Nomad, спасибо за комментарий.
1. Я все-таки рассказываю про Интернет. В нем нет ничего кроме IP. Хотя замечание принимаю. Наверно это и надо было сказать

2. Серьезное обвинение. Поэтому приведу целых три факта в противовес:
Вот RFC 3069, который описывает эту фичу - она называется VLAN Aggregation.
Вот как PVLAN делает человек из Cisco - не вижу попытки с его стороны сделать так, чтобы сервера в DMZ были в разных подсетях и маршрутизировать их. Наверно его вы не будет обвинять в том что он не пробовал ЭТО?
Вот комментарий другого человека что делить на сетки не нужно - то есть мы уже вдвоем с ним ошибаемся? Там же, кстати, описана дырка как получить доступ к соседнему серверу - послать IP пакет с MAC адресом маршрутизатора, но с IP адресом сервера. Если маршрутизатор-файрвол или VACL разрешит такой пакет, то он придет на другой сервер.

я думал будет более информативная статья.

при всём уважении к автору повторю фразу "ничего нового".
лучше бы отжать воду и сделать howto.

Похоже, мы говорим на разных языках
Попобую объяснить еще раз (цитирую дословно, но разрываю для комментариев)

Неверно! Хост 1 решит, что хост 2 просто в дауне
Еще раз неверно! Никуда больше хост 1 пакетов отсылать не станет. (И не нужны ни какие ссылки на авторитеты - проверяется элементарно!)

Придется объяснять азы. Когда хосту 1 (далее Х1) нужно послать пакет хосту 2 (далее Х2), первым делом Х1 лезет в свою таблицу маршрутизации. Если для адреса Х2 нет явного маршрута - пакет пойдет в default gateway. Если маршрут есть (а в нашем случае именно так - мы же на подсети не делим) пакет пойдет на интефейс, указанный в маршруте. Если в ARP кэше нет МАС адреса для Х2, будет сформирован ARP запроc. Если ARP ответа не последует, Х1 решает, что Х2 недоступен. И все! Нет ни какой силы, которая бы заставила в этом случае Х1 послать пакет в default gateway.

Приведенные, в качестве контраргумента три ссылки, этот базовый алгоритм ни в коем случае не отменяют.

RFC 3069 описывает, как с помощью super-VLAN возможно экономить IP адреса

Статья из Techworld обсуждает на сколько этот механизм (super-VLAN) безопасен. Не безопасен, даже по выводам автора статьи.

А статья на Cisco, цитирую: "PVLANs are a tool that allows .... turning a broadcast segment into a non-broadcast multi-access-like segment."
(PVLAN - так Cisco обозвала, описанный в RFC 3069, super-VLAN)
Можно я оставлю это без комментариев?

Ни в одном из приведенных источников, ни где, не утверждается, что если не получен ARP ответ от хоста из одной подсети, то нужно пересылать пакет в шлюз по умолчанию.

PS Либо исправьте эту глупость в статье, либо совсем уберите статью с сайта - не солидно!

Полностью согласен с Nomad.

'Если копнуть более глубоко, то получается, что если хост 1 посылает ARP запрос, в поиске MAC адреса хоста 2 с нужным ему IP, то хост 2 не может ответить, поскольку сидит на изолированном порту и просто не получает ARP запрос. Таким образом на ARP запрос не приходит ответа. И таким образом хост 1 думает, что хост находится в другом сегменте'

При отправки ip датаграмы, ip адрес назначения сравнивается с маской и если подсеть несовпала идет на маршрутищзатор(роутер).
В твоем случае пакет никуда не пойдет, так как подсеть одна, а на ARP запрос ответа нет, IP решит что компьютер недоступен и все.
Пусть автор почитает: http://www.zeiss.net.ru/docs/technol/tcpip/tcp03.htm

Ребят, ну вы посмотрите на цитату hobo. Автор немного неправильно понял механизм работы энтих самых выфланов. Когда клиент посылает запрос, киска этот запрос проксирует во все псывдосегменты данного вылана. Ну и соответсвенно - ответ вернется. Только циска будет спуфингом заниматься
Если бы ответ не пришел - клиент бы действиетльно решил что хоста здесь нет.
А определяет клиент чей mac адрес искать по таблице маршрутизации и ни как иначе. Т.е. если адрес шлюза - собственный адрес, то ищем мак второй стороны. В обратном случае - ищем мак шлюза. Это поведение выланы не меняют ибо иначе требовался софт на клиентской стороне (т.е. на всех машинах в данной сети).

Ок ясно так бы и сразу написали.
[

Proxy ARP

Метод, при котором одна машина (обычно маршрутизатор) обрабатывает запросы ►ARP вместо другой машины. За счет такой подмены маршрутизатор берет на себя ответственность за маршрутизацию пакетов реальному адресату. Proxy ARP позволяет сайту использовать единственный IP-адрес для двух физических сетей. Более разумным решением является, однако, использование подсетей.

]
http://europestar.ru/info/term/4413-1.xhtml

А Proxy ARP и уполномоченный агент ARP, это одно и тоже или нет?

Дословный перевод:
"Если пожелаете, super-VLAN роутер будет выполнять функции аналогичные Proxy ARP для обеспечения коммуникаций между хостами - членами разных sub-VLANs"

В обсуждаемой статье ("Фильтры грубой и тонкой очистки трафика") говорится о том как НЕ ДОПУСТИТЬ ARP обмена между разными sub-VLANs. Так что о влючении Proxy ARP не может быть и речи.

Так, что "Семен Семенович" - не по адресу.

Да. Неправильно я написал абзац про ARP. Nomad, спасибо. Должно быть так:

Если копнуть более глубоко, то когда хост 1 посылает ARP запрос (в поиске MAC адреса хоста 2 с нужным ему IP из той же подсети) хост 2 не отвечает ему, поскольку сидит на изолированном порту и не получает это запрос. И хост 1 считает, что хост 2 недоступен. И наоборот. Таким образом решается задача контроля трафика внутри сети и, самое главное, уже не нужно разбивать сеть на подсети. Мы можем безболезненно наложить технологию PVLAN на уже имеющиеся сети.

Когда же нам становится нужно, чтобы сервера общались друг с другом, то маршрутизатор (или firewall) может ответить, что этот хост доступен через него. Эта техника называется Proxy Arp. Хост 1 думает, что хост 2 находится в другом сегменте и посылает IP пакет через маршрутизатор (или firewall). То есть получается, что в пакете стоит MAC адрес маршрутизатора, и IP адрес хоста 2. А вот маршрутизатор (или firewall) уже решает передавать пакет хосту 2 или нет.