第7章 第三层交换
20世纪90年代中期以来, 第三层交换(l3)技术成为it媒体频频出现的词汇,各网络供应商把它最为
竞争的法宝。
7.1 概述
1.使用网桥的局限性
网桥的优缺点:
(1)网桥基于mac地址,实现lan之间的互联。优点是:网络*作简单,速度快,与osi的其他层
无关。其易于维护且价格低廉。
(2)网桥无法实现流控,广播包从一个lan到另一个lan,常会引起大量的多路广播,造成网络效
率降低。最严重时会造成广播风暴,是整个网络瘫痪。
(3)当网桥构成网状结构时,会产生广播包和不知道目的地址的数据包的循环问题。为此制定了
生成树的算法。即在一个网络中,任意两个终端之间只有一条路径。
(4)在某些情况下,因网桥拥塞而丢失数据包,使网络不稳定、不可靠。
(5)广播包是需要的,但太多的广播包会导致网络效率降低。
2.路由器的引入及其局限性
*路由器的优缺点:
(1)网络分段,这是路由器最主要的功能之一。路由器可以将不同的lan互联。
(2)路径选择,通过对数据包中的ip地址检查,选择出路径。
(3)隔离广播,路由器可以住址广播流量从一个lan到另一个lan,可避免广播风暴。
(4)安全性与防火墙,只有被授权的用户才能通过路由器。
(5)第三层的特殊服务,如优先权控制。
(6)广域网连接,大多数网络目前仍使用路由器作为网络连接设备。
*路由器的工作原理:(略)
*路由器的限制:
(1)路由器需对每一个数据包检查,即使是同一源地址到同一目的地址的数据包也不例外,重复
工作。
(2)软件是路由器的主要实现方式,由于以上原因,路由器的吞吐量不可能很高。
(3)路由器在流量超过本身的吞吐量时,会造成数据包丢失或延误,给网络造成危害。
3.局域网交换技术的引入及其局限性
交换式网络是以交换器为中心构造的网络体系,交换式网络与多端口网桥非常相似,他们都工作
在第二层,网桥交换事业是基于每个数据包的终点地址(mac)。
交换式网络的实现通常采用全硬件结构实现,具有速度快,可以为每一个节点提供全部网络带
宽,但同网桥一样它也不具备隔离广播数据包的能力。
4.l3交换技术引入的背景
交换技术可以克服网络带宽的局限,而路由器又能解决tcp/ip中的地址问题,那么将两者技术结
合起来,扬长避短,发挥各自的优点,从而解决以上问题。在这种背景下,产生了交换式网络技
术。
7.2 l3交换技术解决方案的分类
目前已提出的l3交换技术解决方案分为两类:
一类基于核心模型,另一类基于边缘多层混合交换模型。
7.2.1 解决方案的分类
1.基于核心模型的解决方案
主要解决核心关键节点,即路由器的第三层交换技术。有两种方案:
(1)对于每一个数据包都需检查源/目的ip地址的方法,改为检查数据分组携带的网络流标志为
依据,这样就大大减小了检查的时间,提高了吞吐率。
(2)完全用asic(专用集成电路)硬件以线速来实现路由器的路由/转发、流控、管理、服务质
量等功能。
2.于边缘多层混合交换模型的解决方案
'一次路由,随后交换'的方案:
(1)这种方案认为网络智能应该在网络的边缘,而不是在网路的关键节点实现,因为这样可以减
少网络中继点的额外开销。
(2)这种方案认为绝大多数策略和请求都在端系统上完成,少数特定的控制功能(如身份认证、
防火墙、流量统计等)则集中在少数几个网络核心节点的智能系统。
(3)这种方案认为在第三层路由一次,然后在第二层交换端到端的网络数据分组。
7.2.2 两种l3交换实现策略
1.原有设备和系统进行升级和改造
在有关的边缘和核心设备上,配置新的软件、硬件或者更换部分部件,使数据流效率大大提高。
2.设计全新的、功能完善的高性能l3交换器以代替作为核心设备的传统路由器
7.3 局域网系统中使用的典型的l3交换技术
7.3.1 3com的fastip技术
3com的fastip技术是一种典型的边缘多层混合交换模型的解决方案,它采用了'一次路由,随后交
换'的方案:nhrp(下一条路由协议)是fastip的主要技术基础。
1.nbma(非广播多路访问)网的nhrp协议简介
(1)nbma(非广播多路访问)网的nhrp协议可以参见rfc1735。
(2)nhrp并不是一个路由协议,它只是一个ip逻辑子网(lis)的地址解析协议,适用于nbma
(非广播多路访问)网(atm网就是nbma,因为atm是面向连接,它和广播无连接以太网不同)。
(3)nhrp是一个标准的ip格式数据包,源站的mac地址和ip地址以及帧类型,帧类型指出这是
nhrp请求数据包。
(4)利用nhrp协议进行通信:
?在同一个nbma网中,就使用nhrp协议进行地址解析;
?在不同一个nbma网中,则把目的端所在子网的路由器的nbma地址通知源端。
?在同一个nbma网中,不管是否划分为多个子网,都不需要路由器交换。
例如:在下例中,(a)为没使用nhrp协议的nbma网络;(b)为使用nhrp协议的nbma网络,他们
的交换方式如下:
2.局域网环境中的fastip技术
fastip技术介绍:
(1)一个未端系统主机a在需要传送数据给另一个未端系统主机b,a和b分别在不同的ip逻辑子网
或者在不同的虚拟局域网中。
(2)主机a首先初始化一个标准的ip通信进程,然后就可以发送数据分组给它的缺省路由器(一
般称为缺省网关)。
(3)a首先传送一个nhrp请求,(包括主机a的mac地址)给主机b。
(4)但路由器收到nhrp后,如果控制策略允许的话,路由器将这个请求转发给主机b,否则就丢
弃,并且后继的数据必须按路由器路径转发。
(5)如果控制策略允许的话,b收到a的nhrp请求后,他立即回送一个nhrp响应,在这个响应的源
地址字段中b填写自己的mac地址,在目的地址字段中填写a的mac地址。
(6)这个响应通过一条交换路径(不是路由路径)返回a。
(7)随后就可以建立数据交换路径,进行双方的通信,这就是 “一次路由,随后交换”。
注意:
fastip有一定的拓扑结构的限制,因为nhrp是基于交换路径的,在源端和目的端之间必须存在交
换路径,如下图,则不支持fastip。
3.fastip技术特点
fastip技术特点总结如下:
(1) fastip技术的思路是设法在数据交换过程中避开第三层路由器。即把基于ip地址路由表功能
转化成基于端口——mac地址表的转发功能,从而实现完全的端到端高速交换通信。
(2)fastip是基于局域网的第三层交换解决方案,除了3com的网络接口卡和软件支持外,可以兼容
许多第三方产品和技术。
(3)fastip并不是要替代路由,而是把交换和路由很好地结合在一起。经测试,fastip可以把网络
的吞吐率提高4~5倍。
7.3.2 cisco的netflow交换
cisco使全球首屈一指的路由器设备供应商。
1.cisco的netflow交换处理
传统的第三层路由技术为:
对每一个数据分组分别独立地进行处理,即使是源端和目的端相同的分组也要进行分别独立地进
行处理。过程可记为:mac——ip——mac。
netflow交换如下:
(1)每一个数据分组仍然采用一般的第三层路由/交换方式,处理之后的路由器把第一个数据分
组的信息记录在netflow的高速缓存中;
(2)后继的分组到达后,首先在高速缓存(cache)中进行匹配查找,如果命中,就使用高速缓存
(cache)中缓存的路由信息,直接进行交换转发,否则再进行通常的路由转发。
(3)netflow技术中,网络流的划分标准是源和目的ip地址,因此netflow必须首先识别一个分组
所携带的源和目的ip地址域,并查找。
(4)netflow速度可达到每秒30万个分组。
(5)cisco还采用了一种专用的技术,可以支持流状态信息的搜集和输出,便于管理者管理。
2.cisco netflow”交换”的意义
(1)netflow仍然工作在第三层,而不是第二层.
(2)netflow交换是一种传统的路由转发的改进方法,即使用高速缓存(cache)的一个变种,在技术
上做了一些改进.
(3)netflow并没有建立连接源和目的端系统的第二层交换路径,它只是单独的路由器上完成的.
数据分组被”交换”只有局部意义,这与通常意义上的交换是完全不同的.
7.4 广域网中的l3交换技术
广域网的速率可达到g和t比特.
7.4.1 广域网存在的问题
1.广域网的数据传输及其存在问题
举例:(1)cep路由器a到cep路由器b
(2)cep路由器a到cep路由器zz
存在的问题:
(1)核心路由器汇集了大量的网络流量,因此会成为网络通信的瓶颈;
(2)所有的通信数据分组都必须经过核心路由器的路由/转发;
(3)广域网的多个路由器中继影响了网络的吞吐量;
(4)如果网络扩大,就必须不断地投资来提高核心路由器的处理能力;
(5)网络不够健壮,一旦关键节点崩溃就会瘫痪。
2.管理和服务面临的问题
(1)呈几何级数膨胀的虚拟连接的管理。虚拟连接的复杂度为:n×n,n为节点数;
(2)吞吐率:路由器必须提高转发速度,才能满足全双工信元传输。(atm)
(3)支持端到端的服务质量。
7.4.2 cisco的标记交换
标记交换的思想是增强广域网的核心路由器的路由/转发功能。
1.标记交换的处理概述
(1)相邻的标记交换路由器(tsr)之间的路由信息的交互都是基于网络层的路由协议。
(2)标记:是一个很短的长度固定的标号,路由表使用标记而不是用传统的查找方法,前者要比
后者快的多。
(3)标记交换路由器的原理:
一般来说,只在广域网边缘路由器进行路由选择,在输入端路由器生成一个很长的
标记,每经过一个路由器,就把标记去掉一个域,一直到出端路由器。
(4)每个标记交换路由器(tsr)要实现两个功能:
?基于标记的转发/交换功能,用硬件实现。
?管理互联tsr的合法标记集。用软件实现。
2.基于标记交换的转发/交换功能
标记信息存放的地方:
(1)插在第二层的帧头之后,但在第三层的分组头之前;
(2)添入atm信元的vpi/vci域。
第8章 虚拟局域网
虚拟局域网的产生
在lan交换技术中,虚拟局域网是一种迅速发展的技术。此种技术的核心是通过路由和交换设备在
网络的物理拓扑结构基础上建立一个逻辑网络,以使得网络中任意几个lan段或(和)单站能够组合
成一个逻辑上的局域网。
在20世纪90年代初,具有多端口的路由器开始取代网桥,以达到在第三层对网络进行分段的目
的,并实现对广播数据的抑制。在此种只使用路由器的网络中,网段和广播域是一一对应的。在
一个网段,也即一个广播域中通常只包含有30—100个用户。
在引入交换技术之后,人们可以在第二层上将网络划分成更小的分段,这样做的好处是各网段的
带宽将得以提高,而网络中路由器可以集中力量作好广播数据的抑制工作。此时一个广播城可以
跨越多个交换的网段,从而使得在一个广播域中提供对500个甚至更多的用户的支持也不再是什么
困难的事。而vlan则代表着—种不用路由器对广播数据进行抑制的解决方案。
在vlan中,对广播数据的抑制将由交换器完成。此时每一个物理网段可以仅包含一个用户,而一
个广播域中则可以具有多达1000个以上的用户。另外vlan还可以跟踪各个工作站物理位置的变
动,使之在移动位置之后不需要对其网络地址重新进行手工配置。
在本章中我们将讨论vlan的特点、结构、实现机制、功能以及将来发展的情况。
8.1 概 述
8.1.1 什么是vlan
要对vlan下一个确切的定义可能是一件比较困难的事,因各厂商有不同的vlan解决方案,但可以
这样认为,vlan基本上可以看成是一个广播域。说的具体一点,一个vlan可以看成是一组客户工
作站的集合。这些工作站不必处于同一个物理网络上,它们可以不受地理位置的限制像处于同一
个lan上那样进行通信和信息交换。
如图8.1所示,即为vlan的一个例子。
在整个网络结构中,划分了三个vlan,分别为工程vlan、市场vlan及财会vlan,每一个vlan包括
了相应的客户站。可以认为一个vlan实际上是逻辑上的网段。
此种逻辑上的网段给lan的管理、安全性以及广播数据的抑制带来诸多的益处。现vlan需要具备以
下若干条件:
?具有能够将所连接的客户站进行逻辑分段的高性能交换机。
?在网上传输vlan信息的通信协议。
?进行vlan间通信的第三层路由解决方案。
?同已安装的lan系统能够实现vlan的兼容性和互操作性。
?提供具有集中控制、配置和流量管理功能的网管方案。
虚拟局域网需要解决的问题:在实现vlan的过程中有许多需要解决,但最为关键的是如下几个问
题:
?如何在整个网络范围内定义务vlan中的成员,即vlan划分方法。
?如何在多个交换设备之间传递vlan成员信息
?vlan的配置问题如何解决
?vlan之间的通信如何进行
这些问题如何解决将影响到某个vlan实现是否能够有效地满足用户和网络管理的要求。由于vlan
都是在交换网络环境中实现的。在此种网络环境中最核心的问题是交换设备。交换设备是各客户
工作站连人交换网络的入口点,它可以提供对用户、端口、以及逻辑地址进行分组以构成vlan的
能力。
当前lan交换设备在物理上一般都安装在共享式的分段hub和位于主干网的路由器之间,它将在
vlan的分段及实现低延迟的报文转发方面起到至关重要的作用。总的来说,vlan交换设备除了能
够显著地提高网络的性能和专用带宽外,同时它还具有完成vlan的划分所必需的能力。
8.2 建立虚拟局域网的交换技术
8.2.1 端口交换
端口交换或称配置交换,最初的方式是把端口经过手工配置到一个或若干个通过背板连接的共享
hub上,可以形成若干个独立的由端口组合的共享媒体段,每一个连接到端口上的用户被分配到其
中一个段上。(端口连接的配置可人为确定)
近年来发展成为一种称为端口交换(port switch)的设备,在一个或几个通过背板连接的端口交换
器上,通过软硬件的控制和管理,交换器上的所在端口划分成若干个共享式的互相独立的vlan。
端口交换方式的特点有二:
?一是端口用户组成小规模的vlan非常灵活;
?二是在全局交换网络上,端口交换能够为全局vlan提供有效的、灵活的前端配置端口
组合的功能。
8.2.2 帧交换(第二层交换)
lan(ethernet,token ring或fddi)交换器(机)每一个端口上提供一个独立的共享媒体端口,在此
端口上可以接共享hub也可以接单独的一个客户站。在一个端口上接收到的帧正确地转发到输出端
口上,在寻找路径和转发时,帧是不会被破坏的。
(1)对于广播帧来说,可以转发到交换器上的所有端口。
(2)虚拟化后,一个交换器或者互联的若干交换器上的每个端口可以被分配给任何vlan,即在网
络系统中形成若干个vlan。
帧交换方式的特点是比端口交换增加了有效的带宽,lan交换器上每个端口用户具有独占带宽(例
10mbps,100mbps)的性能,交换器间互联的速率可达数百兆甚至千兆位传输率。服务器和高速客
户站可以直接连到交换器端口上。
目前,绝大多数厂家的lan交换器(机)均按帧交换方式来实现vlan的交换,ethernet交换器与端口
交换器组合应用,使用户加入vlan更灵活。
8.2.3 信元交换
atm交换机上实现信元交换,一个或者多个互联的atm交换机组成网络的核心系统,类似于帧交换
(需查交换表),所不同的是从atm交换机端口上接收到信元后,正确地转发到输出端口。
8.3 划分虚拟局域网的方法
常用的vlan划分方法如下:
8.3.1 按交换端口号
将交换设备端口进行分组来划分vlan,如图8.3所示。交换器1与交换器2上端口 1、2、3、8与
1、7、8所连接的客户站构成vlana。而相应的端口4、5、6、7与4、5、6所连接的客户站构成
vlanb。
在最初的实现中,vlan是不能跨越交换设备的。后来进一步的发展使得vlan可以跨越多个交换设
备。
按端口号划分vlan仍然是构造vlan的一个最常用的方法。而且此种方法也确实是比较简单并且非
常有效。但仅靠端口分组而定义vlan将无法使得同一个物理分段(或交换端口)同时参与到多个
vlan中,而且更要紧的是当一个客户站从一个端口移至另一个端口时,网管人员将不得不对vlan
成员进行重新配置。
8.3.2 按mac地址
这种方法的特点是由网管人员指定属于同一个vlan中的各客户站的mac地址。
用mac地址进行vlan成员的定义既有优点也有缺点。由于mac地址是固化在网卡中的,故移至网络
中另外一个地方时它将仍然保持其原先的vlan成员身份而无需网管人员对之进行重新的配置,从
这个意义讲,用mac地址定义的vlan可以看成是基于用户的vlan。
但这种方法也有许多不足之处,首先所有的用户在最初都必须被配置到(手工方式)至少一个vlan
中,只有在此种手工配置之后方可实现对vlan成员的自动跟踪。但在大型的网络中完成初始的配
置并不是一件容易的事。