120.每日一练

一、题目

如图所示，如果主机A有主机B的ARP缓存，则主机A可以Ping通主机B。

A. 对

B. 错

二、答案

B

三、解析

VLAN是网络隔离的手段，当access链路属于不同vlan时无法互通，只有相同vlan才能互通

vlan的原理：

当网络连接实现后，将要考虑网络隔离的问题，如何在二层设备上实现一定的隔离呢？默认情况下所有接口连接在同一台设备就是可以直接通讯的，如果网络结构如下，此时可能存在一些安全性问题，在交换机上默认二层是没有进行隔离的，那么财务部分数据有可能通过泛洪发送到人事甚至更多部门，就可能产生数据泄露甚至攻击。

早期实现机制很简单，单独用另外一台设备连接不就行了？如下图。

直接形成物理上的隔离，看你怎么攻击我！当然这种隔离很彻底，但是成本比较高，通常线网中的交换机是8口，16口24口，48口类型，一台交换机利用率低得可怜，所以技术更新，减低成本的解决方案VLAN就出现了，将一台交换机虚拟成多台交换机能不能行呢？类似下图。

我们将一台交换机在设备内部分为两个虚拟交换机通常我们成为VLAN，假设左边虚拟交换机是VLAN5，右边虚拟交换机是VLAN10，这里值得一提的是交换机支持了VLAN功能后所有属于物理设备的端口都在VLAN1，所以VLAN1其实就是物理机了，当你创建了VLAN5和VLAN10那么就是你建立了两台虚拟交换机，接下来需要将对应的接口从VLAN1管理分配给VLAN5和VLAN10分别管理即可，这样就可以做到隔离了，但是我们真正的物理拓扑是没有改变的任然如下图，就是一台设备。

只不过这台设备划分各个不同VLAN的端口就不能通讯了，因为他们的MAC地址表是互相独立的。

在该环境下，PVID就对应了VLAN号，只有属于同一个PVID的信息才能互相通讯。

数据隔离是如何实现的呢？当交换机收到数据，会对根据接口PVID值为每个数据打上标记，也就是802.1Q Tag值,格式如下：

当为每个数据标识对应的值后，对应的数据就只能查询对应的VLAN表了

例如：主机A的数据发送到交换机，打上TAG=5，此时只有同为5的PORT 7端口才可以被此数据查询，且进行转发；