服務器遇到一次奇怪的現象。當網關與俺碼同時配錯時外網可達,網關不可達。模擬研究發現vlan劃分和子網劃分不一致會帶來一定的影響。
環境:vlan 10 ,ip 172.16.10.1/255.255.255.0,
vlan 20 ,ip 192.168.2.50/255.255.255.0,
主機vbox-fai, 172.16.10.2/255.255.255.0 gateway 172.16.10.1
正確配置時,172.16.10.1與192.168.2.50 可通,服務器記錄網關的arp 172.16.10.1 對應自己的mac(以下稱網關mac爲mac-a),arp retquest 發出後,172.16.10.1 reply服務器發出的arp請求,
當配置成,172.16.10.2/255.255.0.0 gateway 172.16.1.1 時,也可與192.168.2.50通,服務器,arp 172.16.1.1 對應爲mac-a,arp request廣播發出後,詢問誰是,172.16.1.1的mac,因爲交換機上開啓了proxy-arp,網關會把自己的mac-a告訴服務器,交換機認爲這是爲了保證聯通性,但實質是欺騙了服務器的arp請求,這個reply導致服務器的arp記錄錯誤,此時服務器與172.16.1.1不通,但是與192.168.2.50通,traceroot第一跳是 172.16.10.1 正常來講出vlan第一跳應當是自己的網關。
以上兩種配置,arp request的請求廣播地址是不同的,正確時:172.16.10.255,錯誤時:172.16.255.255,網關的配置它應當是僅存在於172.16.10.255這個廣播域中,但是實際上不是。vlan從二層劃分了廣播域,但是子網的廣播域在三層並沒有被vlan劃分。
此例中可以進行兩種設置。
ip broadcast-address 172.16.10.255 (1)
no ip proxy-arp (2)
(1)設置vlan 10的廣播地址爲172.16.10.255,可以視爲vlan對子網也進行了劃分,172.16.255.255的廣播請求,不會被網關處理直接丟掉了,沒有arp reply服務器就沒有網關的mac,就不會形成網絡聯通的假象。這種配置會使,任何非此廣播地址的包都不會得到網關的迴應。如果兩個子網在同一vlan如果設置這個會導致其中一子網學不到網關的arp.
(2) 設置vlan10 關閉arp代理,網關仍然接收並處理172.16.255.255的請求,但是不會進行arp代理的迴應。就不會告訴172.16.10.2,我是172.16.1.1 服務器得不到reply也就不會有網關的mac,就不會形成網絡聯通的假象和外網就不會通。
arp proxy,路由認爲是一種保持連通性的行爲,可以說是一種善意的謊言,但它還是騙了。