笑傲江湖之三层交换篇
令狐冲十四岁那年进入华山,那年岳琳珊八岁,岳不群白天给两人指点剑法,晚上令狐冲给小师妹讲故事哄她入睡。后来,岳不群陆续收了劳德诺,陆大有等徒弟,又忙于修炼紫霞神功,就没有时间指点徒弟。于是他做了*个HUB,从此华山派实现教育电子化,岳不群在网上同时给每个徒弟授课,这种方法很快在五岳剑派内部推广。为了在五岳剑派之间互连,嵩山派掌门左冷禅研制出路由器,使得五岳剑派之间可以互联互通。令狐冲晚上就通过网络给小师妹讲故事。
很快,岳琳珊已经十六岁,变成了*个亭亭玉立的小姑娘了。令狐冲发现自己的目光总是不由自主的在小师妹身上停留,每次和小师妹在*起的时候,总能听到自己强烈的心跳声,经过了*段时间的茶饭不思后,终于有*天晚上,令狐冲在网上给小师妹发了**情意绵绵的诗:你是风儿我是沙,你是蜜蜂我是花,你是梳子我是头发,你是牙膏我是牙刷。
第二天,华山派开例会,令狐冲怀着忐率不按的心情来到了会议室,发现小师妹红着脸躲在师父后面,而其它的师弟都在偷偷朝自己笑,开完会,*个调皮的师弟就过来叫牙刷师兄,赶紧蒙面逃走。问陆大有,才知道是劳德诺用*个叫“协议分析仪” 的工具把自己在网上的大作全抓了出来。令狐冲悔恨万分,于是,闭门研究RFC,成功的研制出LanSwitch(局域网交换机)。它能够识别设备MAC地址,这样,令狐冲发送给小师妹的数据只有她*个人能够收到。令狐冲晚上可以在网上放心的给小妹讲故事,偶尔手痒还能敲几句平时心里想又说不出口的话来过瘾,然后,红着脸想象小师妹看到后的表情。
LanSwitch(局域网交换机)是二层交换设备,它可以理解二层网络协议地址MAC地址。二层交换机在操作过程中不断的收集资料去建立它本身的地址表,这个表相当简单,主要标明某个MAC地址是在哪个端口上被发现的,所以当交换机接收到*个数据封包时,它会检查该封包的目的MAC地址,核对*下自己的地址表以决定从哪个端口送出去。而不是象HUB那样,任何*个发方数据都会出现在HUB的所有端口上(不管是否为你所需)。这样,LanSwitch(局域网交换机)在提高效率的同时,也提高了系统的安全性。
接下来的*年,岳不群大量招收门徒,华山派得以*大的壮大,所使用的LanSwitch(局域网交换机)也多次*连。但门徒中难免鱼龙混杂,当时华山派*批三、四代弟子崇拜万里独行田伯光,成立了*个田协,经常广播争论比赛八百米还是*千米很合理的问题;第三代弟子中有*个叫李洪至的,每天在华山派内部广播发轮大法;更让令狐冲受不了的是,随着师父年龄的增大,变得越来越罗嗦,每句话都要重复二十遍,然后在网上广播。令狐冲想和小师妹,陆大有等人专门使用*个广播域,但如果另外使用*个LanSwitch(局域网交换机)的话,师父肯定不会同意,于是,他修改了LanSwitch(局域网交换机)的软件,把小师妹,陆大有等人和自己划成*个虚拟网(VLAN),其它人使用另外的VLAN,广播包只在VLAN内发送,VLAN间通过路由器连接。岳不群也深受田协,李洪至其害,但为与左冷禅抗争,用人之际,只能隐忍,知道了这件事,大为高兴,但仍为令狐冲私自修改软件*事,罚他到思过崖面壁*年,*年之内不得下山。
在华山派内重新使用VLAN进行子网划分,分为五个子网,师父和师娘,小师妹还有林平之在*个VLAN,发轮功弟子用*个VLAN;田协弟子用*个VLAN,其它弟子用*个VLAN,而思过崖上也有单独的*个VLAN。令狐冲到了思过崖,并不难过,终于,世界安静了,依靠左冷禅的路由器,令狐冲还可以每天在网上给小师妹讲故事,聊天。
局域网交换机的引入,使得网络节点间可独享带宽,但是,对于二层广播报文,二层交换机会在各网络节点上进行广播;同时,对于二层交换机无法识别的MAC地址,也必须在广播域内进行广播。当多个二层交换机*连时,二层交换网络上的所有设备都会收到广播消息。在*个大型的二层广播域内,大量的广播使二层转发的效率大大减低,为了避免在大型交换机上进行的广播所引起的广播风暴,需要在*个二层交换网络内进*步划分为多个虚拟网(VLAN)。在*个虚拟网(VLAN)内,由*个工作站发出的信息只能发送到具有相同虚拟网号(VLANID)的其他站点,其它虚拟网(VLAN)的成员收不到这些信息或广播帧。采用虚拟网(VLAN)可以控制网络上的广播风暴和增加网络的安全性。不同虚拟网(VLAN)之间的通信必须通过路由器进行。
但是幸福永远是短暂的,接下来总是无尽的烦恼。随着整个五岳剑派势力的增大,路由器的速度越来越慢。令狐冲发现每次给小师妹讲故事时,小师妹的回答总是珊珊来迟,而且话也很少,总是"嗯","噢"或者"我听着呢"。终于有*天,路由器再也PING不通的,令狐冲三天没有得到小师妹的消息,对着空空的显示屏,再也忍不住,在*个下着雪的晚上,偷偷下山找小师妹,到了小师妹窗前,发现小师妹正在网上和小林子热烈的聊天,全没注意*边的自己,内心*阵酸痛,回到思过崖,大病*场。病好后潜心研究,终于有*天,做出来*个路由器,这时,令狐冲发现,此时华山派已经有了三十个VLAN,路由器必须为每个VLAN分配*个接口,接口不够用,而且,两个子网内通过路由器的交换速度远远低于二层交换的速度。
二层交换机划分虚拟子网后,就出现了*个问题:不同虚拟子网之间的转发需要通过其它路由器来实现。二层交换机的不同VLAN节点间的转发需要通过路由器设备来实现大大浪费了端口,而路由器的高成本,低效率又使它无法满足大量子网情况下的三层转发需求,三层交换的概念就在这种情况下被提了出来。
这天晚上,令狐冲心灰意懒,借酒消愁,这时,*个黑影出现在他的面前,原来是*个道风仙骨的老人,正是风清扬。风清扬听了令狐冲的疑惑,说:路由器接口不够,把路由器做在LanSwitch(局域网交换机)内部不就可以了;交换速度慢,是因为路由器查找的是网段路由,而LanSwitch(局域网交换机)直接查MAC对应出端口,当然速度快。为什么不能直接根据IP地址查到出端口呢?令狐冲*听,大为仰慕,但还是不明白,IP地址那么多,而且经常变化,如何能够直接查到出端口呢?风清扬说:
"你*坐下,让我来问你,华山派有多少弟子?"
"*万六千左右。"
"你全知道他们住哪里吗?"
"不知道。"
"岳不群要你找*个不知道住哪里的人,如何去找?"
"查华山派电话号码查询系统,找到他的地址,然后去找他。"
"如果你回来后再让你找这个人,又如何去找?"
"如何.... ,查华山派电话号码查询系统,找到他的地址,然后去找他。"
"你不知道到这个人的地址吗?"
"知道,但师父说,华山派的地址那么多,而且经常变化,不用知道地址。"
"岳不群这小子,把徒弟都教成木头了!我问你,你自己认为应该如何找?"
"直接去找!"
"好!你这人还不算太苯。那你知道了*个人的地址后,是不是永远记住了?"
"有的人记住了。其它的都忘了。"
"为什么忘了?"
"因为我记不了那么多人,而且*段时间没有去找他。"
"华山派电话号码查询系统里的地址是如何获得的?"
"我在空旷处大喊*声他的*字,他听到后就会来找我,告诉我他的地址。"
风清扬又问了大把类似脑筋急转弯的问题,然后风清扬说:"现在你明白根据IP地址直接查出端口的道理了吗?等到你明白这个道理,你自然会做出三层交换机来",令狐冲仔细回忆了今天的话,终于明白了和二层转发由MAC地址对应到出端口的道理*样,三层转发也可以直接由IP地址对应到出端口,IP地址的路由可以通过ARP来学习,同样需要老化。这样,VLAN间转发除第*个包需要通过ARP获得主机路由外,其它的报文直接根据IP地址就能够查找到出端口,转发速度远远高于路由转发的速度。抬头看时,风清扬已经走了。
*年后,令狐冲下思过崖,成功的推出Quidway S8016路由交换机。实现了VLAN间的互通,并且与嵩山,黑木崖等路由器实现互通。
三层交换机是在二层交换机的基础上增加三层交换功能,但它不是简单的二层交换机加路由器,二而是采用了不同的转发机制。路由器的转发采用*长匹配的方式,实现复杂,通常使用软件来实现,。而三层交换机的路由查找是针对流的,它利用CACHE技术,很容易采用ASIC实现,因此,可以大大的节约成本,并实现快速转发。
很多文章会提及三层交换机和路由器的区别,*般的比较是三层交换机又快又便宜。这些话没有错,但场合是汇聚层。我们看到,在汇聚层,面向三层交换机直接下挂的主机,因为能够获得其主机路由,所以三层交换机能够实现快速查找;而对于通过其它路由器连接多个子网后到达的主机,三层交换机和路由器的处理是*样的,同样采用*长匹配的方法查找到下*跳,由下*跳路由器进行转发。
因此,通常的组网方式是在骨干层使用GSR,汇聚层使用三层交换机。当然,对于*个小型的城域网,也可以直接拿三层交换机组网,不需要GSR。
二层交换机概述
*、交换机的工作原理
1.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。
2.交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。
3.如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。这*过程称为泛洪(flood)。
4.广播帧和组播帧向所有的端口转发。
二、交换机的三个主要功能
学习:以太网交换机了解每*端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
转发/过滤:当*个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。
消除回路:当交换机包括*个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
三、交换机的工作特性
1.交换机的每*个端口所连接的网段都是*个独立的冲突域。
2.交换机所连接的设备仍然在同*个广播域内,也就是说,交换机不隔绝广播(惟*的例外是在配有VLAN的环境中)。
3.交换机依据帧头的信息进行转发,因此说交换机是工作在数据链路层的网络设备(此处所述交换机仅指传统的二层交换设备)。
四、交换机的分类
依照交换机处理帧时不同的操作模式,主要可分为两类:
存储转发:交换机在转发之前必须接收整个帧,并进行错误校检,如无错误再将这*帧发往目的地址。帧通过交换机的转发时延随帧长度的不同而变化。
直通式:交换机只要检查到帧头中所包含的目的地址就立即转发该帧,而无需等待帧全部的被接收,也不进行错误校验。由于以太网帧头的长度总是固定的,因此帧通过交换机的转发时延也保持不变。
五、二、三、四层交换机?
多种理解的说法:
1.
二层交换(也称为桥接)是基于硬件的桥接。基于每个末端站点的唯*MAC地址转发数据包。二层交换的高性能可以产生增加各子网主机数量的网络设计。其仍然有桥接所具有的特性和限制。
三层交换是基于硬件的路由选择。路由器和第三层交换机对数据包交换操作的主要区别在于物理上的实施。
四层交换的简单定义是:不仅基于MAC(第二层桥接)或源/目的地IP地址(第三层路由选择),同时也基于TCP/UDP应用端口来做出转发决定的能力。其使网络在决定路由时能够区分应用。能够基于具体应用对数据流进行***划分。它为基于策略的服务质量技术提供了更加细化的解决方案。提供了*种可以区分应用类型的方法。
2.
二层交换机 基于MAC地址
三层交换机 具有VLAN功能 有交换和路由 ///基于IP,就是网络
四层交换机 基于端口,就是应用
3.
二层交换技术从网桥发展到VLAN(虚拟局域网),在局域网建设和改造中得到了广泛的应用。第二层交换技术是工作在OSI七层网络模型中的第二层,即数据链路层。它按照所接收到数据包的目的MAC地址来进行转发,对于网络层或者高层协议来说是透明的。它不处理网络层的IP地址,不处理高层协议的诸如TCP、UDP的端口地址,它只需要数据包的物理地址即MAC地址,数据交换是靠硬件来实现的,其速度相当快,这是二层交换的*个显著的*点。但是,它不能处理不同IP子网之间的数据交换。传统的路由器可以处理大量的跨越IP子网的数据包,但是它的转发效率比二层低,因此要想利用二层转发效率高这**点,又要处理三层IP数据包,三层交换技术就诞生了。
三层交换技术的工作原理
第三层交换工作在OSI七层网络模型中的第三层即网络层,是利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记,具有同*标记的业务流的后续报文被交换到第二层数据链路层,从而打通源IP地址和目的IP地址之间的*条通路。这条通路经过第二层链路层。有了这条通路,三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由,而是直接将数据包进行转发,将数据流进行交换
4.
二层交换技术
二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的*个地址表中。具体的工作流程如下:
(1) 当交换机从某个端口收到*个数据包,它*读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
(2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3) 如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4) 如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习*目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
从二层交换机的工作原理可以推知以下三点:
(1) 由于交换机对多数端口的数据进行同时交换,这就要求具有很宽的交换总线带宽,如果二层交换机有N个端口,每个端口的带宽是M,交换机总线带宽超过N×M,那么这交换机就可以实现线速交换;
(2) 学习端口连接的机器的MAC地址,写入地址表,地址表的大小(*般两种表示方式:*为BEFFER RAM,*为MAC表项数值),地址表大小影响交换机的接入容量;
(3) 还有*个就是二层交换机*般都含有专门用于处理数据包转发的ASIC (Application specific Integrated Circuit)芯片,因此转发速度可以做到非常快。由于各个厂家采用ASIC不同,直接影响产品性能。
以上三点也是评判二三层交换机性能*劣的主要技术参数,这*点请大家在考虑设备选型时注意比较。
(二)路由技术
路由器工作在OSI模型的第三层---网络层操作,其工作模式与二层交换相似,但路由器工作在第三层,这个区别决定了路由和交换在传递包时使用不同的控制信息,实现功能的方式就不同。工作原理是在路由器的内部也有*个表,这个表所标示的是如果要去某*个地方,下*步应该向那里走,如果能从路由表中找到数据包下*步往那里走,把链路层信息加上转发出去;如果不能知道下*步走向那里,则将此包丢弃,然后返回*个信息交给源地址。
路由技术实质上来说不过两种功能:决定**路由和转发数据包。路由表中写入各种信息,由路由算法计算出到达目的地址的*佳路径,然后由相对简单直接的转发机制发送数据包。接受数据的下*台路由器依照相同的工作方式继续转发,依次类推,直到数据包到达目的路由器。
而路由表的维护,也有两种不同的方式。*种是路由信息的更新,将部分或者全部的路由信息公布出去,路由器通过互相学习路由信息,就掌握了全网的拓扑结构,这*类的路由协议称为距离矢量路由协议;另*种是路由器将自己的链路状态信息进行广播,通过互相学习掌握全网的路由信息,进而计算出*佳的转发路径,这类路由协议称为链路状态路由协议。
由于路由器需要做大量的路径计算工作,*般处理器的工作能力直接决定其性能的*劣。当然这*判断还是对中低端路由器而言,因为高端路由器往往采用分布式处理系统体系设计。
(三)三层交换技术
近年来的对三层技术的宣传,耳朵都能起茧子,到处都在喊三层技术,有人说这是个非常新的技术,也有人说,三层交换嘛,不就是路由器和二层交换机的堆叠,也没有什么新的玩意,事实果真如此吗?下面*来通过*个简单的网络来看看三层交换机的工作过程。
组网比较简单
使用IP的设备A------------------------三层交换机------------------------使用IP的设备B
比如A要给B发送数据,已知目的IP,那么A就用子网掩码取得网络地址,判断目的IP是否与自己在同*网段。
如果在同*网段,但不知道转发数据所需的MAC地址,A就发送*个ARP请求,B返回其MAC地址,A用此MAC封装数据包并发送给交换机,交换机起用二层交换模块,查找MAC地址表,将数据包转发到相应的端口。
如果目的IP地址显示不是同*网段的,那么A要实现和B的通讯,在流缓存条目中没有对应MAC地址条目,就将第*个正常数据包发送向*个缺省网关,这个缺省网关*般在操作系统中已经设好,对应第三层路由模块,所以可见对于不是同*子网的数据,**在MAC表中放的是缺省网关的MAC地址;然后就由三层模块接收到此数据包,查询路由表以确定到达B的路由,将构造*个新的帧头,其中以缺省网关的MAC地址为源MAC地址,以主机B的MAC地址为目的MAC地址。通过*定的识别触发机制,确立主机A与B的MAC地址及转发端口的对应关系,并记录进流缓存条目表,以后的A到B的数据,就直接交由二层交换模块完成。这就通常所说的*次路由多次转发。
以上就是三层交换机工作过程的简单概括,可以看出三层交换的特点:
由硬件结合实现数据的高速转发。
这就不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背板总线上,突破了传统路由器的接口速率限制,速率可达几十Gbit/s。算上背板带宽,这些是三层交换机性能的两个重要参数。
简洁的路由软件使路由过程简化。
大部分的数据转发,除了必要的路由选择交由路由软件处理,都是又二层模块高速转发,路由软件大多都是经过处理的高效*化软件,并不是简单照搬路由器中的软件。
结论
二层交换机用于小型的局域网络。这个就不用多言了,在小型局域网中,广播包影响不大,二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。
路由器的*点在于接口类型丰富,支持的三层功能强大,路由能力强大,适合用于大型的网络间的路由,它的*势在于选择*佳路由,负荷分担,链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。
三层交换机的*重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。如果把大型网络按照部门,地域等等因素划分成*个个小局域网,这将导致大量的网际互访,单纯的使用二层交换机不能实现网际互访;如单纯的使用路由器,由于接口数量有限和路由转发速度慢,将限制网络的速度和网络规模,采用具有路由功能的快速转发的三层交换机就成为*选。
*般来说,在内网数据流量大,要求快速转发响应的网络中,如全部由三层交换机来做这个工作,会造成三层交换机负担过重,响应速度受影响,将网间的路由交由路由器去完成,充分发挥不同设备的*点,不失为*种好的组网策略,当然,前提是客户的腰包很鼓,不然就退而求其次,让三层交换机也兼为网际互连。
5.
第四层交换的*个简单定义是:它是*种功能,它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP,指向物理服务器。它传输的业务服从的协议多种多样,有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上,需要复杂的载量平衡算法。在IP世界,业务类型由终端TCP或UDP端口地址来决定,在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。
在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP),每组服务器支持某种应用。在域*服务器(DNS)中存储的每个应用服务器地址是VIP,而不是真实的服务器地址。
当某用户申请应用时,*个带有目标服务器组的VIP连接请求(例如*个TCP SYN包)发给服务器交换机。服务器交换机在组中选取*好的服务器,将终端地址中的VIP用实际服务器的IP取代,并将连接请求传给服务器。这样,同*区间所有的包由服务器交换机进行映射,在用户和同*服务器间进行传输。
第四层交换的原理
OSI模型的第四层是传输层。传输层负责端对端通信,即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(*种传输协议)和UDP(用户数据包协议)所在的协议层。
在第四层中,TCP和UDP标题包含端口号(portnumber),它们可以唯*区分每个数据包包含哪些应用协议(例如HTTP、FTP等)。端点系统利用这种信息来区分包中的数据,尤其是端口号使*个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层软件。端口号和设备IP地址的组合通常称作“插口(socket)”。
1和255之间的端口号被保留,他们称为“熟知”端口,也就是说,在所有主机TCP/I
P协议栈实现中,这些端口号是相同的。除了“熟知”端口外,标准UNIX服务分配在256到1024端口范围,定制的应用*般在1024以上分配端口号.
分配端口号的*近清单可以在RFc1700”Assigned Numbers”上找到。TCP/UDP端
口号提供的附加信息可以为网络交换机所利用,这是第4层交换的基础。
"熟知"端口号举例:
应用协议 端口号
FTP 20(数据)
21(控制)
TELNET 23
SMTP 25
HTTP 80
NNTP 119
NNMP 16
162(SNMP traps)
TCP/UDP端口号提供的附加信息可以为网络交换机所利用,这是第四层交换的基础。
具有第四层功能的交换机能够起到与服务器相连接的“虚拟IP”(VIP)前端的作用。
每台服务器和支持单*或通用应用的服务器组都配置*个VIP地址。这个VIP地址被发送出去并在域*系统上注册。
在发出*个服务请求时,第四层交换机通过判定TCP开始,来识别*次会话的开始。然后它利用复杂的算法来确定处理这个请求的*佳服务器。*旦做出这种决定,交换机就将会话与*个具体的IP地址联系在*起,并用该服务器真正的IP地址来代替服务器上的VIP地址。每台第四层交换机都保存*个与被选择的服务器相配的源IP地址以及源TCP 端口相
关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服务器之间重新影射和转发,直到交换机发现会话为止。
在使用第四层交换的情况下,接入可以与真正的服务器连接在*起来满足用户制定的规则,诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。