网上邻居跨网段访问故障

■ 枝江市职业教育中心 杨华 曾海全

编者按：默局域网内网上邻居共享访问因为方便快捷，但随着网络规模的不断增长，从之前的单一网段扩展到不同功能区域的多个网段，网上邻居就是显得不是那么“友好”了。其实是我们对网个邻居的工作原理了解甚少，配置不合理，导致故障频频。

局域网内网上邻居共享访问因为方便快捷，在诸如单位办公室、公司写字楼、学校机房等场所倍受青睐。但随着网络规模的不断增长，从之前的单一网段扩展到不同功能区域的多个网段，网上邻居就是显得不是那么“友好”了。

其实是我们对网个邻居的工作原理了解甚少，配置不合理，导致故障频频。网上邻居是基于广播式的传播方式建立起来的，而广播只能在同一网段（子网）内进行数据转发，因此，跨网段访问要根据网段的划分方式进行必要的配置。

基于不同VLAN的网段网个邻居互访

图1 网络拓扑图

图2 “进站规则”的“网络发现(NB-Name-In)”配置

1.故障描述

如图1所示，PC1与 PC2处 在VLAN10,可通过网个邻居互访；PC3与PC4处在VLAN20,可通过网个邻居互访；且VLAN10与VLAN20在三层交换机LSW1上通过直连互通，即PC1与PC3是可以PING通的，但不能通过网上邻居互访了。

2.问题分析

根据以上描述，网络协议配置应该没有问题，想想只有在操作系统本身的防护机制上作文章了，因为自从Windows 7以后，各种安全措施比XP时代要严格的多了。

经过抓包分析，配置比对，终于在防火墙上找到了原因。以上PC机上都安装了Windows 7系统，默认都开启了防火墙，关掉防火墙后，不同VLAN间的PC机都可以通过网上邻居互访了。

本以为万事大吉了，但细细一想还是有问题，同一VLAN内防火墙开启时是可以互访的，而且如果为了共享而停掉安全措施也是得不偿失的。看来问题还是在防火墙的配置上，再进行仔细挖掘，发现了秘密所在，开启的防火墙默认放行了同一网段的互访，但阻止了不同网段的互访。

如图2所示，在“进站规则”的“网络发现(NB-Name-In)”配置选项中，作用域的远程IP地址里默认是“本地子网”，切换到“任何IP地址”即可。但这是解决了网个邻居中发现对方，如果要进行互访、文件传输，还需在另外两项“网络发现(NBDatagram-In)”和“文件和打印机共享(NB-Session-In)”里作同样的IP地址配置。因为网上邻居地运行是基于这个三服务（名称/137，数据报/138，会话/139）的同时运行。

3.结论

图3 PC1与PC2通过子网掩码来划分处在不同的网段

随着系统的升级，安全防护意识增强，防火墙服务越来越精准，导致不同VLAN间不能互访。

基于IP 地址划分的不同网段

这种情况现在现实中比较少见，因为作为一个合格的网络工程师不会只是做基于IP地址划分子网规划。但在网上看到有这样的实例，在理解上有些偏颇。如图3所示，在一个普通的交换机上未做任何配置，PC1与PC2通过子网掩码来划分处在不同的网段。

1.问题分析

实际上这应该是解决两个网段互访的问题，因为没有路由，两个不同的网段是无法通信，更不要说进行网上邻居互访了。

2.解决思路

（1）通过三层设备进行路由配置，如案例1所示，进行VLAN划分。

（2）如果不想进行VLAN划分，增加三层路由设备，也可以进行本地电脑上路由配置，因为毕竟网络规模不是很大，配置方法更改本地默认路由配置即可。

（3）如果觉得以上两种太专业，太复杂，还有一种比较简单的就是直接在本地电脑的网络配置中再增加一个IP（与对方在同一子网中）。

注意：网上有人讲到在VLAN间访问也可以通过增加IP 地址来解决了，结果可想而知，给部分用户造成了误导。基于VLAN划分的子网，从根本上改变了数据帧的结构，增加了VLAN标识字段的相关数据，而增加本地网络的IP地址不会有任何改变。

结语

技术的发展是越多越人性化，符合整个社会发展需求的。比如防火墙对子网访问的防控，既然划分不同子网肯定是根据不同的业务需求，不同子网不需要大范围的互相访问了。如果有需要，可以通过防火墙的配置（限定具体IP）精准控制到每个终端用户。