異なるVLAN上のデバイスではなく、同じサブネット上のデバイスが通信できないのはなぜですか？

切り替えについて質問があります。IPアドレス192.168.5.20および192.168.5.10のスイッチに接続された2つのデバイスがあります。両方のデバイスのプレフィックスは同じ/ 24です。つまり、それらは同じサブネット上にあります。

スイッチ上の異なるVLAN（10および20）でこれらのデバイスを分割すると、同じサブネット上にあるにもかかわらず通信しません。なぜそれが起こるのですか？

VLANが行うことの1つは、物理スイッチを取得し、それらを複数の小さな「仮想」スイッチに分割することです。

1つのスイッチと2つのVLANのこの物理的描写の意味：

ある操作で同じ同じトポロジーのこの論理描写に：

2番目のイメージのIPアドレスが同じサブネットにあったとしても、2つの仮想スイッチ（つまり、VLAN）の間に「リンク」がないことに気付くでしょう。したがって、ホストA / BがホストCと通信する方法はありません/ D。

2番目のイメージのホストが相互に通信するには、ある種の「スイッチ」から他への通信を容易にする何らかのデバイスが必要になります。その目的のために存在する装置であるルータ -したがって、ルータがVLANの境界を横断するトラフィックのために必要とされます。

そして、どのようにルータの仕事のために、各ルータのインタフェースがなければなりません、それは自分だ持っているユニークな IPサブネットを。従来、すべてのVLANが独自の一意のIPサブネットを必要とする理由は、これらのVLAN 間で通信が行われる場合、一意のサブネットが必要になるためです。

上の画像は私のブログからのものです。VLANについての概念はこちら、VLAN間のルーティングについてはこちらをご覧ください。

仮想LANのポイントは、単一の物理デバイス上に個別のレイヤー2 LANを作成することです。

部屋に防音防音壁を構築して2つの部屋を作成するようなものです。部屋の各半分の人々は、以前の部屋の残りの半分の人々ともはや通信できません。

したがって、2つの異なるL2ネットワーク上に2つのホストがあり、それらが通信できるようにするものは何もありません。

ほとんどの場合、2つの異なるVLANで同じサブネットを使用しても意味がないことに注意してください。標準的なケースは、IPネットワークをVLANに関連付けることです。

IPサブネットはホストを論理的にグループ化します。同じサブネット内のホストは、レイヤー2接続を使用して互いに直接通信します。別のサブネット上のホストと通信するには、ゲートウェイ/ルーターを使用する必要があります。

VLANは物理的にホストをグループ化します-同じVLAN /ブロードキャストドメイン/ L2セグメント内のホストは互いに直接通信できます。異なるVLANのホストはできません。（私をbeatられないでください- 物理的なグループは実際には正しくありませんが、それは私のポイントをマークします。）

そのため、2つのホストが同じIPサブネットにあるが、異なるVLAN /ブロードキャストドメイン/ L2ネットワークにある場合、通信できません。ソースホストはローカルL2ネットワーク内の宛先を想定しているため、宛先アドレスのARPを試行します（またはIPv6のNDP解決）。

ARPは、ローカルL2ネットワークにブロードキャストとして要求を送信し、要求されたIPアドレスを持つホストがそのMACアドレスで応答することで機能します。宛先ホストはローカルネットワークの外部にあるため、ARP要求を受信することはなく、ARPは失敗します。

送信元が何らかの方法で宛先のMACアドレスを認識し、そのMACにアドレス指定されたフレームを構築したとしても、L2ネットワークの外にあるため、宛先に到達することはありません。ローカルL2ネットワークの外部からのMACは意味がなく、役に立たない。

設計と理論の観点から質問をカバーする既存の回答を補完するもの...

代わりに、「尋ねると、なぜ彼らが通信しませんか？」、聞かせてのは「頼む何が起こるか、彼らが通信しようとすると？」

まず、スイッチでVLANを構成することはどういう意味ですか？この例では、VLAN 10として構成されたソケットとVLAN 20として構成されたソケットがあります。VLANの定義は、同じVLAN上のソケットのみが接続されるということです。つまり、特定のVLANのポートで受信したフレームは、同じVLANのポートにのみ送信されるということです。

  10  10  20  20  10  20       VLAN of port
   1   2   3   4   5   6       Port number
===+===+===+===+===+===+===
   |   |   |   |   |   |
   A   B   C   D   E   F       Hosts

この図では、6つのホストがあり、ポート1、2、5はVLAN 10にあり、ポート3、4、6はVLAN 20にあります。

質問から、ホストAが192.168.5.10/24として静的に構成され、Fが192.168.5.20/24として静的に構成されているとします。BからEに他の静的構成アドレスがあると仮定します（それらが何であるかは関係ありません）。

Aが192.168.5.20にpingを送信すると、同じ/ 24にあると判断されるため、最初に発生するのはARP要求です。WHOHAS 192.168.5.20は、イーサネットブロードキャストとして送信されます。

スイッチはポート1でブロードキャストを受信します。これはVLAN 10であるため、ポート2および5、VLAN 10の他のポートからブロードキャストを送信します。ホストBおよびEはARP要求を受信し、アドレスではないため無視します。

それでおしまい。

ARP応答はありません。次に発生するのは、Aのタイムアウトであり、アプリケーションが放棄するまで、後続のARP要求が繰り返されます。

VLAN 10ポート以外に接続されたホストは、そのIPアドレスが何であれ、まったく見えません。これには明らかに192.168.5.20であるFが含まれます。

サブネットマスキングについて十分に理解していることを期待します。個別のVLANがある場合、サブネットで一意のIPアドレス範囲を持つ必要があります。必須ではありません。

VLANは独立したLANですが、仮想です。さらに、同じスイッチ内のネットワークを分離するための仮想LAN。スイッチ内に個別のブロードキャストドメインを作成します。ただし、同じIPで仮想LANを作成する場合は役に立ちません。

それに加えて、スイッチでIntervlan Routingを設定する必要があります。

自宅にLANがあり、IP 192.168.2.1のコンピューターがある場合に何が起こるか考えてください。また、友人は自宅にLANを持ち、IP 192.168.2.2のコンピューターを持っています。彼らは同じサブネット上にあるので、なぜ彼らはお互いに話すことができないのですか？

このような例では、原因はあなたが尋ねているものとは異なります。

ただし、VLANは同じ結果を達成します。つまり、2番目のレイヤーでネットワークをセグメント化します。

私のポイントは、「IPアドレスが同じサブネットにある」という事実だけでは、パケットがそれらの間をルーティングできるかどうかを判断するには十分ではないことを簡単に確認できることです。基盤となるトポロジには、果たすべき役割もあります。

これを極端に考えてみると、最下層では、実際にデータを転送するために物理的な素材（まあ、大丈夫、または空気：D）が必要です。コンピューターは同じサブネット上の同じ家にあるが、物理的に接続されていない（またはワイヤレスリンクを持っている）ことがあり、パケットがルーティングされることは期待できません。

VLANのポイントは、ネットワークセグメンテーションを持つことです。サブネットを使用して、同じこと（いくつかの注意点を除く）を達成することもできます。サブネットは2つの異なるVLANに分割されているため、デバイスはL2ネットワークで通信できません。VLAN間の通信を許可するために、スイッチにIRBインターフェイスをセットアップできます。または、ファイアウォールを介してトラフィックをルーティングし、VLAN間の選択的な通信を許可することもできます。理想的には、VLANごとに異なるサブネットを持つようにネットワークを設計し、VLAN間のトラフィックをファイアウォールする必要があります。お役に立てれば。

イーサネット接続が複数のVLANを伝送する場合、それらのVLANの1つを除くすべてにタグを付ける必要があります。IEEE 802.1Q適合VLANタグは、フレームのEtherTypeが通常ある場所のイーサネットフレームに配置されます。VLANタグの最初の部分は、タグプロトコル識別子であり、0x8100の定数値です。その結果、IEEE 802.1Qタグを認識しない、またはそれらが予期しないように構成されたデバイスは、タグ付きフレームを見て、「これはIPv4、ARP、IPv6のいずれでもありません。このEthertype 0x8100はまったく異なるものであり、私はそれをまったく理解しているとは思いません。ただそれを無視するのが最善です。」

VLANをサポートするスイッチは、VLANタグによって各ポートに送信されるパケットをフィルター処理できます。また、オプションで、そのポートからの発信トラフィックで選択された1つのVLANからVLANタグを削除できます。そのため、選択したVLANのトラフィックは、その特定のポートに接続されているデバイスの単純なpre-802.1Qイーサネットトラフィックとして表示されます。そのような選択されたVLANは、そのポートのネイティブ VLANと呼ばれます。

802.1Q規格では、イーサネットポートは単一のネイティブVLANと任意の数のタグ付きVLANを同時にサポートできますが、ポートがタグ付きとタグなしの両方のイーサネットフレームを同時に通過させることは、やや不利な構成であると理解しています：ポート/ NICのVLANの1つが他のすべてとは異なり、異なる設定が必要であることを覚えておく必要があります。間違いを起こしやすい。

シスコの用語では、スイッチポートはアクセスポートまたはトランクポートとして設定できます。アクセスポートは、単一のVLANへのアクセスのみを提供し、VLANタグが発信トラフィックから自動的に削除され、そのポートの着信トラフィックに追加されます。一方、トランクポートは、設定可能なVLANのセットでトラフィックを渡しますが、すべてのトラフィックにはVLANタグが付けられます。

したがって、同じスイッチ上の2つの異なるVLANにある2つのデバイスの場合、どちらも同じIPサブネット上のアドレスを使用します。何が起こるかは、VLANに関するスイッチポート（およびデバイス上のネットワークインターフェイス）の構成方法によって異なります。

1.）アクセスポートとしてのスイッチポート、VLAN対応ではないデバイス：スイッチポートは「反対の」VLANのトラフィックを除外するため、デバイスは互いのトラフィックを認識しません。これは、それらを「同じネットワークセグメント上にある」と考えるのが理にかなっているかどうかという問題を提起します。

2.）VLANに対応していない両方のVLANを通過するように設定されたトランクポートとしてポートを切り替えます。各デバイスは、「他のデバイスがなぜ奇妙なEthertype 0x8100のものを送ってくるのでしょうか？私はそれを話さない」と考えます。

3.）各ポートを1つのVLANのみを通過させるように設定されたトランクポートとしてスイッチポート、VLAN対応：デバイスのネットワーク構成でもVLAN番号を指定する必要がありますが、最終結果は基本的にケースと同じです＃1：デバイスは互いのトラフィックを認識しません。

4.）両方のVLANを通過するように設定されたトランクポートとしてスイッチポートを切り替えますが、デバイスはVLANに対応していますが、異なるVLANに構成されています：フィルタリングを行うデバイス自体のVLANサポートレイヤーですが、実際の結果はケース＃1と同じです＃3：「反対の」デバイスのトラフィックは、デバイスのネットワークプロトコルスタックのIPプロトコル層に到達しません。

5.）両方のVLANを通過するように設定されたトランクポートとしてスイッチポート、VLAN認識で構成されたデバイス、両方のVLANがデバイスで構成されます。これは、あなたが求めた以上のものです。これで、デバイスは両方のVLANに効果的に存在します。

両方のVLANはイーサネットレベルで異なるふりをしますが、同じIPサブネットを使用しているため、何が起こるかは、デバイスのIPルーティングがどのように実装されているかによって異なります。主な重要な詳細は、IPスタックが強力なホストモデルまたは弱いホストモデルのどちらを使用するように設計されているか、およびVLANの概念がシステムにどのように統合されているかです。

たとえば、Linuxは、構成済みのタグ付きVLANを追加の仮想NICとして提示します。これは、基礎となる物理NICのリンク状態を反映しますが、技術的に可能な限り独立しています。したがって、2つのNICが100％オーバーラップするIPサブネットを持つ2つの個別の物理ネットワークセグメントに接続されたようになります。システムは着信トラフィックを正常に受信する可能性がありますが、宛先IPサブネットに接続されたNICは通信に適していると想定しますそのIPサブネット内の他のホストは、ルーティングテーブルで最初に発生する（仮想、VLAN固有の）NICを使用します。したがって、構成は、さまざまな部分の順序に応じて機能する場合と機能しない場合があります。 NICおよびVLAN構成が初期化されました。Linuxを使用する必要があります。

2つの異なるセグメントで同じIPサブネットを使用することは、レイヤー2でのセグメント分離が物理的（=実際の個別のNIC）または論理的（= VLANで作成）に関係なく、レイヤー3の問題です。レイヤー3の問題には、レイヤー3ソリューションが必要になります。ルーターまたは他のボックスを使用してサブネットの1つを対称NATし、IPサブネットの重複を削除することは、個々のデバイスで処理するよりもはるかにエレガントです。