同一個vlan同一個網段的ip地址能直接互通,那麼同一個vlan不同的網段能不能互通呢?本期我們推薦一篇文章,可以解決大家在網絡中以道德一些奇怪的問題,也是加深對網絡的理解。
一、同VLAN不同網段能否ping通?
示例一:
現在有兩臺電腦,他們同處於一個vlan,
pcA ip地址:10.1.1.1/8
pcB ip地址:11.1.1.1/8
1. 無網關,A ping B
報出的Destination host unreachable
顯然,A機器發現對方與自己不是同一個網段,試圖尋找網關,但網關不存在,所以報主機不可達,B上的Sniffer爲抓到任何包,觀察網卡也是隻發不收,顯然數據沒有發出去。
2. 網關設成對方的ip,A ping B
能正常ping通,爲什麼能通?
從AA的計算機Sniffer上抓到的包可以看出,A在ping對方過程中,A首先進行了ARP廣播,它廣播詢問11.1.1.1的MAC是什麼。
顯然這個ARP廣播是可以被B收到的(因爲他們處於同一個VLAN)而11.1.1.1正好就是B的ip地址,理所當然B要回應這個ARP請求。下圖是A上的抓包情況,A首先進行了ARP廣播,然後收到了B的應答。
這樣A就有了B的MAC,而B在接到A的ARP廣播的時候就學到A的MAC地址,所以雙方可以ping通。
3. 網關設成自己,A ping B
一樣是可以ping的通的,A上抓包如下:
抓到的結果與第二種情況一樣,A依然是先廣播詢問11.1.1.1的MAC,這個ARP廣播被B接到後,B有義務應答,於是雙方直到對方的MAC地址,所以能過ping通。
與第二種情況不同的是,這裏可以明確知道ARP中的11.1.1.1指的是ping中所指定的ip地址而不是網關(此時A網關是10.1.1.1了)
那麼第二種情況中的11.1.1.1也指的是ping中所指定的ip?我們再來看下面。
二、ping三個不存在的ip地址,深入瞭解網絡通信原理
網關設置成自己,ping3個不存在的ip地址:
一個是和自己在同一網段的;
一個是和網段在同一網段的;
一個是和誰都不在同一網段的;
1. ping和自己同一網段的ip,ping返回超時,在B上抓包結果如下:
可以看出A發出了詢問10.1.1.2的ARP廣播而不是詢問網關(10.1.1.1)的廣播,由於這個ip不存在,所以沒有機器做出迴應。
2. ping和網關同一網段的ip
超時,B上接到的是A翻出的關於11.1.1.2的ARP廣播,由於不存在11.1.1.2這個地址,所以沒有機器迴應。
3. ping和誰都不在一個網段的ip
超時,B上接到是A發出的關於100.1.1.1的ARP廣播,由於不存在100.1.1.1這個地址,所以沒有機器迴應。
從上面3個實驗來看,當網關設置成自己的時候,不管ping地址是什麼,計算機發出的ARP廣播都是直接詢問ping中所指定ip對應的MAC,沒有詢問網關的MAC,這符合上文的描述。
其實計算機在廣播詢問ping命令指定的ip之前還是會先詢問網關的MAC的,知識這裏由於網關是自己所以這一步直接被跳過了。
那到底是不是這樣呢?我們在驗證一下。
三、A計算機網關設置成B的ip,B的網關設置成不存在的ip地址
A計算機網關設置成B的ip地址,但B的網關設置成一個不存在IP(且與A/B都不在同一網絡)ping三種情況。
1. ping與網關同一網段的ip,在A上抓包,可以看到A首先發出了關於網關11.1.1.1的ARP廣播請求(對應B接到這個廣播請求),B對這個11.1.1.1進行了ARP應答,但這個IP是不存在的所以ping結果超時。
2. ping與誰都不在同一網段,超時,結果A發出了關於網關11.1.1.1的請求,B做了應答。但是ping是超時的。
3. ping計算機B的ip地址,結果超時爲什麼這個也不通呢?按說按照上面的測試,AB計算機都能獲取對方的MAC地址,在以太網下,有MAC應該就有通信的可能,可這個時候卻不通。
查看Sniffer抓到的包可以發現:
A發出了關於11.1.1.1的ARP廣播請求,B對應11.1.1.1做出應答,但是下面接到了多個B發倆的關於100.1.1.1的ARP廣播請求,且100.1.1.1的請求沒有得到B的應答,看來B是一直在試圖查詢B的網關(100.1.1.1)所對應的MAC,在網關的MAC沒有獲得應答之前,B不會對ping產生迴應。
從上面的所有實驗看出,計算機在與非本網段的地址通信時,計算機首先查找網關的MAC,如果網關MAC得不到迴應,是不會對ping做出響應的;
因此,在實例中1和2的情況是屬於特殊情況,正好利用了網關與主機IP地址相同,騙過了計算機。如果AB的網關都設置的與ABip毫不相關的話,相互肯定不通。
轉載於 思科CCIE俱樂部