網(wǎng)上鄰居跨網(wǎng)段訪問故障

■ 枝江市職業(yè)教育中心 楊華 曾海全

編者按：默局域網(wǎng)內(nèi)網(wǎng)上鄰居共享訪問因?yàn)榉奖憧旖荩S著網(wǎng)絡(luò)規(guī)模的不斷增長，從之前的單一網(wǎng)段擴(kuò)展到不同功能區(qū)域的多個(gè)網(wǎng)段，網(wǎng)上鄰居就是顯得不是那么“友好”了。其實(shí)是我們對(duì)網(wǎng)個(gè)鄰居的工作原理了解甚少，配置不合理，導(dǎo)致故障頻頻。

局域網(wǎng)內(nèi)網(wǎng)上鄰居共享訪問因?yàn)榉奖憧旖荩谥T如單位辦公室、公司寫字樓、學(xué)校機(jī)房等場(chǎng)所倍受青睞。但隨著網(wǎng)絡(luò)規(guī)模的不斷增長，從之前的單一網(wǎng)段擴(kuò)展到不同功能區(qū)域的多個(gè)網(wǎng)段，網(wǎng)上鄰居就是顯得不是那么“友好”了。

其實(shí)是我們對(duì)網(wǎng)個(gè)鄰居的工作原理了解甚少，配置不合理，導(dǎo)致故障頻頻。網(wǎng)上鄰居是基于廣播式的傳播方式建立起來的，而廣播只能在同一網(wǎng)段（子網(wǎng)）內(nèi)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，因此，跨網(wǎng)段訪問要根據(jù)網(wǎng)段的劃分方式進(jìn)行必要的配置。

基于不同VLAN的網(wǎng)段網(wǎng)個(gè)鄰居互訪

圖1 網(wǎng)絡(luò)拓?fù)鋱D

圖2 “進(jìn)站規(guī)則”的“網(wǎng)絡(luò)發(fā)現(xiàn)(NB-Name-In)”配置

1.故障描述

如圖1所示，PC1與 PC2處 在VLAN10,可通過網(wǎng)個(gè)鄰居互訪；PC3與PC4處在VLAN20,可通過網(wǎng)個(gè)鄰居互訪；且VLAN10與VLAN20在三層交換機(jī)LSW1上通過直連互通，即PC1與PC3是可以PING通的，但不能通過網(wǎng)上鄰居互訪了。

2.問題分析

根據(jù)以上描述，網(wǎng)絡(luò)協(xié)議配置應(yīng)該沒有問題，想想只有在操作系統(tǒng)本身的防護(hù)機(jī)制上作文章了，因?yàn)樽詮腤indows 7以后，各種安全措施比XP時(shí)代要嚴(yán)格的多了。

經(jīng)過抓包分析，配置比對(duì)，終于在防火墻上找到了原因。以上PC機(jī)上都安裝了Windows 7系統(tǒng)，默認(rèn)都開啟了防火墻，關(guān)掉防火墻后，不同VLAN間的PC機(jī)都可以通過網(wǎng)上鄰居互訪了。

本以為萬事大吉了，但細(xì)細(xì)一想還是有問題，同一VLAN內(nèi)防火墻開啟時(shí)是可以互訪的，而且如果為了共享而停掉安全措施也是得不償失的。看來問題還是在防火墻的配置上，再進(jìn)行仔細(xì)挖掘，發(fā)現(xiàn)了秘密所在，開啟的防火墻默認(rèn)放行了同一網(wǎng)段的互訪，但阻止了不同網(wǎng)段的互訪。

如圖2所示，在“進(jìn)站規(guī)則”的“網(wǎng)絡(luò)發(fā)現(xiàn)(NB-Name-In)”配置選項(xiàng)中，作用域的遠(yuǎn)程IP地址里默認(rèn)是“本地子網(wǎng)”，切換到“任何IP地址”即可。但這是解決了網(wǎng)個(gè)鄰居中發(fā)現(xiàn)對(duì)方，如果要進(jìn)行互訪、文件傳輸，還需在另外兩項(xiàng)“網(wǎng)絡(luò)發(fā)現(xiàn)(NBDatagram-In)”和“文件和打印機(jī)共享(NB-Session-In)”里作同樣的IP地址配置。因?yàn)榫W(wǎng)上鄰居地運(yùn)行是基于這個(gè)三服務(wù)（名稱/137，數(shù)據(jù)報(bào)/138，會(huì)話/139）的同時(shí)運(yùn)行。

3.結(jié)論

圖3 PC1與PC2通過子網(wǎng)掩碼來劃分處在不同的網(wǎng)段

隨著系統(tǒng)的升級(jí)，安全防護(hù)意識(shí)增強(qiáng)，防火墻服務(wù)越來越精準(zhǔn)，導(dǎo)致不同VLAN間不能互訪。

基于IP 地址劃分的不同網(wǎng)段

這種情況現(xiàn)在現(xiàn)實(shí)中比較少見，因?yàn)樽鳛橐粋€(gè)合格的網(wǎng)絡(luò)工程師不會(huì)只是做基于IP地址劃分子網(wǎng)規(guī)劃。但在網(wǎng)上看到有這樣的實(shí)例，在理解上有些偏頗。如圖3所示，在一個(gè)普通的交換機(jī)上未做任何配置，PC1與PC2通過子網(wǎng)掩碼來劃分處在不同的網(wǎng)段。

1.問題分析

實(shí)際上這應(yīng)該是解決兩個(gè)網(wǎng)段互訪的問題，因?yàn)闆]有路由，兩個(gè)不同的網(wǎng)段是無法通信，更不要說進(jìn)行網(wǎng)上鄰居互訪了。

2.解決思路

（1）通過三層設(shè)備進(jìn)行路由配置，如案例1所示，進(jìn)行VLAN劃分。

（2）如果不想進(jìn)行VLAN劃分，增加三層路由設(shè)備，也可以進(jìn)行本地電腦上路由配置，因?yàn)楫吘咕W(wǎng)絡(luò)規(guī)模不是很大，配置方法更改本地默認(rèn)路由配置即可。

（3）如果覺得以上兩種太專業(yè)，太復(fù)雜，還有一種比較簡單的就是直接在本地電腦的網(wǎng)絡(luò)配置中再增加一個(gè)IP（與對(duì)方在同一子網(wǎng)中）。

注意：網(wǎng)上有人講到在VLAN間訪問也可以通過增加IP 地址來解決了，結(jié)果可想而知，給部分用戶造成了誤導(dǎo)。基于VLAN劃分的子網(wǎng)，從根本上改變了數(shù)據(jù)幀的結(jié)構(gòu)，增加了VLAN標(biāo)識(shí)字段的相關(guān)數(shù)據(jù)，而增加本地網(wǎng)絡(luò)的IP地址不會(huì)有任何改變。

結(jié)語

技術(shù)的發(fā)展是越多越人性化，符合整個(gè)社會(huì)發(fā)展需求的。比如防火墻對(duì)子網(wǎng)訪問的防控，既然劃分不同子網(wǎng)肯定是根據(jù)不同的業(yè)務(wù)需求，不同子網(wǎng)不需要大范圍的互相訪問了。如果有需要，可以通過防火墻的配置（限定具體IP）精準(zhǔn)控制到每個(gè)終端用戶。