簡介
任何一種新技術進入市場時,都要經歷業界專業人員對伴隨這種技術的新術語和“技術行話”進行篩選的階段。這些新的技術術語往往會造成迷惑,甚至自相矛盾,具體情況取決於供應商使用它們的方式。“第三層交換”和有關的技術也不例外,隨著越來越多
交換機和
路由器技術的推出,有關它們技術術語的迷惑只會增多。
比如,第三層交換、
第四層交換、多層交換、多層
數據包分類和路由交換機等新術語就令交換機和
路由器之間的傳統區別變得模糊起來。此外,由於許多供應商在原本用於布線室的
第二層交換機平台上提供了
第三層交換技術,從而讓人更加迷惑不解。這些變化使網路設計人員很難了解如何部署高效的網路解決方案。因此,必須去偽存真,並專注於基礎知識,才能真正了解何時、何地以及為什麼採用第三層交換。
基本原理
第三層交換是在
網路交換機中引入
路由模組而取代傳統
路由器實現交換與路由相結合的網路技術。它根據實際套用時的情況,靈活地在網路第二層或者第三層進行
網路分段。具有三層交換功能的設備是一個帶有第三層路由功能的
第二層交換機。
第三層交換機的設計基於對IP路由的仔細分析,把IP路由中每個
報文都必須經過的過程提取出來,這個過程是十分簡化的過程。IP路由中絕大多數報文是不包含選項的報文,因此在多數情況下處理報文IP選項的工作是多餘的。不同網路的報文長度是不同的,為了適應不同的網路,IP要實現報文分片的功能,但是在全
乙太網的環境中,網路的幀長度是固定的,因此報文分片也是一個可以省略的工作。
第三層交換技術沒有採用
路由器的最長
地址掩碼匹配的方法,而是使用了精確地址匹配的方法處理,這樣,有利於硬體的實現快速查找。它採用了使用高速快取的方法,經常使用的
主機路由放到了硬體查找表中,只有在這個高速快取中無法匹配的項目才會通過軟體去轉發。在
存儲轉發過程中使用了流交換方式,在流交換中,分析第一個
報文確定其是否表示了一個流或者一組具有相同源地址和目的地址的報文。如果第一個報文具有了正確的特徵,則該標識流中的後續報文將擁有相同的優先權,同一流中的後續報文被交換到基於第二層的目的地址上,
三層交換機為了實現高速交換,都採用流交換方式。其在IP路由的處理上進行了改進,實現了簡化的IP轉發流程,利用專用的ASIC晶片實現硬體的轉發,這樣絕大多數的報文處理都可以在硬體中實現了,只有極少數報文才需要使用軟體轉發,整個系統的轉發性能能夠得以成千倍地增加,相同性能的設備在成本上也得到大幅度下降。
每個VLAN對應一個IP
網段。在二層上,VLAN之間是隔離的,這點跟
二層交換機中交換引擎的功能是一模一樣的。不同IP網段之間的訪問要跨越VLAN,要使用三層轉發引擎提供的VLAN間
路由功能。在使用二層交換機和
路由器的組網中,每個需要與其他IP網段通信的IP網段都需要使用一個路由器接口作為
網關。而第三層轉發引擎就相當於傳統組網中的路由器,當需要與其他VLAN通信時也要在三層交換引擎上分配一個路由接口,用來做VLAN的網關。
三層交換機上的這個路由接口是在三層轉發引擎和二層轉發引擎上的,是通過配置轉發晶片來實現的,與路由器的接口不同,它是不可見的。下面舉個例子來說明通信過程。假設兩個使用IP協定的站點A、B通過
第三層交換機進行通信,傳送站A在開始傳送時,把自己的IP位址與B站的IP位址比較,判斷B站是否與自己在同一
子網內,若目的站B與傳送站A在同一子網內,則進行二層的轉發,若兩個站點不在同一子網內,如傳送站A要與目的站B通信,傳送站A要向三層交換機的三層交換模組發出ARP(
地址解析)
封包。三層交換模組解析傳送站A的目的IP位址,向目的IP位址網段傳送ARP請求。B站得到此ARP請求後向三層交換模組回復其MAC地址,三層交換模組保存此地址並回復給傳送站A,同時將B站的MAC地址傳送到二層交換引擎的MAC地址表中。從這以後,A向B傳送的
數據包便全部交給二層交換處理,信息得以高速交換。可見由於僅僅在
路由過程中才需要三層處理,絕大部分數據都通過二層交換轉發,
三層交換機的速度很快,接近
二層交換機的速度。
拓撲結構
所用連線到骨幹
交換機的設備有伺服器、交換機、
集線器、
工作站等。其中
核心交換機是一台
第三層交換機,通過它來劃分兩個不同的功能的邏輯
子網,實現不同VLAN間的通信。從圖1可以看出,在同一個VLAN虛擬子網內部
三層交換機僅具有二層交換的功能,以保證傳輸速度的要求,而在不同的VLAN子網之間,三層交換機還起三層交換的作用,能正確地進行ARP解析,以保證
數據流的正確傳輸,同時它還支持
組播、幀和包過濾、流量計算等功能,以確保全全性能與用戶需求。
網路各層
如圖所示,網路基礎架構設備(如網橋、
路由器和
交換機)在傳統上一直按 OSI分層模型分類。 這種 OSI 模型仍然是數據網路的參考分層典範,因為它簡化了兩台計算機進行通信所要執行的任務,每層都具有特定的功能。OSI 模型定義了這些層的互動方式,並依次定義了各個網路組件的角色,從而決定了這些組件如何實現與分層網路的集成。
網路組件
交換機在每個連線埠提供一個獨特的網路段,從而分離了
衝突域。
路由器可分離
廣播域,並能連線不同的網路。路由器是根據目標網路層的地址(第三層)而不是工作站
數據鏈路層MAC 地址來引導網路信息流。路由器通常基於軟體,因此性能比
第二層交換機相對遲緩。
第三層交換機可部署在使用傳統路由器
區域網路的任何地方。第三層交換機中高級的 ASIC 技術可提供遠遠高於傳統路由器的性能,使它們非常適合
網路頻寬密集的套用。另外,第三層交換機合併了典型路由器中相互分離的
橋接(第二層)和路由(第三層)功能。這些技術的結合提供了一個能大大改進擴充能力的更加自然的
網路體系結構。
第二層和第三層交換
為掌握第三層交換的優點以及如何更加有效地使用第三層交換,首先必須了解可用於網路設計的兩種交換方式: 第二層交換、第三層交換(
路由)。
交換是從一個接口接收,然後通過另一個接口發出的過程。第二層與第三層交換之間的區別在於用以確定正確輸出接口的幀內信息類型。
¨ 在第二層交換中,幀的交換基於 MAC 地址信息。
¨ 在第三層交換中,幀的交換基於網路層信息,如 IP 地址。
第二層
第二層交換是在前面所述的OSI 模型的
數據鏈路層進行。它檢查幀,並根據目標 MAC 地址轉發幀。
如果知道目標地址,第二層交換機會將
乙太網幀轉發到適當的接口。如果
第二層交換機不知道將幀傳送到何處,它會將該幀廣播轉發到所有連線埠,以了解正確的目標地址。第二層交換機利用這種技術來建立和維護一個跟蹤幀目標地址的交換表。
對於規模較大的網路來說,這種廣播轉發操作會產生嚴重的問題,因為所有這些廣播的處理會造成性能的大幅度降低。該問題的解決辦法將在本白皮書的稍後部分進行討論。
第二層交換的優點
由於第二層交換相對簡單,
網路管理員可以建立管理簡便且能擴展到數百個節點的網路,而不會遇到太多的第二層廣播問題。
第二層交換機為網路提供了以下優點:
l 高頻寬:第二層交換機通過將專用頻寬分配到每一個連線埠,為各個用戶提供優異的性能。每一個
交換機連線埠表示一個不同的
網段,因此每個用戶可以獲得特定數量的頻寬。此外,每個專用網段還能與單項業務一起接收廣播業務。
l VLAN:第二層交換機能夠將各個連線埠組合到邏輯工作組(
虛擬區域網路或 VLAN)。每個 VLAN 組在邏輯上與交換機的其它部分分離,可幫助將第二層廣播業務控制在特定的VLAN組。這提供了以下兩個主要優點:
1. 網路設計人員可以利用 VLAN 來建造能避免特大第二層
廣播域問題的大型第二層網路。
2. 網路周圍的移動、添加和更改更加容易,因為無論物理位置在哪裡,用戶始終在他們自己的 VLAN 中。
l 業務類別優先化:某些
第二層交換機上的業務類別 (CoS) 優先化允許
網路管理員根據協定、IP 地址和乙太網類型等標準給不同類型的
區域網路業務分配優先權級別。這使網路管理員可以根據協定、套用或用戶控制
業務流,從而確保更加高效的網路運轉。
l 用戶安全:第二層交換機提供了基於用戶的穩健安全機質,這種機質基於網路登錄 (802.1x) 技術,可防止任何未經認證的用戶接入網路。
第三層
第三層交換在網路層進行。它檢查
數據包信息,並根據網路層目標地址轉發數據包。與固定的第二層
定址系統不同,第三層地址由
網路管理員安裝的
網路分層確定。IP、IPX 和 AppleTalk 等協定都使用第三層定址。
使用第三層定址系統,網路管理員可以創建地址組(
子網)。這些子網可使網路管理員以一個單元(子網)的形式輕鬆地管理子網成員,從而支持建立一個能夠擴展的分層定址系統。
第三層定址系統還比第二層系統更加動態。如果用戶移動到另一個位置,其終端站會收到一個新的第三層地址,但第二層 MAC 地址保持不變。這類似於某個人從一個城市搬到另一個城市: 郵政地址將會改變,但個人姓名和身份保持不變。因此,第三層路由網路能將邏輯定址結構連線到物理基礎架構,從而提供了一個比第二層網路更加靈活和更加可擴充的分層結構。
第三層交換的優點
第三層交換提供以下優點:
l 提高了網路效率:
第三層交換機通過允許
網路管理員在第二層 VLAN 進行路由業務,確保將第二層廣播控制在一個 VLAN 內,降低了業務量負載。
l 可持續發展:由於 OSI 層模型的分層特點,第三層交換機能夠創建更加易於擴展和維護的更大規模的網路。
l 更加廣泛的拓撲選擇:基於
路由器的網路支持任何拓撲,並能更輕易超過類似第二層交換網路的更大規模和複雜程度。
l 工作組和伺服器安全:第三層設備能根據第三層
網路地址創建接入策略,這允許網路管理員控制和阻塞某些 VLAN 到 VLAN 通信,阻塞某些 IP 地址,甚至能防止某些
子網訪問特定的信息。
l 更加優異的性能:通過使用先進的 ASIC 技術,
第三層交換機可提供遠遠高於基於軟體的傳統
路由器的性能。比如,每秒 4000 萬個
數據包對每秒 30 萬個數據包。第三層交換機為千兆網路這樣的頻寬密集型基礎架構提供了所需的路由性能。因此,第三層交換機可以部署在網路中許多具有更高戰略意義的位置。
部署
了解了第二層和
第三層交換機的相對優點之後,就可以知道每一種交換機能夠在網路中的哪些地方產生最大的效應。
80/20 法則
九十年代早期,經驗法則確立,它認為所有
業務流的 80% 應在本地子網上,只有 20% 的業務流應傳遞到
路由器。多年來,該法則一直準確無誤,而且路由器能夠相當輕鬆地處理各種業務量級別。隨著更多的廣播業務被控制在特定的本地網段上,在
第二層交換機上使用 VLAN 有一定的效用。
20/80 法則
但是,過去幾年,建立了大量伺服器來幫助改善安全和管理,加之越來越多地使用
內部網和客戶機/伺服器服務,導致了
區域網路業務流的巨大變化。所有業務流的 80% 被傳遞到路由網路,只有大約 20% 的業務被控制在本地
子網內。
這種新結構對路由網路提出了巨大的需求,因為用戶每次訪問位於不同子網上的伺服器時,其通信業務都必須通過第三層設備(通常為每秒只能轉發 30 萬個
數據包的
路由器)
解決 20/80 法則問題
很明顯,具有核心路由器的單層第二層網路不能擴充,而且其對當今的網路流性很差。因此,必須了解如何利用
第三層交換機建立一個正確的分層設計。需要考慮以下三種網路組件: 網路核心、布線室集中點、桌面接入點
l 網路核心:核心網路組件在設計時應考慮性能和彈性。第三層交換機賦予了自己這種角色,因為它們通過分層
定址提供了自然的彈性,而且它們也提供了遠遠優於傳統路由器的性能。l 布線室
集合點:該層可幫助為核心提供一個邊界,並為桌面接入設備提供重要的服務。這些服務包括 VLAN
路由、安全、部門接入和地址集中。對於規模更大的網路安裝,之所以需要
第三層交換機是因為它給桌面交換機提供了正確的服務,並提供了路由到
核心交換機所必需的性能。
第三層交換部署示例
解決方案 1: 分支機構
在本例中,一個分支機構需要連線本地辦公室和總部的伺服器。第三層交換機被部署在網路主幹,負責執行本地伺服器、本地
區域網路業務以及到寬頻
路由器的第三層交換。
簡單地說,
三層交換技術就是:二層交換技術+三層轉發技術。它解決了區域網路中
網段劃分之後。
定義
三層交換(也稱多層交換技術,或IP交換技術)是相對於傳統交換概念而提出的。眾所周知,傳統的交換技術是在OSI網路標準模型中的第二層――
數據鏈路層進行操作的,而
三層交換技術是在網路模型中的第三層實現了
數據包的高速轉發。簡單地說,三層交換技術就是:二層交換技術+三層轉發技術。
交換原理
三層交換機通過硬體來交換和路由選擇數據包。為完成在硬體中處理數據包的高層信息,Cisco Catalyst交換機使用傳統的MLS(Multilayer Switching,多層交換)體系結構或基於CEF(Cisco Express Forwarding,Cisco快速轉發)的MLS體系結構。傳統的MLS是一種老式特性,而所有新型的Catalyst交換機都支持CEF多層交換。
一個具有三層交換功能的設備,是一個帶有第三層路由功能的第二層交換機,但它是二者的有機結合,並不是簡單地把路由器設備的硬體及軟體疊加在區域網路交換機上。
其原理是:假設兩個使用IP協定的站點A、B通過第三層交換機進行通信,傳送站點A在開始傳送時,把自己的IP位址與B站的IP位址比較,判斷B站是否與自己在同一子網內。若目的站B與傳送站A在同一子網內,則進行二層的轉發。若兩個站點不在同一子網內,如傳送站A要與目的站B通信,傳送站A要向“
預設網關”發出ARP(
地址解析)
封包,而“預設網關”的IP位址其實是
三層交換機的三層交換模組。當傳送站A對“預設網關”的IP位址廣播出一個ARP請求時,如果三層交換模組在以前的通信過程中已經知道B站的MAC地址,則向傳送站A回復B的MAC地址。否則三層交換模組根據路由信息向B站廣播一個ARP請求,B站得到此ARP請求後向三層交換模組回復其MAC地址,三層交換模組保存此地址並回復給傳送站A,同時將B站的MAC地址傳送到二層交換引擎的MAC地址表中。從這以後,當A向B傳送的數據包便全部交給二層交換處理,信息得以高速交換。由於僅僅在路由過程中才需要三層處理,絕大部分數據都通過二層交換轉發,因此三層交換機的速度很快,接近
二層交換機的速度,同時比相同
路由器的價格低很多。
設備種類
三層交換機可以根據其處理數據的不同而分為純硬體和純軟體兩大類。
(1)純硬體的三層技術相對來說技術複雜,成本高,但是速度快,性能好,帶負載能力強。其原理是,採用ASIC晶片,採用硬體的方式進行
路由表的查找和刷新。如圖1所示。
圖1 純硬體三層交換機原理
當數據由連線埠接口晶片接收進來以後,首先在二層交換晶片中查找相應的目的MAC地址,如果查到,就進行二層轉發,否則將數據送至三層引擎。在三層引擎中,ASIC晶片查找相應的路由表信息,與數據的目的IP位址相比對,然後傳送ARP
數據包到目的
主機,得到該主機的MAC地址,將MAC地址發到二層晶片,由二層晶片轉發該數據包。
(2)基於軟體的
三層交換機技術較簡單,但速度較慢,不適合作為主幹。其原理是,採用CPU用軟體的方式查找
路由表。如圖2所示。
圖2 軟體三層交換機原理
就進行二層轉發否則將數據送至CPU。CPU查找相應的路由表信息,與數據的目的IP位址相比對,然後傳送ARP
數據包到目的主機得到該主機的MAC地址,將MAC地址發到二層晶片,由二層晶片轉發該數據包。因為低價CPU處理速度較慢,因此這種三層交換機處理速度較慢。
市場產品選型
寬頻IP網路建設成為熱點,下面以適合定位於
接入層或中小規模
匯聚層的
第三層交換機產品為例,介紹一些三層交換機的具體技術。在市場上的主流接入第三層交換機,主要有Cisco的Catalyst 2948G-L3、Extreme的Summit24和AlliedTelesyn的Rapier24等,這幾款三層交換機產品各具特色,涵蓋了三層交換機大部分套用特性。當然在選擇第三層交換機時,用戶可根據自己的需要,判斷並選擇上述產品或其他廠家的產品,如北電網路的Passport/Acceler系列、原Cabletron的SSR系列(在Cabletron一分四後,大部分SSR三層交換機已併入Riverstone公司)、Avaya的Cajun M系列、3Com的Superstack3 4005系列等。此外,國產網路廠商神州數碼網路、TCL網路、上海廣電應確信、紫光網聯、首信等都已推出了
三層交換機產品。下面就其中三款產品進行介紹,使您能夠較全面地了解三層交換機,並針對自己的情況選擇合適的機型。
Cisco Catalyst 2948G-L3
交換機結合業界標準IOS提供完整解決方案,在版本12.0(10)以上全面支持IOS
訪問控制列表ACL,配合核心Catalyst 6000,可完成端到端全面寬頻城域網的建設(Catalyst 6000使用MSFC模組完成其多層交換服務,並已停止使用RSM路由交換模組,IOS版本6.1以上全面支持ACL)。
Extreme公司三層交換產品解決方案,能夠提供獨特的
乙太網頻寬分配能力,切割單位為500kbps或200kbps,服務供應商可以根據頻寬使用量收費,可實現音頻和視頻的固定延遲傳輸。
AlliedTelesyn公司Rapier24
三層交換機提供的PPPoE特性,豐富和完善了
用戶認證計費手段,可適合多種接入網路,套用靈活,易於實現業務選擇,同時又保護用戶的已有投資,另可配合NAT(
網路地址轉換)和DHCP的Server等功能,為許多服務供應商看好。
總之,三層交換機從概念的提出到今天的普及套用,雖然只歷經了幾年的時間,但其擴展的功能也不斷結合實際套用得到豐富。隨著ASIC硬體晶片技術的發展和實際套用的推廣,三層交換的技術與產品也會得到進一步發展。
技術對比
可以看出,
二層交換機主要用在小型
區域網路中,機器數量在二、三十台以下,這樣的網路環境下,
廣播包影響不大,二層交換機的快速交換功能、多個接入連線埠和低廉價格為小型網路用戶提供了很完善的解決方案。在這種小型網路中根本沒必要引入
路由功能從而增加管理的難度和費用,所以沒有必要使用
路由器,當然也沒有必要使用
三層交換機。
三層交換機是為IP設計的,接口類型簡單,擁有很強二層包處理能力,所以適用於大型區域網路,為了減小
廣播風暴的危害,必須把大型區域網路按功能或地域等因素劃他成一個一個的小區域網路,也就是一個一個的小
網段,這樣必然導致不同網段這間存在大量的互訪,單純使用二層交換機沒辦法實現網間的互訪而單純使用路由器,則由於連線埠數量有限,路由速度較慢,而限制了網路的規模和訪問速度,所以這種環境下,由二層交換技術和
路由技術有機結合而成的三層交換機就最為適合。
路由器連線埠類型多,支持的三層協定多,路由能力強,所以適合於在大型網路之間的互連,雖然不少三層交換機甚至
二層交換機都有異質網路的互連連線埠,但一般大型網路的互連連線埠不多,互連設備的主要功能不在於在連線埠之間進行快速交換,而是要選擇最佳路徑,進行負載分擔,鏈路備份和最重要的與其它網路進行路由信息交換,所有這些都是路由完成的功能。
在這種情況下,自然不可能使用二層交換機,但是否使用
三層交換機,則視具體情況而下。影響的因素主要有
網路流量、回響速度要求和投資預算等。三層交換機的最重要目的是加快大型
區域網路內部的數據交換,揉合進去的
路由功能也是為這目的服務的,所以它的路由功能沒有同一檔次的專業
路由器強。在網路流量很大的情況下,如果三層交換機既做網內的交換,又做網間的路由,必然會大大加重了它的負擔,影響回響速度。在網路流量很大,但又要求回響速度很高的情況下由
三層交換機做網內的交換,由路由器專門負責網間的路由工作,這樣可以充分發揮不同設備的優勢,是一個很好的配合。當然,如果受到投資預算的限制,由三層交換機兼做網間互連,也是個不錯的選擇。