不用三层交换机的vlanif做网关，为什么不能直接访问同网段的机器

公司电脑33.x要访问服务器28.x，上图用防火墙做网段互接，服务器即使不设网关，33.x依然能访问所有28.x的设备。
下图用交换机做网段互接，33.x只能访问到vlanif 28.2，28.x其他设备访问不到啦，vlanif 28.2与所有28.x的设备都是通的（以vlanif 28.2做网关，外网段是能访问得到28.x，但我一定不能用vlanif 28.2做网关）。
求上下两幅图的区别，百思不得其解，为什么防火墙的端口这么神奇？
下图中，照理，来自33.x的访问服务器的数据包，交到vlanif 28.2后，他通过二层交换机就会直接交到服务器啦，但实际中为什么数据包去到vlanif 28.2，但去不到同网段的服务器啊？二层交换的工作原理不是只要同网段的数据就可以互相传送的吗，即使没有网关？

因为上图防火墙是做了nat的，服务器所看到的地址是防火墙转化后的28.x的地址，所以服务器不需要设网关。

下图，就必须要设网关。追问

下图，如果服务器不用三层机的vlanif做网关，那是否必须在vlanif做静态路由到28.1，28.1做回程路由到vlanif？

追答

下图，服务器必须要用三层交换机的vlanif做网关，或者添加到33网段的静态路由，不然无路由，数据包根本发不出去。三层交换机不需要做什么特殊的设置，只需要打开路由功能就可以了。

追问

你果然是高手啊，我测试过确实行，分要给你了，但还有个问题，我不在服务器写静态路由，在网关28.1写到33段的静态路由下一跳vlanif28.2，为什么不行啊？有什么关键步骤漏了吗？

追答

服务器需要有到33段路由才行。

温馨提示：答案为网友推荐，仅供参考

当前网址：http://66.wendadaohang.com/zd/n9sD9vnn2pn2i9vin2x.html