪問,那么如何實現不同VLAN之間進行互相訪問呢?實際網絡工程應用中,每個VLAN都分配一個網段,並且園區網中一個樓層一個段或者企業網中,一個部門一個段,按網段來隔離廣播域辨識度較高,簡化網絡管理,便於網絡維護。那如果跨部門跨網段/VLAN相互訪問,則需要通過三層數據包轉發的方式進行相互訪問。
三層數據包跨VLAN轉發原理可以看一下單臂路由這一節概念,其實這里涉及到一個重要的概念網關
這里需要注意的是二層交換機是不具備三層(網絡層)功能的,只能工作在數據鏈路層,所以只具備根據MAC地址轉發數據幀,無法轉發網絡數據包。
如果需要轉發網絡數據包,只能依靠路由器,或者具有網絡層數據包轉發模塊的三層交換機。
跨VLAN轉發的原理如下:
首先同一VLAN中兩台PC相互訪問,是在同一廣播域中,只需要通過交換機根據MAC地址表來轉數據幀,幀中含有上層應用協議信息(含IP數據包)
這個實驗在前一篇【相同vlan可互訪,不同vlan無法相互訪問】已經實現了
兩台PC各自並維護對方的arp表項信息
那如果要讓上圖的技術部PC能夠訪問財務部PC,則需要三層互訪也就是IP地址轉發,需要更高一層的應用協議去尋址,也是就是網絡層協議,但前提是需要有設備支持這個協議,那就需要路由器或者三層交換機
企業網一般用三層交換機作為局域網核心網絡設備,可以看下如下三層網絡拓撲
可以看到當核心交換機作為網關后,核心交換機內部的arp表項中MAC地址及對應的IP地址 ,很明顯每個部門的PC都包含了,這就通過三層是實現了數據交換,總結起來如下:
不同網段實現互通,首先進行二層數據轉發,更具以太網協議進行MAC地址尋址,當未發現目的地址在所屬的二層范圍內,則通過三層IP網關尋址,最終通過三層網關實現數據交換,進行相互訪問