前言
正如简介所说的, 这篇文章将介绍RouterOS的网桥、接口等相关配置, 还会介绍VLAN的概念和工作机制, 通过这个系列, 最终可以搭出放弃一个非常专业的网络, 其中包含对外服务网络、家庭自用网络(分科学和国内版)、访客网络
VLAN介绍
VLAN的作用
VLAN即虚拟局域网, 即通过逻辑划分的形式把网络分成若干个子网, 这些子网彼此不互通(对二层交换机而言), 这是因为VLAN会对广播域进行隔离。对于PC-A(192.168.10.1)来说, 要通过交换机访问PC-B(192.168.10.2), 会首先广播一条信息询问192.168.10.2的MAC地址, 但是他们位于不同的VLAN中, VLAN隔离了这个ARP广播, 192.168.10.2根本不知道有人问他的MAC地址, 又何谈响应呢? 于是即便它们即便在同一个网段内, 也就因为VLAN错过了彼此, 就好像你和那个她, 因为你的腼腆, Ta根本不知道你的心意, 于是就错过了彼此。
但反过来讲, 如果有一个拱火的僚机, 你时常找这个僚机倾诉自己的炫压抑, Ta也有意撮合你俩, 将你的压抑传达到位了, 那你们就能发生爱の链接, 互相Ping啪啪啪通彼此。这个拱火的僚机就是三层交换机, 三层交换机可以通过路由设置将PC-A(192.168.10.2)的请求转发到PC-B(192.168.20.2), 这时候PC-B就能正确回应。别管为啥网段不同了, 不同的VLAN本来就该不同网段, 之前只是极端举例。
具体来讲, PC-A发起请求, 192.168.10.2->192.168.20.2, PC-A会发现跨网段了, 于是会根据路由表直接发给自己的网关(192.168.10.1), 网关和PC-A在同一个网段、VLAN中, 可以直接arp广播获取网关的mac地址, 然后PC-A封装数据, (目的IP: 192.168.20.2, 目的MAC: 网关MAC, 源IP/MAC: PC-A的IP/MAC), 这个过程就是你再向僚机倾诉你的炫压抑。网关解包后发现要发往192.168.20.2, 需要获得192.168.20.2的MAC地址, 此时就需要通过VLAN20的网关192.168.20.1(也在三层交换机上)帮忙进行arp广播获得192.168.20.2的MAC地址, 获得了MAC地址之后, 就知道应该向哪个端口转发数据。
简单来说, 二层交换机只能通过MAC地址转发, 一旦PC-A不知道对方的MAC地址, 那二层交换机就确定不了对方对应的端口, 那就歇菜转发不了。三层交换机则是根据IP进行转发, 这里我好像顺便解释了二层交换机和三层交换机的区别诶~听懂掌声
VLAN的作用机制
VLAN可以将端口划分为Access端口、Trunk端口和Hybrid端口, 它们的区别其实就在于能不能传输混杂不同VLAN的数据, 根据混杂程度不同区分的。这些端口结合对应的VLAN ID可以实现隔离的作用
- Access口
究极局限口, 这种口一定会对应一个PVID, 这个PVID一定和这个口所属的VLAN ID一致。进入Access口的流量只能是无标签或者标签是对应VLAN ID的流量, 其中无标签流量在交换机内部会被贴上PVID的标签; 从Access口出来的流量的VLAN ID 标签会被撕掉, 主要是大部分系统遇到有标签的流量会直接丢包, 所以需要撕掉标签。
- Trunk口
已经可以多P了, 但是很腼腆, 不怎么爱撕标签。这种口的目的是为了连接下一台交换机出现的, 如果全是access口, 那对于网口的需求将是灾难级别的, 因此在传递流量的时候, 需要一个口能够传递各种VLAN的数据。Trunk口有Native ID, 一般是1, 无标签流量进入之后会贴上这个本征ID 的标签, 进入Trunk口的流量要么带有允许通过的VLAN ID的标签, 要么就是无标签, 比如Trunk口允许VLAN10,20,30通过, 则所有进Trunk的流量标签要么与这三个VLAN ID之一是一致的要么就是无标签。出Trunk口的流量也一样, 要么与之一对应, 如果是Native ID的流量就会撕标签。
- Hybrid口
超级灵活的口, 有点原则但不多, 可以进出任意流量。进入Hybrid口的流量, 无标签会被打上PVID的标签, 有标签则匹配是否在允许VLAN列表之内。出Hybrid口的流量的VLANID如果和PVID一致则撕标签, 否则的话就像trunk口一样保留标签出站, 当然不允许的VLAN数据包会直接丢包
最后看懂这个文章, 就算真的明白VLAN了
RouterOS的接口、网桥、VLAN配置
-
首先创建不同的WIFI SSID, 这些SSID可以视作RouterOS路由器扩展出来的端口, 只不过是无线的而已
-
创建网桥, 方便统一管理多个端口, 这里介绍一下RouterOS的网桥。RouterOS的网桥创建之后相当于一个交换机, 除了在路由器上加入的实际端口外, 对于路由器自身连接这个网桥交换机也需要一个端口, 这个端口和普通端口一样可以设置PVID
-
给网桥加入端口, 并设置对应的PVID
-
最后将端口添加进列表 过程如下图所示
