傳統(tǒng)三層架構(gòu)

查看本文前，請(qǐng)務(wù)必看完華為對(duì)VLAN的詳細(xì)解釋：
https://info.support.huawei.com/info-finder/encyclopedia/zh/VLAN.html

一、同一網(wǎng)段，不同VLAN通訊
下圖兩臺(tái)PC是否可以通訊？
SW1所有接口都為access VLAN10，SW2所有接口都為access VLAN20.

答案是可以的。

為什么？
通常我們認(rèn)為，VLAN就是用來(lái)劃分子網(wǎng)的，而交換機(jī)互聯(lián)就必須用trunk接口。
首先，VLAN并非用來(lái)劃分子網(wǎng)用的，VLAN僅僅是用來(lái)劃分二層網(wǎng)絡(luò)，同一個(gè)VLAN可以劃分多個(gè)子網(wǎng)，同一個(gè)子網(wǎng)也可以劃分多個(gè)VLAN。
其次，交換機(jī)的內(nèi)部只處理Tag幀，當(dāng)PC的無(wú)Tag幀包進(jìn)入access接口，交換機(jī)為其打上VLAN Tag，當(dāng)從access接口出來(lái)后，access接口為其撕去Tag幀。
所以，上圖通訊過(guò)程為，PC1 ping PC2，PC1發(fā)廣播包查找PC2，進(jìn)入交換機(jī)1 access接口，添加VLAN10 Tag，交換機(jī)1向所有允許VLAN10通過(guò)的接口發(fā)送廣播包，包從交換機(jī)1右側(cè)access接口發(fā)出，被撕去標(biāo)簽。
撕去標(biāo)簽后，進(jìn)入交換機(jī)2 access接口，添加VLAN20 Tag，交換機(jī)2向所有允許VLAN20通過(guò)的接口發(fā)送廣播包，包從交換機(jī)2右側(cè)access接口發(fā)出，被撕去標(biāo)簽，到達(dá)PC2.
包返回相同。

二、二層設(shè)備與路由器連接
下圖PC能否與路由器通訊？

答案是可以的

為什么？

通常我們認(rèn)為，二層設(shè)備不能與路由器直接連接，必須使用三層交換機(jī)開(kāi)啟路由接口或配置子接口。
但與上方實(shí)驗(yàn)相同，當(dāng)使用access接口與路由器互聯(lián)時(shí)，此接口會(huì)把對(duì)應(yīng)VLAN的Tag標(biāo)簽撕去，直達(dá)路由器，通訊完全沒(méi)問(wèn)題。

三、二三層混合網(wǎng)關(guān)
下圖PC1能否與PC2通訊？

如圖

通常我們認(rèn)為，要么網(wǎng)關(guān)全部在核心交換機(jī)上，要么網(wǎng)關(guān)就只能在匯聚上。

但使用VLAN技術(shù)，我們完全可以進(jìn)行混合配置，比如VLAN10的網(wǎng)關(guān)在SW1上，而VLAN20的網(wǎng)關(guān)在RT1上。

四、防火墻DMZ區(qū)域與DMZ交換機(jī)、核心交換機(jī)連接
下圖PC1怎樣與PC2通訊？

如圖

為什么？

通常我們認(rèn)為，防火墻DMZ區(qū)域需要獨(dú)立部署，從物理上DMZ區(qū)域不能接入核心交換機(jī)。
但實(shí)際上我們可以通過(guò)VLAN技術(shù)在核心上從二層進(jìn)行隔離，此時(shí)PC2流量全部經(jīng)由DMZ接口轉(zhuǎn)發(fā)。

五、虛擬化軟件分布式交換機(jī)
下圖VM1怎樣與VM2通訊？

如圖

從第四個(gè)實(shí)驗(yàn)我們得知防火墻區(qū)域并不需要從核心隔離出去，因此本實(shí)驗(yàn)我們結(jié)合vSphere軟件分布式交換機(jī)技術(shù)，可以實(shí)現(xiàn)在同一套虛擬化系統(tǒng)中進(jìn)行DMZ區(qū)域劃分，在網(wǎng)絡(luò)上完全與內(nèi)網(wǎng)隔離。

六、總結(jié)
VLAN，太強(qiáng)了！