在教程(1)中介绍了通过动态NAT的配置,实现了LAN内用户连接internet网。当一个LAN内的用户数量较少时,该方法是可行的。一旦用户量很大时,如大中型企业用户群或一个大的网吧,LAN内的广播包将以数量级的形式上升,造成网络性能急速下降!这是由于整个LAN就是一个广播域,一个很大的广播域,它的缺点是显而易见的,为了提高网络性能,有必要将一个大的广播域划分为多个较小的广播域,有必要在LAN内引入二层交换机,通过VLAN技术分割广播域。这是引入VLAN原因之一,其二,有些企业为了管理需要,允许一部分员工上班时间可以访问外部网络(如internet),而另一部分员工不能访问外部网络,通过VLAN技术就很容易实现了。
划分VLAN后,如何实现各VLAN与ROS间的通信是这个教程要重点讨论的一个问题,总体来说有两种方法可以实现以上目的:
方法1:
思路:
在内网中引入三层交换机,然后在三层交换机上创建VLAN,分别给各VLAN的三层虚端口设置IP(注意,其中要有一个VLAN的三层端口IP与ROS的LAN口IP在同一网段,并且由该VLAN的一个成员端口连线到ROS的LAN口)。在三层交换机上启用路由功能,配置默认路由指向ROS的 LAN口(即下一跳IP为ROS的LAN口IP),最后在ROS中设置回程路由分别回指到各个VLAN(注意下一跳地址指向与ROS LAN口连接的VLAN的三层端口IP)。方法1的优点是原理简单,但用户数据包要出到ROS外部需要两次路由(分别在三层交换机和ROS中各进行一次),造成数据延迟较大。
方法2:
思路:在内网中使用二层交换机(或三层交换机不启用三层功能),将二层VLAN通过trunk端口透传到ROS的LAN口,在ROS的LAN口上创建多个VLAN,在ROS中给各个VLAN端口分配三层端口IP,最终各VLAN用户的数据包只是在ROS中路由一次就可以出到ROS外部。
以上两种方法相比之下,方法2优势明显,一个是延迟的问题,第二是在方法1中我们无法建立PPPOE拨号方式控制用户上网,而第二种方法可以在每个VLAN中创建pppoe拨号服务。下面就介绍方法2。
一、交换机上的配置(以思科交换机为例)。
1、创建VLAN(以创建VLAN 10 VLAN 20为例)
switch#config terminal 进入全局配置模式
switch(config)#vlan 10 创建vlan 10
switch(config-vlan)#name office 给vlan 10 起名为office
switch(config-vlan)#exit 返回全局配置模式
switch(config)#vlan 20 创建vlan 20
switch(config-vlan)#name home 给vlan 20 起名为home
switch(config-vlan)#exit 返回全局配置模式
2、将端口加入相应vlan中(本例中将f0/1~f0/10加入vlan 10,f0/11~f0/20加入,f0/21~f0/24保留vlan 1中)
switch(config)#interface range f0/1 - f0/10 进入端口1至10
switch(config-if-range)#switchport access vlan 10 将以上端口加入vlan 10
switch(config-if-range)#exit 返回全局配置模式
switch(config)#interface range f0/11 - f0/20 进入端口11至20
switch(config-if-range)#switchport access vlan 20 将以上端口加入vlan 20
switch(config-if-range)#exit 返回全局配置模式
3、将某一端口连接到ROS的LAN口,并将该端口的链路类型改为trunk(以f0/24为例)
switch(config)#interface f0/24
switch(config-if)#switchport trunk encapsulation dot1q (三层交换机需要这条命令,二层不需要) 封装dot1q协议
switch(config-if)#switchport mode trunk
到此交换机配置完成。
二、ROS上的配置。
1、在lan口上创建vlan。
(1)在winbox中选"interface"--->"VLAN"--->"+"--->"name"栏中输入"office"--->"VLAN ID"栏中输入 "10"--->"apply"--->"OK"。
(2)同样方法创建vlan 20
2、给VLAN三层虚端口配置IP。
(1)在winbox中选"IP"--->"Address"--->"+"--->"Address"栏中输入IP地址及子网掩码位--->在"interface"栏中选刚才所创建的VLAN即可。
(2)VLAN 20方法同上。
3、建立动态NAT,注意,在"IP"--->"firewall"--->"NAT"中的"general"选项卡中的"Src Address"可不输入,若不输入则所有VLAN均可连外网,若只允许VLAN 10连外网,则只需输入VLAN 10 的网络号,其他设置跟ROS教程(1)相同。
到此为此本教程写完了。