三层交换机技术的所有基础知识
1.局域网交换技术
1.1 共享技术
所谓共享技术即在一个逻辑网络上的每一个工作站都处于一个相同的网段上。
以太网采用csma/cd机制,这种冲突检测方法保证了只能有一个站点在总线上传输。如果有两个站点试图同时访问总线并传输数据,这就意味着“冲突”发生了,两站点都将被告知出错。然后它们都被拒发,并等待一段时间以备重发。
这种机制就如同许多汽车抢过一座窄桥,当两辆车同时试图上桥时,就发生了“冲突”,两辆车都必须退出,然后再重新开始抢行。当汽车较多时,这种无序的争抢会极大地降低效率,造成交通拥堵。
网络也是一样,当网络上的用户量较少时,网络上的交通流量较轻,冲突也就较少发生,在这种情况下冲突检测法效果较好。当网络上的交通流量增大时,冲突也增多,同进网络的吞吐量也将显著下降。在交通流量很大时,工作站可能会被一而再再而三地拒发。
1.2 交换技术
局域网交换技术是作为对共享式局域网提供有效的网段划分的解决方案而出现的,它可以使每个用户尽可能地分享到最大带宽。交换技术是在osi七层网络模型中的第二层,即数据链路层进行操作的,因此交换机对数据包的转发是建立在mac(media access control)地址--物理地址基础之上的,对于ip网络协议来说,它是透明的,即交换机在转发数据包时,不知道也无须知道信源机和信宿机的ip地址,只需知其物理地址即mac地址。交换机在操作过程当中会不断的收集资料去建立它本身的一个地址表,这个表相当简单,它说明了某个mac地址是在哪个端口上被发现的,所以当交换机收到一个tcp/ip封包时,它便会看一下该数据包的目的mac地址,核对一下自己的地址表以确认应该从哪个端口把数据包发出去。由于这个过程比较简单,加上这功能由一崭新硬件进行--asic(application specific integrated circuit),因此速度相当快,一般只需几十微秒,交换机便可决定一个ip封包该往那里送。
值得一提的是:万一交换机收到一个不认识的封包,就是说如果目的地mac地址不能在地址表中找到时,交换机会把ip封包"扩散"出去,即把它从每一个端口中送出去,就如交换机在处理一个收到的广播封包时一样。二层交换机的弱点正是它处理广播封包的手法不太有效,比方说,当一个交换机收到一个从tcp/ip工作站上发出来的广播封包时,他便会把该封包传到所有其他端口去,哪怕有些端口上连的是ipx或decnet工作站。这样一来,非tcp/ip节点的带宽便会受到负面的影响,就算同样的tcp/ip 节点,如果他们的子网跟发送那个广播封包的工作站的子网相同,那么他们也会无原无故地收到一些与他们毫不相干的网络广播,整个网络的效率因此会大打折扣。
从90年代开始,出现了局域网交换设备。从网络交换产品的形态来看,交换产品大致有三种:端口交换、帧交换和信元交换。
(1)端口交换端口交换技术最早出现于插槽式集线器中。这类集线器的背板通常划分有多个以太网段(每个网段为一个广播域)、各网段通过网桥或路由器相连。以太网模块插入后通常被分配到某个背板网段上,端口交换适用于将以太模块的端口在背板的多个网段之间进行分配。这样网管人员可根据网络的负载情况,将用户在不同网段之间进行分配。这种交换技术是基于osi第一层(物理层)上完成的,它并没有改变共享传输介质的特点,因此并不是真正意义上的交换。
(2)帧交换帧交换是目前应用的最广的局域网交换技术,它通过对传统传输媒介进行分段,提供并行传送的机制,减少了网络的碰撞冲突域,从而获得较高的带宽。不同厂商产品实现帧交换的技术均有差异,但对网络帧的处理方式一般有:存储转发式和直通式两种。 存储转发式(store-and-forward):当一个数据包以这种技术进入一个交换机时,交换机将读取足够的信息,以便不仅能决定哪个端口将被用来发送该数据包,而且还能决定是否发送该数据包。这样就能有效地排除了那些有缺陷的网络段。虽然这种方式不及使用直通式产品的交换速度,但是它们却能排除由破坏的数据包所引起的经常性的有害后果。
直通式(cut-through):当一个数据包使用这种技术进入一个交换机时,它的地址将被读取。然后不管该数据包是否为错误的格式,它都将被发送。由于数据包只有开头几个字节被读取,所以这种方法提供了较多的交换次数。然而所有的数据包即使是那些可能已被破坏的都将被发送。直到接收站才能测出这些被破坏的包,并要求发送方重发。但是如果网络接口卡失效,或电缆存在缺陷;或有一个能引起数据包遭破坏的外部信号源,则出错将十分频繁。 随着技术的发展,直通式交换将逐步被淘汰。
在“直通式”交换方式中,交换机只读出网络帧的前几个字节,便将网络帧传到相应的端口上,虽然交换速度很快,但缺乏对网络帧的高级控制,无智能性和安全性可言,同时也无法支持具有不同速率端口的交换;而“存储转发”交换方式则通过对网络帧的读取进行验错和控制。联想网络的产品都采用“存储转发”交换方式。
(3)信元交换
信元交换的基本思想是采用固定长度的信元进行交换,这样就可以用硬件实现交换,从而大大提高交换速度,尤其适合语音、视频等多媒体信号的有效传输。目前,信元交换的实际应用标准是atm(异步传输模式),但是atm设备的造价较为昂贵,在局域网中的应用已经逐步被以太网的帧交换技术所取代。
1.2.1 第二层交换技术
第二层的网络交换机依据第二层的地址传送网络帧。
第二层的地址又称硬件地址(mac地址),第二层交换机通常提供很高的吞吐量(线速)、低延时(10微秒左右),每端口的价格比较经济。
第二层的交换机对于路由器和主机是“透明的”,主要遵从802.1d标准。该标准规定交换机通过观察每个端口的数据帧获得源mac地址,交换机在内部的高速缓存中建立mac地址与端口的映射表。当交换机接受的数据帧的目的地址在该映射表中被查到,交换机便将该数据帧送往对应的端口。如果它查不到,便将该数据帧广播到该端口所属虚拟局域网(vlan)的所有端口,如果有回应数据包,交换机便将在映射表中增加新的对应关系。当交换机初次加入网络中时,由于映射表是空的,所以,所有的数据帧将发往虚拟局域网内的全部端口直到交换机“学习”到各个mac地址为止。这样看来,交换机刚刚启动时与传统的共享式集线器作用相似的,直到映射表建立起来后,才能真正发挥它的性能。
这种方式改变了共享式以太网抢行的方式,如同在不同的行驶方向上铺架了立交桥,去往不同方向的车可以同时通行,因此大大提高了流量。从虚拟局域网(vlan)角度来看,由于只有子网内部的节点竞争带宽,所以性能得到提高。主机1访问主机2 同时,主机3可以访问主机4。当各个部门具有自己独立的服务器时,这一优势更加明显。
但是这种环境正发生巨大的变化,因为服务器趋向于集中管理,另外,这一模式也不适合internet的应用。
不同虚拟局域网(vlan)之间的通讯需要通过路由器来完成,另外为了实现不同的网段之间通讯也需要路由器进行互连。路由器处理能力是有限的,相对于局域网的交换速度来说路由器的数据路由速度也是较缓慢的。路由器的低效率和长时延使之成为整个网络的瓶颈。
(图a)
虚拟局域网(vlan)之间的访问速度是加快整个网络速度的关键,某些情况下(特别是intranet),划定虚拟局域网本身是一件困难的事情。第三层交换机的目的正在于此,它可以完成intranet中虚拟局域网(vlan)之间的数据包以高速率进行转发。
1.2.2 vlan技术
在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。通常一个ip子网或者ipx子网属于一个广播域,因此网络中的广播域是根据物理网络来划分的。这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。同时,由于网络中的站点被束缚在所处的物理网络中,而不能够根据需要将其划分至相应的逻辑子网,因此网络的结构缺乏灵活性。
为解决这一问题,从而引发了虚拟局域网(vlan)的概念,所谓vlan是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。
vlan技术的基础 基于交换式以太网的vlan
在交换式以太网中,利用vlan技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个vlan中的站点所发送的广播数据包将仅转发至属于同一vlan的站点。而在传统局域网中,由于物理网络和逻辑子网的对应关系,因此任何一个站点所发送的广播数据包都将被转发至网络中的所有站点。
在交换式以太网中,各站点可以分别属于不同的vlan。构成vlan的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。vlan技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的vlan。到目前为止,基于交换式以太网实现vlan主要有三种途径:基于端口的vlan、基于mac地址的vlan和基于ip地址的vlan。
(1)基于端口的vlan
基于端口的vlan就是将交换机中的若干个端口定义为一个vlan,同一个vlan中的站点具有相同的网络地址,不同的vlan之间进行通信需要通过路由器。采用这种方式的vlan其不足之处是灵活性不好,例如当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个vlan,则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信。
(2)基于mac地址的vlan
在基于mac地址的 vlan中,交换机对站点的mac地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个vlan,而无论该站点在网络中怎样移动,由于其 mac地址保持不变,因此用户不需要进行网络地址的重新配置。这种vlan技术的不足之处是在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个vlan。
(3)基于ip地址的vlan
在基于ip地址的vlan中,新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的vlan。在三种vlan的实现技术中,基于ip地址的vlan智能化程度最高,实现起来也最复杂。
vlan 作为一种新一代的网络技术,它的出现为解决网络站点的灵活配置和网络安全性等问题提供了良好的手段。虽然vlan技术目前还有许多问题有待解决,例如技术标准的统一问题、vlan管理的开销问题和valn配置的自动化问题等等。然而,随着技术的不断进步,上述问题将逐步加以解决,vlan技术也将在网络建设中得到更加广泛的应用,从而为提高网络的工作效率发挥更大的作用。
事实上一个vlan(虚拟局域网)就是一个广播域。为了避免在大型交换机上进行的广播所引起的广播风暴,可将连接到大型交换机上的网络划分为多个vlan(虚拟局域网)。在一个vlan(虚拟局域网)内,由一个工作站发出的信息只能发送到具有相同vlan(虚拟局域网)号的其他站点。其它vlan(虚拟局域网)的成员收不到这些信息或广播帧。
采用vlan有如下优势:
1. 抑制网络上的广播风暴;
2. 增加网络的安全性;
3. 集中化的管理控制。
这就是在局域网交换机上采用vlan(虚拟局域网)技术的初衷,也确实解决了一些问题。但这种技术也引发出一些新的问题:随着应用的升级,网络规划/实施者可根据情况在交换式局域网环境下将用户划分在不同vlan(虚拟局域网)上。但是vlan(虚拟局域网)之间通信是不允许的,这也包括地址解析 (arp)封包。要想通信就需要用路由器桥接这些vlan(虚拟局域网)。这就是vlan(虚拟局域网)的问题:不用路由器是嫌它慢,用交换机速度快但不能解决广播风暴问题,在交换机中采用vlan(虚拟局域网)技术可以解决广播风暴问题,但又必须放置路由器来实现vlan(虚拟局域网)之间的互通。形成了一个不可逾越的怪圈。这就是网络的核心和枢纽路由器的问题。在这种网络系统集成模式中,路由器是核心。
路由器所起的作用是:
1. 网段微化(网段之间通过路由器进行连接);
2. 网络的安全控制;
3. vlan(虚拟局域网)间互连;
4. 异构网间的互连。
1.2.3 局域网瓶颈
(1)采用路由器作为网络的核心将产生的问题:
• 路由器增加了3层路由选择的时间,数据的传输效率低;
• 增加、移动和改变节点的复杂性有增无减;
• 路由器价格昂贵、结构复杂;
• 增加子网/vlan(虚拟局域网)的互连意味着要增加路由器端口,投资也增大。
相比之下,路由器是在osi七层网络模型中的第三层--网络层操作的,它在网络中,收到任何一个数据包(包括广播包在内),都要将该数据包第二层(数据链路层)的信息去掉(称为"拆包"),查看第三层信息(ip地址)。然后,根据路由表确定数据包的路由,再检查安全访问表;若被通过,则再进行第二层信息的封装(称为"打包"),最后将该数据包转发。如果在路由表中查不到对应mac地址的网络地址,则路由器将向源地址的站点返回一个信息,并把这个数据包丢掉。与交换机相比,路由器显然能够提供构成企业网安全控制策略的一系列存取控制机制。由于路由器对任何数据包都要有一个"拆打"过程,即使是同一源地址向同一目的地址发出的所有数据包,也要重复相同的过程。这导致路由器不可能具有很高的吞吐量,也是路由器成为网络瓶颈的原因之一。如果路由器的工作仅仅是在子网与子网间、网络与网络间交换数据包的话,我们可能会买到比今天便宜得多的路由器。实际上路由器的工作远不止这些,它还要完成数据包过滤、数据包压缩、协议转换、维护路由表、计算路由、甚至防火墙等许多工作。而所有这些都需要大量cpu资源,因此使得路由器一方面价格昂贵,另一方面越来越成为网络瓶颈。
(2)提高路由器的硬件性能,无法解决路由器瓶颈问题:
提高路由器的硬件性能(采用更高速,更大容量的内存)并不足以改善它的性能。因为路由器除了硬件支撑外,其"复杂的处理与强大的功能"主要是通过软件来实现的,这必然使得它成为网络瓶颈。另外,当流经路由器的流量超过其吞吐能力时,将引起路由器内部的拥塞。持续拥塞不仅会使转发的数据包被延误,更严重的是使流经路由器的数据包丢失。这些都给网络应用带来极大的麻烦。路由器的复杂性还对网络的维护工作造成了沉重的负担。例如,要对网络上的用户进行增加、移动或改变时,配置路由器的工作将显得十分复杂。
(3)交换机结合路由器存在不足:
将交换机和路由器结合起来(这也是当今大多数企业所采用的网络解决方案),从功能上来讲是可行的。然而,存在显然不足,不足之出在于:从网络用户的角度看,整个网络被分为两种等级的性能:直接经过交换机处理的数据包享受着高速公路快速、稳定的传递性能;但是那些必须经过路由器的数据包只能使用慢速通路,当流量负荷严重时,便会产生另人头痛的延迟。交换机和路由器是网络中不同的设备,须分别购买、设置和管理,其花费必然要多于一个基于集成化的单一完整的解决方案的花费。
1.2.4 第三层交换技术
局域网交换机的引入,使得网络站点间可独享带宽,消除了无谓的碰撞检测和出错重发,提高了传输效率,在交换机中可并行地维护几个独立的、互不影响的通信进程。在交换网络环境下,用户信息只在源节点与目的节点之间进行传送,其他节点是不可见的。但有一点例外,当某一节点在网上发送广播或组播时,或某一节点发送了一个交换机不认识的mac地址封包时,交换机上的所有节点都将收到这一广播信息。整个交换环境构成一个大的广播域。点到点是在第二层快速、有效的交换,但广播风暴会使网络的效率大打折扣。交换机的速度实在快,比路由器快的多,而且价格便宜的多。
可以说,在网络系统集成的技术中,直接面向用户的第一层接口和第二层交换技术方面已得到令人满意的答案。交换式局域网技术使专用的带宽为用户所独享,极大的提高了局域网传输的效率。但第二层交换也暴露出弱点:对广播风暴、异种网络互连、安全性控制等不能有效地解决。作为网络核心、起到网间互连作用的路由器技术却没有质的突破。当今绝大部分的企业网都已变成实施tcp/ip协议的web技术的内联网,用户的数据往往越过本地的网络在网际间传送,因而,路由器常常不堪重负。传统的路由器基于软件,协议复杂,与局域网速度相比,其数据传输的效率较低。但同时它又作为网段(子网,vlan)互连的枢纽,这就使传统的路由器技术面临严峻的挑战。随着 internet/intranet的迅猛发展和b/s(浏览器/服务器)计算模式的广泛应用,跨地域、跨网络的业务急剧增长,业界和用户深感传统的路由器在网络中的瓶颈效应。改进传统的路由技术迫在眉睫。一种办法是安装性能更强的超级路由器,然而,这样做开销太大,如果是建设交换网,这种投资显然是不合理的。
在这种情况下,一种新的路由技术应运而生,这就是第三层交换技术:第三层交换技术也称为ip交换技术、高速路由技术等。第三层交换技术是相对于传统交换概念而提出的。众所周知,传统的交换技术是在osi网络标准模型中的第二层�D�D数据链路层进行操作的,而第三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,第三层交换技术就是:第二层交换技术+第三层转发技术。这是一种利用第三层协议中的信息来加强第二层交换功能的机制。
一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。从硬件的实现上看,目前,第二层交换机的接口模块都是通过高速背板/总线(速率可高达几十gbit/s)交换数据的,在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路由器接口速率的限制(10mbit/s---100mbit/s)。在软件方面,第三层交换机也有重大的举措,它将传统的基于软件的路由器软件进行了界定,其作法是:
1.�倍杂谑�据封包的转发:如ip/ipx封包的转发,这些有规律的过程通过硬件得以高速实现。
2.�倍杂诘谌�层路由软件:如路由信息的更新、路由表维护、路由计算、路由的确定等功能,用优化、高效的软件实现。
假设两个使用ip协议的站点通过第三层交换机进行通信的过程,发送站点a在开始发送时,已知目的站的ip地址,但尚不知道在局域网上发送所需要的mac地址。要采用地址解析(arp)来确定目的站的mac地址。发送站把自己的ip地址与目的站的ip地址比较,采用其软件中配置的子网掩码提取出网络地址来确定目的站是否与自己在同一子网内。若目的站b与发送站a在同一子网内,a广播一个arp请求,b返回其mac地址,a得到目的站点b的mac地址后将这一地址缓存起来,并用此mac地址封包转发数据,第二层交换模块查找mac地址表确定将数据包发向目的端口。
(图b)
若两个站点不在同一子网内,如发送站a要与目的站c通信,发送站a要向“缺省网关”发出arp(地址解析)封包,而“缺省网关”的ip地址已经在系统软件中设置。这个 ip地址实际上对应第三层交换机的第三层交换模块。所以当发送站a对“缺省网关”的ip地址广播出一个arp请求时,若第三层交换模块在以往的通信过程中已得到目的站b的mac地址,则向发送站a回复b的mac地址;否则第三层交换模块根据路由信息向目的站广播一个arp请求,目的站c得到此arp请求后向第三层交换模块回复其mac地址,第三层交换模块保存此地址并回复给发送站a。以后,当再进行a与c之间数据包转发时,将用最终的目的站点的mac地址封包,数据转发过程全部交给第二层交换处理,信息得以高速交换。
(图c)
第三层交换具有以下突出特点:
1. 有机的硬件结合使得数据交换加速;
2. 优化的路由软件使得路由过程效率提高;
3. 除了必要的路由决定过程外,大部分数据转发过程由第二层交换处理;
4. 多个子网互连时只是与第三层交换模块的逻辑连接,不象传统的外接路由器那样需增加端口,保护了用户的投资。
第三层交换的目标是,只要在源地址和目的地址之间有一条更为直接的第二层通路,就没有必要经过路由器转发数据包。第三层交换使用第三层路由协议确定传送路径,此路径可以只用一次,也可以存储起来,供以后使用。之后数据包通过一条虚电路绕过路由器快速发送。第三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。当然,三层交换技术并不是网络交换机与路由器的简单叠加,而是二者的有机结合,形成一个集成的、完整的解决方案。
传统的网络结构对用户应用所造成的限制,正是三层交换技术所要解决的关键问题。目前,市场上最高档路由器的最大处理能力为每秒25万个包,而最高档交换机的最大处理能力则在每秒1000万个包以上,二者相差40倍。在交换网络中,尤其是大规模的交换网络,没有路由功能是不可想象的。然而路由器的处理能力又限制了交换网络的速度,这就是三层交换所要解决的问题。
第三层交换机并没有象其他二层交换机那样把广播封包扩散,第三层交换机之所以叫三层交换机是因为它们能看得懂第三层的信息,如ip地址、arp等。因此,三层交换机便能洞悉某广播封包目的何在,而在没有把他扩散出去的情形下,满足了发出该广播封包的人的需要,(不管他们在任何子网里)。如果认为第三层交换机就是路由器,那也应称作超高速反传统路由器,因为第三层交换机没做任何"拆打"数据封包的工作,所有路过他的封包都不会被修改并以交换的速度传到目的地。
目前主要的第三层交换技术有:
• ipsilon ip交换:ip交换技术由ipsilon公司首倡,即识别数据包流,尽量在第二层进行交换,以绕过路由器,改善网络性能。ipsilon改进了atm交换机,删去了控制器中的软件,加上一个ip交换控制器,与atm交换机通信。该技术适用于机构内部的局域网和校园网。
• cisco标签交换(tag switch):给数据包贴上标签,此标签在交换节点读出,判断数据包传送路径。该技术适用于大型网络和internet。
• 3com fast ip:侧重数据策略管理、优先原则和服务质量。fast ip协议保证实时音频或视频数据流能得到所需的带宽。fast ip支持其它协议(如ipx),可以运行在除atm外的其它交换环境中。客户机需要有设置优先等级的软件。
• ibm aris(aggregate route-based ip switching):与cisco的标签交换技术相似,包上附上标记,借以穿越交换网。aris一般用于atm网,也可扩展到其它交换技术。边界设备是进入atm交换环境的入口,含有第三层路由映射到第二层虚电路的路由表。允许atm网同一端两台以上的计算机通过一条虚电路发送数据,从而减少网络流量。
our ?
目前,第三层交换机已在网络集成中投入使用,其优良的性能已崭露锋芒并得到用户的推崇。但是,作为一种崭新的技术,第三层交换机的成熟还有很长的路,象其它一些新技术一样,还待进行其协议的标准化工作。目前很多厂商都宣称开发出了第三层交换机,但经国际权威机构测试,作法各异且性能表现不同。另外,可能是基于各厂商占领市场的策略,目前的第三层交换机主要可交换路由ip/ipx协议,还不能处理其它一些有一定应用领域的专用协议。因此,有关专家认为,第三层交换技术是将来的主要网络集成技术,传统的路由器在一段时间内还会得以应用,但它将处于其力所能及的位置,那就是处于网络的边缘,去作速度受限的广域网互联、安全控制(防火墙)、专用协议的异构网络互连等。
1.2.5 三层交换技术特点
(1)线速路由:
和传统的路由器相比,第三层交换机的路由速度一般要快十倍或数十倍,能实现线速路由转发。传统路由器采用软件来维护路由表,而第三层交换机采用asic (application specific integrated circuit)硬件来维护路由表,因而能实现线速的路由。
(2)ip路由:
在局域网上,二层的交换机通过源mac地址来标识数据包的发送者,根据目的mac地址来转发数据包。对于一个目的地址不在本局域网上的数据包,二层交换机不可能直接把它送到目的地,需要通过路由设备(比如传统的路由器)来转发,这时就要把交换机连接到路由设备上。
如果把交换机的缺省网关设置为路由设备的ip地址,交换机会把需要经过路由转发的包送到路由设备上。路由设备检查数据包的目的地址和自己的路由表,如果在路由表中找到转发路径,路由设备把该数据包转发到其它的网段上,否则,丢弃该数据包。
专用(传统)路由器昂贵,复杂,速度慢,易成为网络瓶颈,因为它要分析所有的广播包并转发其中的一部分,还要和其它的路由器交换路由信息,而且这些处理过程都是由cpu来处理的(不是专用的asic),所以速度慢。
第三层交换机既能象二层交换机那样通过mac地址来标识转发数据包,也能象传统路由器那样在两个网段之间进行路由转发。而且由于是通过专用的芯片来处理路由转发,第三层交换机能实现线速路由。
(3)路由功能
比较传统的路由器,第三层交换机不仅路由速度快,而且配置简单。在最简单的情况(即第三层交换机默认启动自动发现功能时),一旦交换机接进网络,只要设置完 vlan,并为每个vlan设置一个路由接口。第三层交换机就会自动把子网内部的数据流限定在子网之内,并通过路由实现子网之间的数据包交换。
管理员也可以通过人工配置路由的方式:设置基于端口的vlan,给每个vlan配上ip地址和子网掩码,就产生了一个路由接口。随后,手工设置静态路由或者启动动态路由协议。
(4)路由协议支持:
第三层交换机可以通过自动发现功能来处理本地ip包的转发及学习邻近路由器的地址,同时也可以通过动态路由协议rip1,rip2,ospf来计算路由路径。下面介绍一下rip协议和ospf协议。
路由信息协议(rip)是一个内部网关协议(igp),主要应用在中等规模的网络,rip协议采用距离向量算法,在路由信息中包括了到达目的ip(向量)的跳跃次数(距离),跳跃次数最小的路径是最优路径。rip允许的最大跳跃次数为15,需要跳跃16次及其以上的目的地址被认为是不可达的。
rip路由器通过周期性广播来与邻近的rip路由器交换路由信息,广播的时间间隔可以设定。广播的内容就是整个路由表。
当rip路由器收到邻近路由器的路由表后,要经过计算来决定是否更新自己的路由表。如果自己的路由表需要更新,路由器在更新完毕后会立即把更新的内容发到邻近的路由器而不必等待广播间隔时间的结束。
引起路由表的变化可能会有如下原因:
启动了一个新的接口;
使用中的接口出现了故障;
邻近路由器的路由表改变;
路由表中的某条记录的生存周期结束,被自动删除。
rip路由器要求在每个广播周期内,都能收到邻近路由器的路由信息,如果不能收到,路由器将会放弃这条路由:如果在90秒内没有收到,路由器将用其它邻近的具有相同跳跃次数(hop)的路由取代这条路由;如果在180秒内没有收到,该邻近的路由器被认为不可达。
rip 将路由器分为两种类型,一种是主动的,一种是被动的。主动路由器既可以发送自己的路由表,也可以接受邻近路由器的路由表。被动路由器只能接受邻近路由器的路由表。一旦启动了rip协议的某个端口学到了一条路由,它将保留这条路由,直到学到更好的路由。一旦有端口广播说某条路由失败了,其它收到这条消息的端口都应该对通过rip获得的路由信息做过时处理。一条路由如果在180秒内没有对外广播路由信息的话,该路由将会被认为是无效。
此外,当接口启动rip时,它通过和其直接相连的接口建立路由表。在和邻近路由器交换路由信息,建立一个稳定的最优化的路由表的过程中,有可能出现信息回路。一旦路由器收到了以自己作为中间跳转的路由,肯定出现了信息回路。例如:r2有一条通往ra的路由,它把这条路由广播给了r1,但是,在r1给r2的路由信息中也有到ra的路由,而且是以r2作为转跳路由器,这时就出现了信息回路。水平分割技术可以避免这种信息回路的产生。
(5)自动发现功能:
有些第三层交换机具有自动发现功能,该功能可以减少配置的复杂性。第三层交换机可以通过监视数据流来学习路由信息,通过对端口入站数据包的分析,第三层交换机能自动的发现和产生一个广播域、vlan、ip子网和更新他们的成员。自动发现功能在不改变任何配置的情况下,提高网络的性能。
第三层交换机启动后就自动具有ip 包的路由功能,它检查所有的入站数据包来学习子网和工作站的地址,它自动地发送路由信息给邻近的路由器和三层交换机,转发数据包。
一旦第三层交换机连接到网络,它就开始监听网上的数据包,并根据学习到的内容建立并不断更新路由表。交换机在自动发现过程中,不需要额外的管理配置,也不会发送探测包来增加网络的负担。
用户可以先用自动发现功能来获得简单高效的网络性能,然后根据需要来添加其他的路由、vlan等功能。
在第三层,自动发现有如下过程:
通过侦察arp,rarp或者dhcp响应包的原ip地址,在几秒终之内发现ip子网的拓扑结构。
在同一网络的不同网段之间建立一个逻辑连接,即在网段间进行路由,实现网段间信息通讯。
学习地址,根据ip子网、网络协议或组播地址来配置vlan,使用igmp(internet group management protocol)来动态更新vlan成员。
支持icmp(internet control message protocol)路由发现选项。
存储学习到的路由到硬件中,用线速转发这些地址的数据包。
把目的地址不在路由表中的包送到网络上的其他路由器。
通过侦听arp请求来学习每一台工作站的地址。
在子网之内实现ip包的交换。
在第二层,自动发现有如下过程:
通过硬件地址(mac)的学习,发现基于硬件地址(mac)的网络结构。
根据arp请求,建立路由表。
交换各种非ip包。
查看收到的数据包的目的地址,如果目的地址是已知的,将包转发到已知端口,否则将包广播到它所在的vlan的所有成员。
(6)过滤服务功能:
过滤服务功能用来设定界限,以限制不同的vlan的成员之间和使用单个mac地址和组mac地址的不同协议之间进行帧的转发。帧过滤依赖于一定的规则,交换机根据这些规则来决定是转发还是丢弃相应的帧。
早期的802.1d标准(1993),定义的基本过滤服务规定,交换机必须广播所有的组mac地址的包到所有的端口。
新的802.1d标准(1998)定义的扩展过滤服务规定,对组mac地址的包也可以进行过滤,对于交换机的外连端口要过滤掉所有的组播地址包。如果没有设置静态的或者动态的过滤条件,交换机将采用缺省的过滤条件。
扩展过滤服务功能使用gmrp(group multicast registration protocol) ,通过产生、删除一个组或者组成员,来控制交换机的动态组转发和组过滤。交换机和工作站使用gmrp来申明他们是否愿意接收一个组mac地址的帧。 gmrp协议在网上的交换机之间传波这样的组信息,使得交换机能够更新它们的过滤信息以实现扩展服务功能。
交换机在不做任何配置的情况下,就具有过滤服务和扩展过滤服务功能。对旧的交换机、集线器、路由器,由于它不支持动态的组播地址过滤,因而在与它们连接的相应端口要进行扩展过滤配置。
交换机根据过滤数据库来进行帧的过滤,交换机可以通过动态学习和手工配置两种方式来维护过滤数据库。交换机检查过滤数据库,根据以下条件来决定某个mac地址或者某个vlan标识的包是否应该转发到某一个端口:
默认地址
由管理员键入的静态过滤信息
通过查看数据包源地址而动态需学习到的单目地址
动态或者静态的vlan
通过gmrp管理的动态组播过滤信息或vlan成员信息
(7)二层(链路层)vlan:
在第二层,可以支持基于端口的vlan和基于mac 地址的vlan。基于端口的vlan可以快速的划分单个交换机上的冲突域,基于mac地址的vlan可以支持笔记本电脑的移动应用。
(8)三层(网络层)vlan:
三层vlan可以按照如下方式划分:
ip子网地址
网络协议
组播地址
第三层交换机的第三层vlan,不仅可以手工配置,也可以由交换机自动产生。交换机通过对数据包的分析后,自动配置vlan,自动更新vlan的成员。
第三层交换机能够工作在以dhcp(dynamic host control protocol)分配ip地址的网络环境中。交换机能自动发现ip地址,动态产生基于ip子网的vlan,当通过dhcp分配一个新的ip地址时,第三层交换机能很快的定位这个地址。第三层交换机通过igmp、gmrp、arp和包探测技术来更新其三层的vlan成员组。通过基于web的网络管理界面,可以对自动学习的范围进行设定:自动学习可以是完全不受限、部分受限或者完全禁止。
(9)第三层交换机是如何处理vlan的:
vlan通过对发送和过滤的限制提高了网络的性能。第三层交换机通过侦听来更新vlan成员表,根据数据包头的成员信息来做出转发或过滤决定。下面是交换机处理vlan的几个过程。
数据帧入站:
交换机根据入站数据帧的vlan标识号(vid)将它们分类,无标号的为一类,标号相同的为一类。交换机根据vid来决定转发或者丢弃一个数据包,同时交换机也可以分配一个vid给一个无标记帧或者贴了优先级标记的帧。
vlan标记:
如果一个数据帧没有标记vid,交换机将会分配一个vid给它,并把这个vid插到它的帧头中,这个过程叫做贴vlan标签。交换机通过这个过程来处理包的转发,来填写数据帧的vlan或者优先级信息的标记字段。管理员可以设置优先级别来选择vlan类型,选择vid值。交换机的缺省设置,首先选择的是贴 ip子网信息,然后是网络协议,然后是mac地址,然后是数据帧入站的端口。
过滤:
该过程验证目的地址和源地址是否在同一个vlan中。
转发:
根据vlan数据库的信息,交换机处理一个数据帧是要么转发,要么丢弃。
学习:
交换机检查数据帧的源地址和vlan分类信息,并且把它们记录在转发库里。
(10)vlan应用举例:
下面是一些不同形式的vlan应用举例:
工程部有些机密文件需要保密
解决方法:通过把工程部的用户放到他(或她)自己的基于mac地址的vlan中。这个vlan所唯一允许的访问,只有该用户自己。任何其它用户都不能监听到该用户的内容,因为该用户的内容不会转发到其它的网段上去。另外,还有一种更加安全的方式,分配一个专用的端口给这个用户,为他产生一个基于端口的 vlan。
销售部门的笔记本用户经常需要从外地进行拨号访问
解决方法:产生一个基于ip子网的vlan,使用ip地址来表示用户。这样无论用户处在何处都能进行网络访问。
公司安装了视频培训服务器,要防止用户做视频访问时占用太多的带宽
解决方法:产生一个组播地址的vlan。
公司总裁需要能访问财务,销售等其它部门的vlan
解决方法:使公司总裁成为其它各部门的vlan的成员。
2.三层交换机产品应用范例
2.1 校园网环境
拓扑图如下:
通过lrs-6706g第三层交换机完成高带宽、大容量网络层路由交换功能交换,是一种功能强大的校园网主干交换机,使网络管理者能方便的监督和管理网络,同时,又能将主干网带宽提升到千兆速度。lrs-6706g具有6个千兆端口并提供4个扩展插槽的机箱式第三层交换机。lrs-6706g配置非常灵活、实用,同时提供了极好的性能和经济合理的价位,他们建立在一个功能强大且绝对无阻塞的64g交换背板上。可选的扩展模块包括一个6端口的千兆模块,一个 16端口的10/100base-tx扩展模块。另外,lrs-6706g还提供两个广域网扩展接口,可用于连接t1/e1,multilink ppp或者frame relay。lrs-6706g同时提供了增强的网络传输能力,例如:ip 路由、服务质量(qos)、分级传送和ip组播。网络管理员能够随时通过任意一个端口配置以上功能,以消除传统路由器的瓶颈,设置优先级给不同类型的网络传输及保证某些应用的流量带宽,如视频传输。
lrs-6706g提供了广泛的管理选择,包括hp openview和其他的snmp管理系统,或者lrs-6706g自己提供的网络管理系统。使用netscape或ie浏览器,你可以很容易地通过 web方式对交换机进行配置和监控。其中包括配置ip路由、ip组播、静态vlan、生成树、设置陷阱和警报,察看rmon 状态和登录事件。也可以通过vt100仿真终端以文本界面方式设置交换机。lrs-6706g提供无可比拟的可靠性和通用性以保护用户的投资。
lrs -6706g提供到分布/接入层(教学楼、办公楼、图书馆、宿舍楼)des-3624i可堆叠以太网交换机、防火墙和服务器群(其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、www服务器等)、网管终端的高速连接,重要的服务器及主干链路均可采用千兆模块连接。
2.2 大型智能小区环境
方案描述:
采用两台lrs-6706g作为主干交换机,它们之间采用千兆链路连接。与多台楼层骨干交换机des-6000之间采用生成树(spanning tree)冗余连接,用以保证与骨干交换机之间的备份连接。des-6000与接入交换机des-3624i之间采用多链路冗余连接(port trunking),用以保证负载均衡及线路备份。port trunking技术可以在交换机之间或者交换机与服务器连接最多4条线路,实现负载均衡及线路冗余。如果采用快速以太网实现port trunking,可以达到800m带宽,采用千兆以太网,可以实现8g带宽.当两个交换机之间的一条线路出现故障,传输的数据会快速自动切换到另外一条线路上进行传输,不影响网络系统的正常工作,无需人工干预。用 lr-2501a路由器进行广域网连接。采用防火墙lf-2000,同时可提供防火墙功能。对于des-3624i的堆叠群,管理软件通过一个ip地址就可以完成整个堆叠群的管理。在整个网络拓扑结构中,对于堆叠群作为一个节点,通过一个ip地址进行管理。可以实时监测交换机,并且可以通过多种方式进行显示以便于观察,随时监控网络运行状况。
2.3 企业网络环境
网络方案特点:
高性能
中心交换机lrs- 6706g具有64gbps的背板带宽,采用cross point背板技术,比shared memory bus总线具有更高的性能,能达到最低的交换延迟。硬件分布式交换技术是网络交换性能和扩展性的保证。lrs-6706g的第3层交换性能是业界领先的, des-3624i交换机提供21.3gbps的背板带宽,能满足今天和将来对楼层交换机的要求。
支持多媒体应用
lrs-6706g和des-3624i在设计时已经加入了对qos的支持,再加上lrs-6706g优秀的多层交换能力,保证了整个网络基于策略的管理,从而保证支持多媒体应用。
良好的扩展性
lrs-6706g具有64gbps的带宽、4个插槽,保证了中心主干交换机的扩展性。
des-3624i是真正可堆叠的交换机,最多可堆叠4个,des-3624i交换机上还有一个扩展插槽,向千兆升级也很容易,只需插入相应的千兆模块即可。在所有的升级行动中现有的设备均不会被浪费。
3.相关网络术语
broadcast(广播)
递送报文分组的一种方式,按这种方式送出的报文分组将送到与发送系统连通的广播地址所覆盖的所有计算机系统。
broadcast address(广播地址)
专门用于同时向网络中所有工作站进行发送的一个地址。在使用tcp/ip协议的网络中,主机标识段hostid为全1的ip地址为广播地址,广播的分组传送给hostid段所涉及的所有计算机。
例如,对于10.1.120.0(255.255.255.0)网段,其广播地址为10.1.1.255(255即为2进制的11111111),当发出一个目的地址为10.1.1.255的分组(封包)时,它将被分发给该网段上的所有计算机。
collision(冲突)
多个事件同时请求一个服务,而这个服务又不能区分和应付多个请求所出现的现象。以太网使用csma/cd处理冲突和协调重新传输。
flow control(流量控制)
为防止计算机网络中信息传输出现拥挤而采取的一种措施。流量控制可在网络的多个层次上实现。例如在tcp/ip网络环境中,可在第三层即网络层上用icmp 协议采用抑制信源的办法实现流量控制。该机制是在点到点链路上的两个站之间建立的。如果接收站端拥塞,那么它可以将一个叫做“暂停帧”的帧发回连接另一端的始发站点,指示始发站点在某一具体时段停止发送数据包。在发送更多的数据之前,发送站要等待这种请求时间。接收站还能够以零等待时间将一个帧发回始发站点,指示始发站点再次开始发送数据。更复杂的办法可以连续改变发送频率,例如在网络第四层即传输层上采用的窗口机制就属于这种流量控制方法。
full-duplex(全双工)
全双工是在通道中同时双向数据传输的能力。
half-duplex(半双工)
在通道中同时只能沿着一个方向传输数据。
igmp(internet工作组管理协议)
igmp 主要用来解决网络上广播时占用带宽的问题。当网络上的信息要传输给所有工作站时,就发出广播(broadcast)信息(即ip地址主机标识位全为1),交换机会将广播信息不经过滤地发给所有工作站;但当这些信息只需传输给某一部分工作站时,通常采用组播(multicast,也称多点广播)的方式,这就要求交换机支持igmp。支持igmp的交换机会识别组播信息并将其转发至相应的组,从而使不需要这些信息的工作站的网络带宽不被浪费。 igmp对于提高多媒体传输时的网络性能尤为重要。
multicast(组播)
广播中组播是向选定目标发送信息的处理过程。对于广播信号,所有设备都准备好随时接收,而与广播不同的是组播仅对那些预先设置可以接收组播的网络节点进行有效传送。
port mirror(端口镜像)
port mirror是用于进行网络性能监测。可以这样理解:在端口a和端口b之间建立镜像关系,这样,通过端口a传输的数据将同时复制到端口b,以便于在端口b上连接的分析仪或者分析软件进行性能分析或故障判断。
port trunking(端口干路)
port trunking即将交换机上的多个物理端口,在逻辑上捆绑(bundle)在一起,形成一个拥有较大带宽的端口,组成一个干路。可以均衡负载,并提供冗余连接。
qos(服务质量)
qos是一个用于定义用户应用所需的特定参数的术语。服务参数的定义方式可能包括带宽需求、抖动、等待时间以及延迟。atm通过支持cbr、abr以及ubr流量来提供qos保证。
rarp(反向地址解析协议)
rarp用在仅知道一台计算机tcp/ip网上的硬件地址(mac)来确定ip地址的情况。
rmon :
rmon mib由一组统计数据、分析数据和诊断数据构成,利用许多供应商生产的标准工具都可以显示出这些数据,因而它具有独立于供应商的远程网络分析功能。 rmon探测器和rmon客户机软件结合在一起在网络环境中实施rmon。rmon的监控功能是否有效,关键在于其探测器要具有存储统计数据历史的能力,这样就不需要不停地轮询才能生成一个有关网络运行状况趋势的视图。“rmon mib功能组”功能框可以对通过rmom mib收集的网络管理信息类型进行描述。
snmp (简单网络管理协议)
snmp是一种广为使用的网络协议,它使用嵌入到网络设备中的代理软件来收集网络通信信息和有关网络设备的统计数据。代理不断地收集统计数据,如所收到的字节数,并把这些数据记录到一个管理信息库(mib)中。网管员通过向代理的mib发出查询信号可以得到这些信息。
stackable(堆叠)
堆叠是通过集线器的背板或是通过专用堆叠线缆连接起来的。堆叠后的数台集线器或交换机在逻辑上是一个被网管的设备。
spanning tree(生成树)
spanning tree亦遵循ieee803.1d标准。当网络中出现环路时,该协议可以采用生成树的算法从逻辑上断开其中一条连接,使其成为备份线路。当网络出现断路时,该协议会自动启动上述备份线路,确保网络正常工作。一种用于在网络中检测环路并逻辑地阻塞冗余路径,以确保在任意两个节点之间只存在一条路径的技术。为提高可靠性,网络中的设备间常需建立冗余连接。但是以太网的逻辑拓扑结构是星型或总线型的,因此链路中不允许出现环路。spanning tree可以解决上述矛盾。
tcp/ip(传输控制协议/互联网协议)
互联网协议族定义了内容广泛的服务,使得异构的网络系统可以相互操作。该协议族是一个分层的协议集合,包含了网络服务和通信的所有方面。它的主要定义包含在rfc 791和rfc 793中,但许多其他的相关rfc也适用于该协议族。
throughout(吞吐率)
吞吐率是指在一指定时间内由一处传输到另一处或被处理的数据量。以太网吞吐率的单位为“兆比特每秒”或“mb/s”。
uplink(级联)
级联是通过集线器(或交换机)的某个端口与其它集线器或交换机相连的,级联后每台集线器或交换机在逻辑上仍是多个被网管的设备。通过级联端口相连的设备不需要cross-over电缆。
1.1 共享技术
所谓共享技术即在一个逻辑网络上的每一个工作站都处于一个相同的网段上。
以太网采用csma/cd机制,这种冲突检测方法保证了只能有一个站点在总线上传输。如果有两个站点试图同时访问总线并传输数据,这就意味着“冲突”发生了,两站点都将被告知出错。然后它们都被拒发,并等待一段时间以备重发。
这种机制就如同许多汽车抢过一座窄桥,当两辆车同时试图上桥时,就发生了“冲突”,两辆车都必须退出,然后再重新开始抢行。当汽车较多时,这种无序的争抢会极大地降低效率,造成交通拥堵。
网络也是一样,当网络上的用户量较少时,网络上的交通流量较轻,冲突也就较少发生,在这种情况下冲突检测法效果较好。当网络上的交通流量增大时,冲突也增多,同进网络的吞吐量也将显著下降。在交通流量很大时,工作站可能会被一而再再而三地拒发。
1.2 交换技术
局域网交换技术是作为对共享式局域网提供有效的网段划分的解决方案而出现的,它可以使每个用户尽可能地分享到最大带宽。交换技术是在osi七层网络模型中的第二层,即数据链路层进行操作的,因此交换机对数据包的转发是建立在mac(media access control)地址--物理地址基础之上的,对于ip网络协议来说,它是透明的,即交换机在转发数据包时,不知道也无须知道信源机和信宿机的ip地址,只需知其物理地址即mac地址。交换机在操作过程当中会不断的收集资料去建立它本身的一个地址表,这个表相当简单,它说明了某个mac地址是在哪个端口上被发现的,所以当交换机收到一个tcp/ip封包时,它便会看一下该数据包的目的mac地址,核对一下自己的地址表以确认应该从哪个端口把数据包发出去。由于这个过程比较简单,加上这功能由一崭新硬件进行--asic(application specific integrated circuit),因此速度相当快,一般只需几十微秒,交换机便可决定一个ip封包该往那里送。
值得一提的是:万一交换机收到一个不认识的封包,就是说如果目的地mac地址不能在地址表中找到时,交换机会把ip封包"扩散"出去,即把它从每一个端口中送出去,就如交换机在处理一个收到的广播封包时一样。二层交换机的弱点正是它处理广播封包的手法不太有效,比方说,当一个交换机收到一个从tcp/ip工作站上发出来的广播封包时,他便会把该封包传到所有其他端口去,哪怕有些端口上连的是ipx或decnet工作站。这样一来,非tcp/ip节点的带宽便会受到负面的影响,就算同样的tcp/ip 节点,如果他们的子网跟发送那个广播封包的工作站的子网相同,那么他们也会无原无故地收到一些与他们毫不相干的网络广播,整个网络的效率因此会大打折扣。
从90年代开始,出现了局域网交换设备。从网络交换产品的形态来看,交换产品大致有三种:端口交换、帧交换和信元交换。
(1)端口交换端口交换技术最早出现于插槽式集线器中。这类集线器的背板通常划分有多个以太网段(每个网段为一个广播域)、各网段通过网桥或路由器相连。以太网模块插入后通常被分配到某个背板网段上,端口交换适用于将以太模块的端口在背板的多个网段之间进行分配。这样网管人员可根据网络的负载情况,将用户在不同网段之间进行分配。这种交换技术是基于osi第一层(物理层)上完成的,它并没有改变共享传输介质的特点,因此并不是真正意义上的交换。
(2)帧交换帧交换是目前应用的最广的局域网交换技术,它通过对传统传输媒介进行分段,提供并行传送的机制,减少了网络的碰撞冲突域,从而获得较高的带宽。不同厂商产品实现帧交换的技术均有差异,但对网络帧的处理方式一般有:存储转发式和直通式两种。 存储转发式(store-and-forward):当一个数据包以这种技术进入一个交换机时,交换机将读取足够的信息,以便不仅能决定哪个端口将被用来发送该数据包,而且还能决定是否发送该数据包。这样就能有效地排除了那些有缺陷的网络段。虽然这种方式不及使用直通式产品的交换速度,但是它们却能排除由破坏的数据包所引起的经常性的有害后果。
直通式(cut-through):当一个数据包使用这种技术进入一个交换机时,它的地址将被读取。然后不管该数据包是否为错误的格式,它都将被发送。由于数据包只有开头几个字节被读取,所以这种方法提供了较多的交换次数。然而所有的数据包即使是那些可能已被破坏的都将被发送。直到接收站才能测出这些被破坏的包,并要求发送方重发。但是如果网络接口卡失效,或电缆存在缺陷;或有一个能引起数据包遭破坏的外部信号源,则出错将十分频繁。 随着技术的发展,直通式交换将逐步被淘汰。
在“直通式”交换方式中,交换机只读出网络帧的前几个字节,便将网络帧传到相应的端口上,虽然交换速度很快,但缺乏对网络帧的高级控制,无智能性和安全性可言,同时也无法支持具有不同速率端口的交换;而“存储转发”交换方式则通过对网络帧的读取进行验错和控制。联想网络的产品都采用“存储转发”交换方式。
(3)信元交换
信元交换的基本思想是采用固定长度的信元进行交换,这样就可以用硬件实现交换,从而大大提高交换速度,尤其适合语音、视频等多媒体信号的有效传输。目前,信元交换的实际应用标准是atm(异步传输模式),但是atm设备的造价较为昂贵,在局域网中的应用已经逐步被以太网的帧交换技术所取代。
1.2.1 第二层交换技术
第二层的网络交换机依据第二层的地址传送网络帧。
第二层的地址又称硬件地址(mac地址),第二层交换机通常提供很高的吞吐量(线速)、低延时(10微秒左右),每端口的价格比较经济。
第二层的交换机对于路由器和主机是“透明的”,主要遵从802.1d标准。该标准规定交换机通过观察每个端口的数据帧获得源mac地址,交换机在内部的高速缓存中建立mac地址与端口的映射表。当交换机接受的数据帧的目的地址在该映射表中被查到,交换机便将该数据帧送往对应的端口。如果它查不到,便将该数据帧广播到该端口所属虚拟局域网(vlan)的所有端口,如果有回应数据包,交换机便将在映射表中增加新的对应关系。当交换机初次加入网络中时,由于映射表是空的,所以,所有的数据帧将发往虚拟局域网内的全部端口直到交换机“学习”到各个mac地址为止。这样看来,交换机刚刚启动时与传统的共享式集线器作用相似的,直到映射表建立起来后,才能真正发挥它的性能。
这种方式改变了共享式以太网抢行的方式,如同在不同的行驶方向上铺架了立交桥,去往不同方向的车可以同时通行,因此大大提高了流量。从虚拟局域网(vlan)角度来看,由于只有子网内部的节点竞争带宽,所以性能得到提高。主机1访问主机2 同时,主机3可以访问主机4。当各个部门具有自己独立的服务器时,这一优势更加明显。
但是这种环境正发生巨大的变化,因为服务器趋向于集中管理,另外,这一模式也不适合internet的应用。
不同虚拟局域网(vlan)之间的通讯需要通过路由器来完成,另外为了实现不同的网段之间通讯也需要路由器进行互连。路由器处理能力是有限的,相对于局域网的交换速度来说路由器的数据路由速度也是较缓慢的。路由器的低效率和长时延使之成为整个网络的瓶颈。
(图a)
虚拟局域网(vlan)之间的访问速度是加快整个网络速度的关键,某些情况下(特别是intranet),划定虚拟局域网本身是一件困难的事情。第三层交换机的目的正在于此,它可以完成intranet中虚拟局域网(vlan)之间的数据包以高速率进行转发。
1.2.2 vlan技术
在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。通常一个ip子网或者ipx子网属于一个广播域,因此网络中的广播域是根据物理网络来划分的。这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。同时,由于网络中的站点被束缚在所处的物理网络中,而不能够根据需要将其划分至相应的逻辑子网,因此网络的结构缺乏灵活性。
为解决这一问题,从而引发了虚拟局域网(vlan)的概念,所谓vlan是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。
vlan技术的基础 基于交换式以太网的vlan
在交换式以太网中,利用vlan技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个vlan中的站点所发送的广播数据包将仅转发至属于同一vlan的站点。而在传统局域网中,由于物理网络和逻辑子网的对应关系,因此任何一个站点所发送的广播数据包都将被转发至网络中的所有站点。
在交换式以太网中,各站点可以分别属于不同的vlan。构成vlan的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。vlan技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的vlan。到目前为止,基于交换式以太网实现vlan主要有三种途径:基于端口的vlan、基于mac地址的vlan和基于ip地址的vlan。
(1)基于端口的vlan
基于端口的vlan就是将交换机中的若干个端口定义为一个vlan,同一个vlan中的站点具有相同的网络地址,不同的vlan之间进行通信需要通过路由器。采用这种方式的vlan其不足之处是灵活性不好,例如当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个vlan,则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信。
(2)基于mac地址的vlan
在基于mac地址的 vlan中,交换机对站点的mac地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个vlan,而无论该站点在网络中怎样移动,由于其 mac地址保持不变,因此用户不需要进行网络地址的重新配置。这种vlan技术的不足之处是在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个vlan。
(3)基于ip地址的vlan
在基于ip地址的vlan中,新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的vlan。在三种vlan的实现技术中,基于ip地址的vlan智能化程度最高,实现起来也最复杂。
vlan 作为一种新一代的网络技术,它的出现为解决网络站点的灵活配置和网络安全性等问题提供了良好的手段。虽然vlan技术目前还有许多问题有待解决,例如技术标准的统一问题、vlan管理的开销问题和valn配置的自动化问题等等。然而,随着技术的不断进步,上述问题将逐步加以解决,vlan技术也将在网络建设中得到更加广泛的应用,从而为提高网络的工作效率发挥更大的作用。
事实上一个vlan(虚拟局域网)就是一个广播域。为了避免在大型交换机上进行的广播所引起的广播风暴,可将连接到大型交换机上的网络划分为多个vlan(虚拟局域网)。在一个vlan(虚拟局域网)内,由一个工作站发出的信息只能发送到具有相同vlan(虚拟局域网)号的其他站点。其它vlan(虚拟局域网)的成员收不到这些信息或广播帧。
采用vlan有如下优势:
1. 抑制网络上的广播风暴;
2. 增加网络的安全性;
3. 集中化的管理控制。
这就是在局域网交换机上采用vlan(虚拟局域网)技术的初衷,也确实解决了一些问题。但这种技术也引发出一些新的问题:随着应用的升级,网络规划/实施者可根据情况在交换式局域网环境下将用户划分在不同vlan(虚拟局域网)上。但是vlan(虚拟局域网)之间通信是不允许的,这也包括地址解析 (arp)封包。要想通信就需要用路由器桥接这些vlan(虚拟局域网)。这就是vlan(虚拟局域网)的问题:不用路由器是嫌它慢,用交换机速度快但不能解决广播风暴问题,在交换机中采用vlan(虚拟局域网)技术可以解决广播风暴问题,但又必须放置路由器来实现vlan(虚拟局域网)之间的互通。形成了一个不可逾越的怪圈。这就是网络的核心和枢纽路由器的问题。在这种网络系统集成模式中,路由器是核心。
路由器所起的作用是:
1. 网段微化(网段之间通过路由器进行连接);
2. 网络的安全控制;
3. vlan(虚拟局域网)间互连;
4. 异构网间的互连。
1.2.3 局域网瓶颈
(1)采用路由器作为网络的核心将产生的问题:
• 路由器增加了3层路由选择的时间,数据的传输效率低;
• 增加、移动和改变节点的复杂性有增无减;
• 路由器价格昂贵、结构复杂;
• 增加子网/vlan(虚拟局域网)的互连意味着要增加路由器端口,投资也增大。
相比之下,路由器是在osi七层网络模型中的第三层--网络层操作的,它在网络中,收到任何一个数据包(包括广播包在内),都要将该数据包第二层(数据链路层)的信息去掉(称为"拆包"),查看第三层信息(ip地址)。然后,根据路由表确定数据包的路由,再检查安全访问表;若被通过,则再进行第二层信息的封装(称为"打包"),最后将该数据包转发。如果在路由表中查不到对应mac地址的网络地址,则路由器将向源地址的站点返回一个信息,并把这个数据包丢掉。与交换机相比,路由器显然能够提供构成企业网安全控制策略的一系列存取控制机制。由于路由器对任何数据包都要有一个"拆打"过程,即使是同一源地址向同一目的地址发出的所有数据包,也要重复相同的过程。这导致路由器不可能具有很高的吞吐量,也是路由器成为网络瓶颈的原因之一。如果路由器的工作仅仅是在子网与子网间、网络与网络间交换数据包的话,我们可能会买到比今天便宜得多的路由器。实际上路由器的工作远不止这些,它还要完成数据包过滤、数据包压缩、协议转换、维护路由表、计算路由、甚至防火墙等许多工作。而所有这些都需要大量cpu资源,因此使得路由器一方面价格昂贵,另一方面越来越成为网络瓶颈。
(2)提高路由器的硬件性能,无法解决路由器瓶颈问题:
提高路由器的硬件性能(采用更高速,更大容量的内存)并不足以改善它的性能。因为路由器除了硬件支撑外,其"复杂的处理与强大的功能"主要是通过软件来实现的,这必然使得它成为网络瓶颈。另外,当流经路由器的流量超过其吞吐能力时,将引起路由器内部的拥塞。持续拥塞不仅会使转发的数据包被延误,更严重的是使流经路由器的数据包丢失。这些都给网络应用带来极大的麻烦。路由器的复杂性还对网络的维护工作造成了沉重的负担。例如,要对网络上的用户进行增加、移动或改变时,配置路由器的工作将显得十分复杂。
(3)交换机结合路由器存在不足:
将交换机和路由器结合起来(这也是当今大多数企业所采用的网络解决方案),从功能上来讲是可行的。然而,存在显然不足,不足之出在于:从网络用户的角度看,整个网络被分为两种等级的性能:直接经过交换机处理的数据包享受着高速公路快速、稳定的传递性能;但是那些必须经过路由器的数据包只能使用慢速通路,当流量负荷严重时,便会产生另人头痛的延迟。交换机和路由器是网络中不同的设备,须分别购买、设置和管理,其花费必然要多于一个基于集成化的单一完整的解决方案的花费。
1.2.4 第三层交换技术
局域网交换机的引入,使得网络站点间可独享带宽,消除了无谓的碰撞检测和出错重发,提高了传输效率,在交换机中可并行地维护几个独立的、互不影响的通信进程。在交换网络环境下,用户信息只在源节点与目的节点之间进行传送,其他节点是不可见的。但有一点例外,当某一节点在网上发送广播或组播时,或某一节点发送了一个交换机不认识的mac地址封包时,交换机上的所有节点都将收到这一广播信息。整个交换环境构成一个大的广播域。点到点是在第二层快速、有效的交换,但广播风暴会使网络的效率大打折扣。交换机的速度实在快,比路由器快的多,而且价格便宜的多。
可以说,在网络系统集成的技术中,直接面向用户的第一层接口和第二层交换技术方面已得到令人满意的答案。交换式局域网技术使专用的带宽为用户所独享,极大的提高了局域网传输的效率。但第二层交换也暴露出弱点:对广播风暴、异种网络互连、安全性控制等不能有效地解决。作为网络核心、起到网间互连作用的路由器技术却没有质的突破。当今绝大部分的企业网都已变成实施tcp/ip协议的web技术的内联网,用户的数据往往越过本地的网络在网际间传送,因而,路由器常常不堪重负。传统的路由器基于软件,协议复杂,与局域网速度相比,其数据传输的效率较低。但同时它又作为网段(子网,vlan)互连的枢纽,这就使传统的路由器技术面临严峻的挑战。随着 internet/intranet的迅猛发展和b/s(浏览器/服务器)计算模式的广泛应用,跨地域、跨网络的业务急剧增长,业界和用户深感传统的路由器在网络中的瓶颈效应。改进传统的路由技术迫在眉睫。一种办法是安装性能更强的超级路由器,然而,这样做开销太大,如果是建设交换网,这种投资显然是不合理的。
在这种情况下,一种新的路由技术应运而生,这就是第三层交换技术:第三层交换技术也称为ip交换技术、高速路由技术等。第三层交换技术是相对于传统交换概念而提出的。众所周知,传统的交换技术是在osi网络标准模型中的第二层�D�D数据链路层进行操作的,而第三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,第三层交换技术就是:第二层交换技术+第三层转发技术。这是一种利用第三层协议中的信息来加强第二层交换功能的机制。
一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。从硬件的实现上看,目前,第二层交换机的接口模块都是通过高速背板/总线(速率可高达几十gbit/s)交换数据的,在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路由器接口速率的限制(10mbit/s---100mbit/s)。在软件方面,第三层交换机也有重大的举措,它将传统的基于软件的路由器软件进行了界定,其作法是:
1.�倍杂谑�据封包的转发:如ip/ipx封包的转发,这些有规律的过程通过硬件得以高速实现。
2.�倍杂诘谌�层路由软件:如路由信息的更新、路由表维护、路由计算、路由的确定等功能,用优化、高效的软件实现。
假设两个使用ip协议的站点通过第三层交换机进行通信的过程,发送站点a在开始发送时,已知目的站的ip地址,但尚不知道在局域网上发送所需要的mac地址。要采用地址解析(arp)来确定目的站的mac地址。发送站把自己的ip地址与目的站的ip地址比较,采用其软件中配置的子网掩码提取出网络地址来确定目的站是否与自己在同一子网内。若目的站b与发送站a在同一子网内,a广播一个arp请求,b返回其mac地址,a得到目的站点b的mac地址后将这一地址缓存起来,并用此mac地址封包转发数据,第二层交换模块查找mac地址表确定将数据包发向目的端口。
(图b)
若两个站点不在同一子网内,如发送站a要与目的站c通信,发送站a要向“缺省网关”发出arp(地址解析)封包,而“缺省网关”的ip地址已经在系统软件中设置。这个 ip地址实际上对应第三层交换机的第三层交换模块。所以当发送站a对“缺省网关”的ip地址广播出一个arp请求时,若第三层交换模块在以往的通信过程中已得到目的站b的mac地址,则向发送站a回复b的mac地址;否则第三层交换模块根据路由信息向目的站广播一个arp请求,目的站c得到此arp请求后向第三层交换模块回复其mac地址,第三层交换模块保存此地址并回复给发送站a。以后,当再进行a与c之间数据包转发时,将用最终的目的站点的mac地址封包,数据转发过程全部交给第二层交换处理,信息得以高速交换。
(图c)
第三层交换具有以下突出特点:
1. 有机的硬件结合使得数据交换加速;
2. 优化的路由软件使得路由过程效率提高;
3. 除了必要的路由决定过程外,大部分数据转发过程由第二层交换处理;
4. 多个子网互连时只是与第三层交换模块的逻辑连接,不象传统的外接路由器那样需增加端口,保护了用户的投资。
第三层交换的目标是,只要在源地址和目的地址之间有一条更为直接的第二层通路,就没有必要经过路由器转发数据包。第三层交换使用第三层路由协议确定传送路径,此路径可以只用一次,也可以存储起来,供以后使用。之后数据包通过一条虚电路绕过路由器快速发送。第三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。当然,三层交换技术并不是网络交换机与路由器的简单叠加,而是二者的有机结合,形成一个集成的、完整的解决方案。
传统的网络结构对用户应用所造成的限制,正是三层交换技术所要解决的关键问题。目前,市场上最高档路由器的最大处理能力为每秒25万个包,而最高档交换机的最大处理能力则在每秒1000万个包以上,二者相差40倍。在交换网络中,尤其是大规模的交换网络,没有路由功能是不可想象的。然而路由器的处理能力又限制了交换网络的速度,这就是三层交换所要解决的问题。
第三层交换机并没有象其他二层交换机那样把广播封包扩散,第三层交换机之所以叫三层交换机是因为它们能看得懂第三层的信息,如ip地址、arp等。因此,三层交换机便能洞悉某广播封包目的何在,而在没有把他扩散出去的情形下,满足了发出该广播封包的人的需要,(不管他们在任何子网里)。如果认为第三层交换机就是路由器,那也应称作超高速反传统路由器,因为第三层交换机没做任何"拆打"数据封包的工作,所有路过他的封包都不会被修改并以交换的速度传到目的地。
目前主要的第三层交换技术有:
• ipsilon ip交换:ip交换技术由ipsilon公司首倡,即识别数据包流,尽量在第二层进行交换,以绕过路由器,改善网络性能。ipsilon改进了atm交换机,删去了控制器中的软件,加上一个ip交换控制器,与atm交换机通信。该技术适用于机构内部的局域网和校园网。
• cisco标签交换(tag switch):给数据包贴上标签,此标签在交换节点读出,判断数据包传送路径。该技术适用于大型网络和internet。
• 3com fast ip:侧重数据策略管理、优先原则和服务质量。fast ip协议保证实时音频或视频数据流能得到所需的带宽。fast ip支持其它协议(如ipx),可以运行在除atm外的其它交换环境中。客户机需要有设置优先等级的软件。
• ibm aris(aggregate route-based ip switching):与cisco的标签交换技术相似,包上附上标记,借以穿越交换网。aris一般用于atm网,也可扩展到其它交换技术。边界设备是进入atm交换环境的入口,含有第三层路由映射到第二层虚电路的路由表。允许atm网同一端两台以上的计算机通过一条虚电路发送数据,从而减少网络流量。
our ?
目前,第三层交换机已在网络集成中投入使用,其优良的性能已崭露锋芒并得到用户的推崇。但是,作为一种崭新的技术,第三层交换机的成熟还有很长的路,象其它一些新技术一样,还待进行其协议的标准化工作。目前很多厂商都宣称开发出了第三层交换机,但经国际权威机构测试,作法各异且性能表现不同。另外,可能是基于各厂商占领市场的策略,目前的第三层交换机主要可交换路由ip/ipx协议,还不能处理其它一些有一定应用领域的专用协议。因此,有关专家认为,第三层交换技术是将来的主要网络集成技术,传统的路由器在一段时间内还会得以应用,但它将处于其力所能及的位置,那就是处于网络的边缘,去作速度受限的广域网互联、安全控制(防火墙)、专用协议的异构网络互连等。
1.2.5 三层交换技术特点
(1)线速路由:
和传统的路由器相比,第三层交换机的路由速度一般要快十倍或数十倍,能实现线速路由转发。传统路由器采用软件来维护路由表,而第三层交换机采用asic (application specific integrated circuit)硬件来维护路由表,因而能实现线速的路由。
(2)ip路由:
在局域网上,二层的交换机通过源mac地址来标识数据包的发送者,根据目的mac地址来转发数据包。对于一个目的地址不在本局域网上的数据包,二层交换机不可能直接把它送到目的地,需要通过路由设备(比如传统的路由器)来转发,这时就要把交换机连接到路由设备上。
如果把交换机的缺省网关设置为路由设备的ip地址,交换机会把需要经过路由转发的包送到路由设备上。路由设备检查数据包的目的地址和自己的路由表,如果在路由表中找到转发路径,路由设备把该数据包转发到其它的网段上,否则,丢弃该数据包。
专用(传统)路由器昂贵,复杂,速度慢,易成为网络瓶颈,因为它要分析所有的广播包并转发其中的一部分,还要和其它的路由器交换路由信息,而且这些处理过程都是由cpu来处理的(不是专用的asic),所以速度慢。
第三层交换机既能象二层交换机那样通过mac地址来标识转发数据包,也能象传统路由器那样在两个网段之间进行路由转发。而且由于是通过专用的芯片来处理路由转发,第三层交换机能实现线速路由。
(3)路由功能
比较传统的路由器,第三层交换机不仅路由速度快,而且配置简单。在最简单的情况(即第三层交换机默认启动自动发现功能时),一旦交换机接进网络,只要设置完 vlan,并为每个vlan设置一个路由接口。第三层交换机就会自动把子网内部的数据流限定在子网之内,并通过路由实现子网之间的数据包交换。
管理员也可以通过人工配置路由的方式:设置基于端口的vlan,给每个vlan配上ip地址和子网掩码,就产生了一个路由接口。随后,手工设置静态路由或者启动动态路由协议。
(4)路由协议支持:
第三层交换机可以通过自动发现功能来处理本地ip包的转发及学习邻近路由器的地址,同时也可以通过动态路由协议rip1,rip2,ospf来计算路由路径。下面介绍一下rip协议和ospf协议。
路由信息协议(rip)是一个内部网关协议(igp),主要应用在中等规模的网络,rip协议采用距离向量算法,在路由信息中包括了到达目的ip(向量)的跳跃次数(距离),跳跃次数最小的路径是最优路径。rip允许的最大跳跃次数为15,需要跳跃16次及其以上的目的地址被认为是不可达的。
rip路由器通过周期性广播来与邻近的rip路由器交换路由信息,广播的时间间隔可以设定。广播的内容就是整个路由表。
当rip路由器收到邻近路由器的路由表后,要经过计算来决定是否更新自己的路由表。如果自己的路由表需要更新,路由器在更新完毕后会立即把更新的内容发到邻近的路由器而不必等待广播间隔时间的结束。
引起路由表的变化可能会有如下原因:
启动了一个新的接口;
使用中的接口出现了故障;
邻近路由器的路由表改变;
路由表中的某条记录的生存周期结束,被自动删除。
rip路由器要求在每个广播周期内,都能收到邻近路由器的路由信息,如果不能收到,路由器将会放弃这条路由:如果在90秒内没有收到,路由器将用其它邻近的具有相同跳跃次数(hop)的路由取代这条路由;如果在180秒内没有收到,该邻近的路由器被认为不可达。
rip 将路由器分为两种类型,一种是主动的,一种是被动的。主动路由器既可以发送自己的路由表,也可以接受邻近路由器的路由表。被动路由器只能接受邻近路由器的路由表。一旦启动了rip协议的某个端口学到了一条路由,它将保留这条路由,直到学到更好的路由。一旦有端口广播说某条路由失败了,其它收到这条消息的端口都应该对通过rip获得的路由信息做过时处理。一条路由如果在180秒内没有对外广播路由信息的话,该路由将会被认为是无效。
此外,当接口启动rip时,它通过和其直接相连的接口建立路由表。在和邻近路由器交换路由信息,建立一个稳定的最优化的路由表的过程中,有可能出现信息回路。一旦路由器收到了以自己作为中间跳转的路由,肯定出现了信息回路。例如:r2有一条通往ra的路由,它把这条路由广播给了r1,但是,在r1给r2的路由信息中也有到ra的路由,而且是以r2作为转跳路由器,这时就出现了信息回路。水平分割技术可以避免这种信息回路的产生。
(5)自动发现功能:
有些第三层交换机具有自动发现功能,该功能可以减少配置的复杂性。第三层交换机可以通过监视数据流来学习路由信息,通过对端口入站数据包的分析,第三层交换机能自动的发现和产生一个广播域、vlan、ip子网和更新他们的成员。自动发现功能在不改变任何配置的情况下,提高网络的性能。
第三层交换机启动后就自动具有ip 包的路由功能,它检查所有的入站数据包来学习子网和工作站的地址,它自动地发送路由信息给邻近的路由器和三层交换机,转发数据包。
一旦第三层交换机连接到网络,它就开始监听网上的数据包,并根据学习到的内容建立并不断更新路由表。交换机在自动发现过程中,不需要额外的管理配置,也不会发送探测包来增加网络的负担。
用户可以先用自动发现功能来获得简单高效的网络性能,然后根据需要来添加其他的路由、vlan等功能。
在第三层,自动发现有如下过程:
通过侦察arp,rarp或者dhcp响应包的原ip地址,在几秒终之内发现ip子网的拓扑结构。
在同一网络的不同网段之间建立一个逻辑连接,即在网段间进行路由,实现网段间信息通讯。
学习地址,根据ip子网、网络协议或组播地址来配置vlan,使用igmp(internet group management protocol)来动态更新vlan成员。
支持icmp(internet control message protocol)路由发现选项。
存储学习到的路由到硬件中,用线速转发这些地址的数据包。
把目的地址不在路由表中的包送到网络上的其他路由器。
通过侦听arp请求来学习每一台工作站的地址。
在子网之内实现ip包的交换。
在第二层,自动发现有如下过程:
通过硬件地址(mac)的学习,发现基于硬件地址(mac)的网络结构。
根据arp请求,建立路由表。
交换各种非ip包。
查看收到的数据包的目的地址,如果目的地址是已知的,将包转发到已知端口,否则将包广播到它所在的vlan的所有成员。
(6)过滤服务功能:
过滤服务功能用来设定界限,以限制不同的vlan的成员之间和使用单个mac地址和组mac地址的不同协议之间进行帧的转发。帧过滤依赖于一定的规则,交换机根据这些规则来决定是转发还是丢弃相应的帧。
早期的802.1d标准(1993),定义的基本过滤服务规定,交换机必须广播所有的组mac地址的包到所有的端口。
新的802.1d标准(1998)定义的扩展过滤服务规定,对组mac地址的包也可以进行过滤,对于交换机的外连端口要过滤掉所有的组播地址包。如果没有设置静态的或者动态的过滤条件,交换机将采用缺省的过滤条件。
扩展过滤服务功能使用gmrp(group multicast registration protocol) ,通过产生、删除一个组或者组成员,来控制交换机的动态组转发和组过滤。交换机和工作站使用gmrp来申明他们是否愿意接收一个组mac地址的帧。 gmrp协议在网上的交换机之间传波这样的组信息,使得交换机能够更新它们的过滤信息以实现扩展服务功能。
交换机在不做任何配置的情况下,就具有过滤服务和扩展过滤服务功能。对旧的交换机、集线器、路由器,由于它不支持动态的组播地址过滤,因而在与它们连接的相应端口要进行扩展过滤配置。
交换机根据过滤数据库来进行帧的过滤,交换机可以通过动态学习和手工配置两种方式来维护过滤数据库。交换机检查过滤数据库,根据以下条件来决定某个mac地址或者某个vlan标识的包是否应该转发到某一个端口:
默认地址
由管理员键入的静态过滤信息
通过查看数据包源地址而动态需学习到的单目地址
动态或者静态的vlan
通过gmrp管理的动态组播过滤信息或vlan成员信息
(7)二层(链路层)vlan:
在第二层,可以支持基于端口的vlan和基于mac 地址的vlan。基于端口的vlan可以快速的划分单个交换机上的冲突域,基于mac地址的vlan可以支持笔记本电脑的移动应用。
(8)三层(网络层)vlan:
三层vlan可以按照如下方式划分:
ip子网地址
网络协议
组播地址
第三层交换机的第三层vlan,不仅可以手工配置,也可以由交换机自动产生。交换机通过对数据包的分析后,自动配置vlan,自动更新vlan的成员。
第三层交换机能够工作在以dhcp(dynamic host control protocol)分配ip地址的网络环境中。交换机能自动发现ip地址,动态产生基于ip子网的vlan,当通过dhcp分配一个新的ip地址时,第三层交换机能很快的定位这个地址。第三层交换机通过igmp、gmrp、arp和包探测技术来更新其三层的vlan成员组。通过基于web的网络管理界面,可以对自动学习的范围进行设定:自动学习可以是完全不受限、部分受限或者完全禁止。
(9)第三层交换机是如何处理vlan的:
vlan通过对发送和过滤的限制提高了网络的性能。第三层交换机通过侦听来更新vlan成员表,根据数据包头的成员信息来做出转发或过滤决定。下面是交换机处理vlan的几个过程。
数据帧入站:
交换机根据入站数据帧的vlan标识号(vid)将它们分类,无标号的为一类,标号相同的为一类。交换机根据vid来决定转发或者丢弃一个数据包,同时交换机也可以分配一个vid给一个无标记帧或者贴了优先级标记的帧。
vlan标记:
如果一个数据帧没有标记vid,交换机将会分配一个vid给它,并把这个vid插到它的帧头中,这个过程叫做贴vlan标签。交换机通过这个过程来处理包的转发,来填写数据帧的vlan或者优先级信息的标记字段。管理员可以设置优先级别来选择vlan类型,选择vid值。交换机的缺省设置,首先选择的是贴 ip子网信息,然后是网络协议,然后是mac地址,然后是数据帧入站的端口。
过滤:
该过程验证目的地址和源地址是否在同一个vlan中。
转发:
根据vlan数据库的信息,交换机处理一个数据帧是要么转发,要么丢弃。
学习:
交换机检查数据帧的源地址和vlan分类信息,并且把它们记录在转发库里。
(10)vlan应用举例:
下面是一些不同形式的vlan应用举例:
工程部有些机密文件需要保密
解决方法:通过把工程部的用户放到他(或她)自己的基于mac地址的vlan中。这个vlan所唯一允许的访问,只有该用户自己。任何其它用户都不能监听到该用户的内容,因为该用户的内容不会转发到其它的网段上去。另外,还有一种更加安全的方式,分配一个专用的端口给这个用户,为他产生一个基于端口的 vlan。
销售部门的笔记本用户经常需要从外地进行拨号访问
解决方法:产生一个基于ip子网的vlan,使用ip地址来表示用户。这样无论用户处在何处都能进行网络访问。
公司安装了视频培训服务器,要防止用户做视频访问时占用太多的带宽
解决方法:产生一个组播地址的vlan。
公司总裁需要能访问财务,销售等其它部门的vlan
解决方法:使公司总裁成为其它各部门的vlan的成员。
2.三层交换机产品应用范例
2.1 校园网环境
拓扑图如下:
通过lrs-6706g第三层交换机完成高带宽、大容量网络层路由交换功能交换,是一种功能强大的校园网主干交换机,使网络管理者能方便的监督和管理网络,同时,又能将主干网带宽提升到千兆速度。lrs-6706g具有6个千兆端口并提供4个扩展插槽的机箱式第三层交换机。lrs-6706g配置非常灵活、实用,同时提供了极好的性能和经济合理的价位,他们建立在一个功能强大且绝对无阻塞的64g交换背板上。可选的扩展模块包括一个6端口的千兆模块,一个 16端口的10/100base-tx扩展模块。另外,lrs-6706g还提供两个广域网扩展接口,可用于连接t1/e1,multilink ppp或者frame relay。lrs-6706g同时提供了增强的网络传输能力,例如:ip 路由、服务质量(qos)、分级传送和ip组播。网络管理员能够随时通过任意一个端口配置以上功能,以消除传统路由器的瓶颈,设置优先级给不同类型的网络传输及保证某些应用的流量带宽,如视频传输。
lrs-6706g提供了广泛的管理选择,包括hp openview和其他的snmp管理系统,或者lrs-6706g自己提供的网络管理系统。使用netscape或ie浏览器,你可以很容易地通过 web方式对交换机进行配置和监控。其中包括配置ip路由、ip组播、静态vlan、生成树、设置陷阱和警报,察看rmon 状态和登录事件。也可以通过vt100仿真终端以文本界面方式设置交换机。lrs-6706g提供无可比拟的可靠性和通用性以保护用户的投资。
lrs -6706g提供到分布/接入层(教学楼、办公楼、图书馆、宿舍楼)des-3624i可堆叠以太网交换机、防火墙和服务器群(其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、www服务器等)、网管终端的高速连接,重要的服务器及主干链路均可采用千兆模块连接。
2.2 大型智能小区环境
方案描述:
采用两台lrs-6706g作为主干交换机,它们之间采用千兆链路连接。与多台楼层骨干交换机des-6000之间采用生成树(spanning tree)冗余连接,用以保证与骨干交换机之间的备份连接。des-6000与接入交换机des-3624i之间采用多链路冗余连接(port trunking),用以保证负载均衡及线路备份。port trunking技术可以在交换机之间或者交换机与服务器连接最多4条线路,实现负载均衡及线路冗余。如果采用快速以太网实现port trunking,可以达到800m带宽,采用千兆以太网,可以实现8g带宽.当两个交换机之间的一条线路出现故障,传输的数据会快速自动切换到另外一条线路上进行传输,不影响网络系统的正常工作,无需人工干预。用 lr-2501a路由器进行广域网连接。采用防火墙lf-2000,同时可提供防火墙功能。对于des-3624i的堆叠群,管理软件通过一个ip地址就可以完成整个堆叠群的管理。在整个网络拓扑结构中,对于堆叠群作为一个节点,通过一个ip地址进行管理。可以实时监测交换机,并且可以通过多种方式进行显示以便于观察,随时监控网络运行状况。
2.3 企业网络环境
网络方案特点:
高性能
中心交换机lrs- 6706g具有64gbps的背板带宽,采用cross point背板技术,比shared memory bus总线具有更高的性能,能达到最低的交换延迟。硬件分布式交换技术是网络交换性能和扩展性的保证。lrs-6706g的第3层交换性能是业界领先的, des-3624i交换机提供21.3gbps的背板带宽,能满足今天和将来对楼层交换机的要求。
支持多媒体应用
lrs-6706g和des-3624i在设计时已经加入了对qos的支持,再加上lrs-6706g优秀的多层交换能力,保证了整个网络基于策略的管理,从而保证支持多媒体应用。
良好的扩展性
lrs-6706g具有64gbps的带宽、4个插槽,保证了中心主干交换机的扩展性。
des-3624i是真正可堆叠的交换机,最多可堆叠4个,des-3624i交换机上还有一个扩展插槽,向千兆升级也很容易,只需插入相应的千兆模块即可。在所有的升级行动中现有的设备均不会被浪费。
3.相关网络术语
broadcast(广播)
递送报文分组的一种方式,按这种方式送出的报文分组将送到与发送系统连通的广播地址所覆盖的所有计算机系统。
broadcast address(广播地址)
专门用于同时向网络中所有工作站进行发送的一个地址。在使用tcp/ip协议的网络中,主机标识段hostid为全1的ip地址为广播地址,广播的分组传送给hostid段所涉及的所有计算机。
例如,对于10.1.120.0(255.255.255.0)网段,其广播地址为10.1.1.255(255即为2进制的11111111),当发出一个目的地址为10.1.1.255的分组(封包)时,它将被分发给该网段上的所有计算机。
collision(冲突)
多个事件同时请求一个服务,而这个服务又不能区分和应付多个请求所出现的现象。以太网使用csma/cd处理冲突和协调重新传输。
flow control(流量控制)
为防止计算机网络中信息传输出现拥挤而采取的一种措施。流量控制可在网络的多个层次上实现。例如在tcp/ip网络环境中,可在第三层即网络层上用icmp 协议采用抑制信源的办法实现流量控制。该机制是在点到点链路上的两个站之间建立的。如果接收站端拥塞,那么它可以将一个叫做“暂停帧”的帧发回连接另一端的始发站点,指示始发站点在某一具体时段停止发送数据包。在发送更多的数据之前,发送站要等待这种请求时间。接收站还能够以零等待时间将一个帧发回始发站点,指示始发站点再次开始发送数据。更复杂的办法可以连续改变发送频率,例如在网络第四层即传输层上采用的窗口机制就属于这种流量控制方法。
full-duplex(全双工)
全双工是在通道中同时双向数据传输的能力。
half-duplex(半双工)
在通道中同时只能沿着一个方向传输数据。
igmp(internet工作组管理协议)
igmp 主要用来解决网络上广播时占用带宽的问题。当网络上的信息要传输给所有工作站时,就发出广播(broadcast)信息(即ip地址主机标识位全为1),交换机会将广播信息不经过滤地发给所有工作站;但当这些信息只需传输给某一部分工作站时,通常采用组播(multicast,也称多点广播)的方式,这就要求交换机支持igmp。支持igmp的交换机会识别组播信息并将其转发至相应的组,从而使不需要这些信息的工作站的网络带宽不被浪费。 igmp对于提高多媒体传输时的网络性能尤为重要。
multicast(组播)
广播中组播是向选定目标发送信息的处理过程。对于广播信号,所有设备都准备好随时接收,而与广播不同的是组播仅对那些预先设置可以接收组播的网络节点进行有效传送。
port mirror(端口镜像)
port mirror是用于进行网络性能监测。可以这样理解:在端口a和端口b之间建立镜像关系,这样,通过端口a传输的数据将同时复制到端口b,以便于在端口b上连接的分析仪或者分析软件进行性能分析或故障判断。
port trunking(端口干路)
port trunking即将交换机上的多个物理端口,在逻辑上捆绑(bundle)在一起,形成一个拥有较大带宽的端口,组成一个干路。可以均衡负载,并提供冗余连接。
qos(服务质量)
qos是一个用于定义用户应用所需的特定参数的术语。服务参数的定义方式可能包括带宽需求、抖动、等待时间以及延迟。atm通过支持cbr、abr以及ubr流量来提供qos保证。
rarp(反向地址解析协议)
rarp用在仅知道一台计算机tcp/ip网上的硬件地址(mac)来确定ip地址的情况。
rmon :
rmon mib由一组统计数据、分析数据和诊断数据构成,利用许多供应商生产的标准工具都可以显示出这些数据,因而它具有独立于供应商的远程网络分析功能。 rmon探测器和rmon客户机软件结合在一起在网络环境中实施rmon。rmon的监控功能是否有效,关键在于其探测器要具有存储统计数据历史的能力,这样就不需要不停地轮询才能生成一个有关网络运行状况趋势的视图。“rmon mib功能组”功能框可以对通过rmom mib收集的网络管理信息类型进行描述。
snmp (简单网络管理协议)
snmp是一种广为使用的网络协议,它使用嵌入到网络设备中的代理软件来收集网络通信信息和有关网络设备的统计数据。代理不断地收集统计数据,如所收到的字节数,并把这些数据记录到一个管理信息库(mib)中。网管员通过向代理的mib发出查询信号可以得到这些信息。
stackable(堆叠)
堆叠是通过集线器的背板或是通过专用堆叠线缆连接起来的。堆叠后的数台集线器或交换机在逻辑上是一个被网管的设备。
spanning tree(生成树)
spanning tree亦遵循ieee803.1d标准。当网络中出现环路时,该协议可以采用生成树的算法从逻辑上断开其中一条连接,使其成为备份线路。当网络出现断路时,该协议会自动启动上述备份线路,确保网络正常工作。一种用于在网络中检测环路并逻辑地阻塞冗余路径,以确保在任意两个节点之间只存在一条路径的技术。为提高可靠性,网络中的设备间常需建立冗余连接。但是以太网的逻辑拓扑结构是星型或总线型的,因此链路中不允许出现环路。spanning tree可以解决上述矛盾。
tcp/ip(传输控制协议/互联网协议)
互联网协议族定义了内容广泛的服务,使得异构的网络系统可以相互操作。该协议族是一个分层的协议集合,包含了网络服务和通信的所有方面。它的主要定义包含在rfc 791和rfc 793中,但许多其他的相关rfc也适用于该协议族。
throughout(吞吐率)
吞吐率是指在一指定时间内由一处传输到另一处或被处理的数据量。以太网吞吐率的单位为“兆比特每秒”或“mb/s”。
uplink(级联)
级联是通过集线器(或交换机)的某个端口与其它集线器或交换机相连的,级联后每台集线器或交换机在逻辑上仍是多个被网管的设备。通过级联端口相连的设备不需要cross-over电缆。