VLAN非常规实验，给你带来一个不一样的VLAN

传统三层架构

查看本文前，请务必看完华为对VLAN的详细解释：
https://info.support.huawei.com/info-finder/encyclopedia/zh/VLAN.html

一、同一网段，不同VLAN通讯
下图两台PC是否可以通讯？
SW1所有接口都为access VLAN10，SW2所有接口都为access VLAN20.

答案是可以的。

为什么？
通常我们认为，VLAN就是用来划分子网的，而交换机互联就必须用trunk接口。
首先，VLAN并非用来划分子网用的，VLAN仅仅是用来划分二层网络，同一个VLAN可以划分多个子网，同一个子网也可以划分多个VLAN。
其次，交换机的内部只处理Tag帧，当PC的无Tag帧包进入access接口，交换机为其打上VLAN Tag，当从access接口出来后，access接口为其撕去Tag帧。
所以，上图通讯过程为，PC1 ping PC2，PC1发广播包查找PC2，进入交换机1 access接口，添加VLAN10 Tag，交换机1向所有允许VLAN10通过的接口发送广播包，包从交换机1右侧access接口发出，被撕去标签。
撕去标签后，进入交换机2 access接口，添加VLAN20 Tag，交换机2向所有允许VLAN20通过的接口发送广播包，包从交换机2右侧access接口发出，被撕去标签，到达PC2.
包返回相同。

二、二层设备与路由器连接
下图PC能否与路由器通讯？

答案是可以的

为什么？
通常我们认为，二层设备不能与路由器直接连接，必须使用三层交换机开启路由接口或配置子接口。
但与上方实验相同，当使用access接口与路由器互联时，此接口会把对应VLAN的Tag标签撕去，直达路由器，通讯完全没问题。

三、二三层混合网关
下图PC1能否与PC2通讯？

如图

通常我们认为，要么网关全部在核心交换机上，要么网关就只能在汇聚上。
但使用VLAN技术，我们完全可以进行混合配置，比如VLAN10的网关在SW1上，而VLAN20的网关在RT1上。

四、防火墙DMZ区域与DMZ交换机、核心交换机连接
下图PC1怎样与PC2通讯？

如图

为什么？
通常我们认为，防火墙DMZ区域需要独立部署，从物理上DMZ区域不能接入核心交换机。
但实际上我们可以通过VLAN技术在核心上从二层进行隔离，此时PC2流量全部经由DMZ接口转发。

五、虚拟化软件分布式交换机
下图VM1怎样与VM2通讯？

如图

从第四个实验我们得知防火墙区域并不需要从核心隔离出去，因此本实验我们结合vSphere软件分布式交换机技术，可以实现在同一套虚拟化系统中进行DMZ区域划分，在网络上完全与内网隔离。

六、总结
VLAN，太强了！

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～