■ 枝江市職業(yè)教育中心 楊華 曾海全

編者按：默局域網(wǎng)內(nèi)網(wǎng)上鄰居共享訪問因為方便快捷，但隨著網(wǎng)絡(luò)規(guī)模的不斷增長，從之前的單一網(wǎng)段擴展到不同功能區(qū)域的多個網(wǎng)段，網(wǎng)上鄰居就是顯得不是那么“友好”了。其實是我們對網(wǎng)個鄰居的工作原理了解甚少，配置不合理，導(dǎo)致故障頻頻。

局域網(wǎng)內(nèi)網(wǎng)上鄰居共享訪問因為方便快捷，在諸如單位辦公室、公司寫字樓、學(xué)校機房等場所倍受青睞。但隨著網(wǎng)絡(luò)規(guī)模的不斷增長，從之前的單一網(wǎng)段擴展到不同功能區(qū)域的多個網(wǎng)段，網(wǎng)上鄰居就是顯得不是那么“友好”了。

其實是我們對網(wǎng)個鄰居的工作原理了解甚少，配置不合理，導(dǎo)致故障頻頻。網(wǎng)上鄰居是基于廣播式的傳播方式建立起來的，而廣播只能在同一網(wǎng)段（子網(wǎng)）內(nèi)進行數(shù)據(jù)轉(zhuǎn)發(fā)，因此，跨網(wǎng)段訪問要根據(jù)網(wǎng)段的劃分方式進行必要的配置。

基于不同VLAN的網(wǎng)段網(wǎng)個鄰居互訪

圖1 網(wǎng)絡(luò)拓撲圖

圖2 “進站規(guī)則”的“網(wǎng)絡(luò)發(fā)現(xiàn)(NB-Name-In)”配置

1.故障描述

如圖1所示，PC1與 PC2處 在VLAN10,可通過網(wǎng)個鄰居互訪；PC3與PC4處在VLAN20,可通過網(wǎng)個鄰居互訪；且VLAN10與VLAN20在三層交換機LSW1上通過直連互通，即PC1與PC3是可以PING通的，但不能通過網(wǎng)上鄰居互訪了。

2.問題分析

根據(jù)以上描述，網(wǎng)絡(luò)協(xié)議配置應(yīng)該沒有問題，想想只有在操作系統(tǒng)本身的防護機制上作文章了，因為自從Windows 7以后，各種安全措施比XP時代要嚴格的多了。

經(jīng)過抓包分析，配置比對，終于在防火墻上找到了原因。以上PC機上都安裝了Windows 7系統(tǒng)，默認都開啟了防火墻，關(guān)掉防火墻后，不同VLAN間的PC機都可以通過網(wǎng)上鄰居互訪了。

本以為萬事大吉了，但細細一想還是有問題，同一VLAN內(nèi)防火墻開啟時是可以互訪的，而且如果為了共享而停掉安全措施也是得不償失的。看來問題還是在防火墻的配置上，再進行仔細挖掘，發(fā)現(xiàn)了秘密所在，開啟的防火墻默認放行了同一網(wǎng)段的互訪，但阻止了不同網(wǎng)段的互訪。

如圖2所示，在“進站規(guī)則”的“網(wǎng)絡(luò)發(fā)現(xiàn)(NB-Name-In)”配置選項中，作用域的遠程IP地址里默認是“本地子網(wǎng)”，切換到“任何IP地址”即可。但這是解決了網(wǎng)個鄰居中發(fā)現(xiàn)對方，如果要進行互訪、文件傳輸，還需在另外兩項“網(wǎng)絡(luò)發(fā)現(xiàn)(NBDatagram-In)”和“文件和打印機共享(NB-Session-In)”里作同樣的IP地址配置。因為網(wǎng)上鄰居地運行是基于這個三服務(wù)（名稱/137，數(shù)據(jù)報/138，會話/139）的同時運行。

3.結(jié)論

圖3 PC1與PC2通過子網(wǎng)掩碼來劃分處在不同的網(wǎng)段

隨著系統(tǒng)的升級，安全防護意識增強，防火墻服務(wù)越來越精準，導(dǎo)致不同VLAN間不能互訪。

基于IP 地址劃分的不同網(wǎng)段

這種情況現(xiàn)在現(xiàn)實中比較少見，因為作為一個合格的網(wǎng)絡(luò)工程師不會只是做基于IP地址劃分子網(wǎng)規(guī)劃。但在網(wǎng)上看到有這樣的實例，在理解上有些偏頗。如圖3所示，在一個普通的交換機上未做任何配置，PC1與PC2通過子網(wǎng)掩碼來劃分處在不同的網(wǎng)段。

1.問題分析

實際上這應(yīng)該是解決兩個網(wǎng)段互訪的問題，因為沒有路由，兩個不同的網(wǎng)段是無法通信，更不要說進行網(wǎng)上鄰居互訪了。

2.解決思路

（1）通過三層設(shè)備進行路由配置，如案例1所示，進行VLAN劃分。

（2）如果不想進行VLAN劃分，增加三層路由設(shè)備，也可以進行本地電腦上路由配置，因為畢竟網(wǎng)絡(luò)規(guī)模不是很大，配置方法更改本地默認路由配置即可。

（3）如果覺得以上兩種太專業(yè)，太復(fù)雜，還有一種比較簡單的就是直接在本地電腦的網(wǎng)絡(luò)配置中再增加一個IP（與對方在同一子網(wǎng)中）。

注意：網(wǎng)上有人講到在VLAN間訪問也可以通過增加IP 地址來解決了，結(jié)果可想而知，給部分用戶造成了誤導(dǎo)?；赩LAN劃分的子網(wǎng)，從根本上改變了數(shù)據(jù)幀的結(jié)構(gòu)，增加了VLAN標識字段的相關(guān)數(shù)據(jù)，而增加本地網(wǎng)絡(luò)的IP地址不會有任何改變。

結(jié)語

技術(shù)的發(fā)展是越多越人性化，符合整個社會發(fā)展需求的。比如防火墻對子網(wǎng)訪問的防控，既然劃分不同子網(wǎng)肯定是根據(jù)不同的業(yè)務(wù)需求，不同子網(wǎng)不需要大范圍的互相訪問了。如果有需要，可以通過防火墻的配置（限定具體IP）精準控制到每個終端用戶。