通过动态NAT的配置,实现了LAN内用户连接internet网。当一个LAN内的用户数量较少时,该方法是可行的。一旦用户量很大时,如大中型企业用户群或一个大的网吧,LAN内的广播包将以数量级的形式上升,造成网络性能急速下降!这是由于整个LAN就是一个广播域,一个很大的广播域,它的缺点是显而易见的,为了提高网络性能,有必要将一个大的广播域划分为多个较小的广播域,有必要在LAN内引入二层交换机,通过VLAN技术分割广播域。这是引入VLAN原因之一,其二,有些企业为了管理需要,允许一部分员工上班时间可以访问外部网络(如internet),而另一部分员工不能访问外部网络,通过VLAN技术就很容易实现了。 划分VLAN后,如何实现各VLAN与ROS间的通信是这个教程要重点讨论的一个问题,总体来说有两种方法可以实现以上目的: 方法1: 思路: 在内网中引入三层交换机,然后在三层交换机上创建VLAN,分别给各VLAN的三层虚端口设置IP(注意,其中要有一个VLAN的三层端口IP与ROS的LAN口IP在同一网段,并且由该VLAN的一个成员端口连线到ROS的LAN口)。在三层交换机上启用路由功能,配置默认路由指向ROS的 LAN口(即下一跳IP为ROS的LAN口IP),最后在ROS中设置回程路由分别回指到各个VLAN(注意下一跳地址指向与ROS LAN口连接的VLAN的三层端口IP)。方法1的优点是原理简单,但用户数据包要出到ROS外部需要两次路由(分别在三层交换机和ROS中各进行一次),造成数据延迟较大。 方法2: 思路:在内网中使用二层交换机(或三层交换机不启用三层功能),将二层VLAN通过trunk端口透传到ROS的LAN口,在ROS的LAN口上创建多个VLAN,在ROS中给各个VLAN端口分配三层端口IP,最终各VLAN用户的数据包只是在ROS中路由一次就可以出到ROS外部。 ROS上的配置。 1、在lan口上创建vlan。 (1)在winbox中选"interface"--->"VLAN"--->"+"--->"name"栏中输入"office"--->"VLAN ID"栏中输入 "10"--->"apply"--->"OK"。 (2)同样方法创建vlan 20 2、给VLAN三层虚端口配置IP。 (1)在winbox中选"IP"--->"Address"--->"+"--->"Address"栏中输入IP地址及子网掩码位--->在"interface"栏中选刚才所创建的VLAN即可。 (2)VLAN 20方法同上。 3、建立动态NAT,注意,在"IP"--->"firewall"--->"NAT"中的"general"选项卡中的"Src Address"可不输入,若不输入则所有VLAN均可连外网,若只允许VLAN 10连外网,则只需输入VLAN 10 的网络号。
|