VLAN配置及应用

EDCwifi-潘

通过动态NAT的配置，实现了LAN内用户连接internet网。当一个LAN内的用户数量较少时，该方法是可行的。一旦用户量很大时，如大中型企业用户群或一个大的网吧，LAN内的广播包将以数量级的形式上升，造成网络性能急速下降！这是由于整个LAN就是一个广播域，一个很大的广播域，它的缺点是显而易见的，为了提高网络性能，有必要将一个大的广播域划分为多个较小的广播域，有必要在LAN内引入二层交换机，通过VLAN技术分割广播域。这是引入VLAN原因之一，其二，有些企业为了管理需要，允许一部分员工上班时间可以访问外部网络（如internet)，而另一部分员工不能访问外部网络，通过VLAN技术就很容易实现了。

　　划分VLAN后，如何实现各VLAN与ROS间的通信是这个教程要重点讨论的一个问题，总体来说有两种方法可以实现以上目的：

方法1：

　　思路：

　　在内网中引入三层交换机，然后在三层交换机上创建VLAN,分别给各VLAN的三层虚端口设置IP(注意，其中要有一个VLAN的三层端口IP与ROS的LAN口IP在同一网段，并且由该VLAN的一个成员端口连线到ROS的LAN口）。在三层交换机上启用路由功能，配置默认路由指向ROS的 LAN口（即下一跳IP为ROS的LAN口IP)，最后在ROS中设置回程路由分别回指到各个VLAN（注意下一跳地址指向与ROS　LAN口连接的VLAN的三层端口IP)。方法1的优点是原理简单，但用户数据包要出到ROS外部需要两次路由（分别在三层交换机和ROS中各进行一次），造成数据延迟较大。

方法2：

　　思路：在内网中使用二层交换机（或三层交换机不启用三层功能），将二层VLAN通过trunk端口透传到ROS的LAN口，在ROS的LAN口上创建多个VLAN，在ROS中给各个VLAN端口分配三层端口IP，最终各VLAN用户的数据包只是在ROS中路由一次就可以出到ROS外部。

ROS上的配置。

1、在lan口上创建vlan。

　(1)在winbox中选"interface"--->"VLAN"--->"+"--->"name"栏中输入"office"--->"VLAN ID"栏中输入 "10"--->"apply"--->"OK"。

　(2)同样方法创建vlan 20

2、给VLAN三层虚端口配置IP。

　(1)在winbox中选"IP"--->"Address"--->"+"--->"Address"栏中输入IP地址及子网掩码位--->在"interface"栏中选刚才所创建的VLAN即可。

（2）VLAN 20方法同上。

3、建立动态NAT，注意，在"IP"--->"firewall"--->"NAT"中的"general"选项卡中的"Src Address"可不输入，若不输入则所有VLAN均可连外网，若只允许VLAN 10连外网，则只需输入VLAN 10 的网络号。