整理:阿新 (Seraph Chutium)
----- http://com.6to23.com/
三層交換技術解析
簡單地說,三層交換技術就是:二層交換技術+三層轉發技術。它解決了局域網中網段劃分之後,網段中子網必須依賴路由器進行管理的局面,解決了傳統路由器低速、複雜所造成的網絡瓶頸問題。
什麼是三層交換
三層交換(也稱多層交換技術,或IP交換技術)是相對於傳統交換概念而提出的。衆所周知,傳統的交換技術是在OSI網絡標準模型中的第二層——數據鏈路層進行操作的,而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。簡單地說,三層交換技術就是:二層交換技術+三層轉發技術。
三層交換技術的出現,解決了局域網中網段劃分之後,網段中子網必須依賴路由器進行管理的局面,解決了傳統路由器低速、複雜所造成的網絡瓶頸問題。
三層交換原理
一個具有三層交換功能的設備,是一個帶有第三層路由功能的第二層交換機,但它是二者的有機結合,並不是簡單地把路由器設備的硬件及軟件疊加在局域網交換機上。
其原理是:假設兩個使用IP協議的站點A、B通過第三層交換機進行通信,發送站點A在開始發送時,把自己的IP地址與B站的IP地址比較,判斷B站是否與自己在同一子網內。若目的站B與發送站A在同一子網內,則進行二層的轉發。若兩個站點不在同一子網內,如發送站A要與目的站B通信,發送站A要向“缺省網關”發出ARP(地址解析)封包,而“缺省網關”的IP地址其實是三層交換機的三層交換模塊。當發送站A對“缺省網關”的IP地址廣播出一個ARP請求時,如果三層交換模塊在以前的通信過程中已經知道B站的MAC地址,則向發送站A回覆B的MAC地址。否則三層交換模塊根據路由信息向B站廣播一個ARP請求,B站得到此ARP請求後向三層交換模塊回覆其MAC地址,三層交換模塊保存此地址並回復給發送站A,同時將B站的MAC地址發送到二層交換引擎的MAC地址表中。從這以後,當A向B發送的數據包便全部交給二層交換處理,信息得以高速交換。由於僅僅在路由過程中才需要三層處理,絕大部分數據都通過二層交換轉發,因此三層交換機的速度很快,接近二層交換機的速度,同時比相同路由器的價格低很多。
三層交換機種類
三層交換機可以根據其處理數據的不同而分爲純硬件和純軟件兩大類。
(1)純硬件的三層技術相對來說技術複雜,成本高,但是速度快,性能好,帶負載能力強。其原理是,採用ASIC芯片,採用硬件的方式進行路由表的查找和刷新。如圖1所示。
圖1 純硬件三層交換機原理
當數據由端口接口芯片接收進來以後,首先在二層交換芯片中查找相應的目的MAC地址,如果查到,就進行二層轉發,否則將數據送至三層引擎。在三層引擎中,ASIC芯片查找相應的路由表信息,與數據的目的IP地址相比對,然後發送ARP數據包到目的主機,得到該主機的MAC地址,將MAC地址發到二層芯片,由二層芯片轉發該數據包。
(2)基於軟件的三層交換機技術較簡單,但速度較慢,不適合作爲主幹。其原理是,採用CPU用軟件的方式查找路由表。如圖2所示。
圖2 軟件三層交換機原理
當數據由端口接口芯片接收進來以後,首先在二層交換芯片中查找相應的目的MAC地址,如果查到,就進行二層轉發否則將數據送至CPU。CPU查找相應的路由表信息,與數據的目的IP地址相比對,然後發送ARP數據包到目的主機得到該主機的MAC地址,將MAC地址發到二層芯片,由二層芯片轉發該數據包。因爲低價CPU處理速度較慢,因此這種三層交換機處理速度較慢。
市場產品選型
近年來寬帶IP網絡建設成爲熱點,下面以適合定位於接入層或中小規模匯聚層的第三層交換機產品爲例,介紹一些三層交換機的具體技術。在市場上的主流接入第三層交換機,主要有Cisco的Catalyst 2948G-L3、Extreme的Summit24和AlliedTelesyn的Rapier24等,這幾款三層交換機產品各具特色,涵蓋了三層交換機大部分應用特性。當然在選擇第三層交換機時,用戶可根據自己的需要,判斷並選擇上述產品或其他廠家的產品,如北電網絡的Passport/Acceler系列、原Cabletron的SSR系列(在Cabletron一分四後,大部分SSR三層交換機已併入Riverstone公司)、Avaya的Cajun M系列、3Com的Superstack3 4005系列等。此外,國產網絡廠商神州數碼網絡、TCL網絡、上海廣電應確信、紫光網聯、首信等都已推出了三層交換機產品。下面就其中三款產品進行介紹,使您能夠較全面地瞭解三層交換機,並針對自己的情況選擇合適的機型。
Cisco Catalyst 2948G-L3交換機結合業界標準IOS提供完整解決方案,在版本12.0(10)以上全面支持IOS訪問控制列表 ACL,配合核心Catalyst 6000,可完成端到端全面寬帶城域網的建設(Catalyst 6000使用MSFC模塊完成其多層交換服務,並已停止使用RSM路由交換模塊,IOS版本6.1以上全面支持ACL)。
Extreme公司三層交換產品解決方案,能夠提供獨特的以太網帶寬分配能力,切割單位爲500kbps或200kbps,服務供應商可以根據帶寬使用量收費,可實現音頻和視頻的固定延遲傳輸。
AlliedTelesyn公司Rapier24三層交換機提供的PPPoE特性,豐富和完善了用戶認證計費手段,可適合多種接入網絡,應用靈活,易於實現業務選擇,同時又保護目前用戶的已有投資,另可配合NAT(網絡地址轉換)和DHCP的Server等功能,爲許多服務供應商看好。
總之,三層交換機從概念的提出到今天的普及應用,雖然只歷經了幾年的時間,但其擴展的功能也不斷結合實際應用得到豐富。隨着ASIC硬件芯片技術的發展和實際應用的推廣,三層交換的技術與產品也會得到進一步發展。
使用三層交換保證數據安全
江西三九宜工股份有限公司主幹網拓撲結構爲多級星型千兆以太網。在科技樓的中心機房放置一臺有多個千兆口和百兆口的高性能交換機Cisco Catalyst 4006,作爲骨幹網核心交換機。公司主服務器和高性能工作站使用中心交換機的千兆交換端口,性能較低和業務量相對較少的工作站連接到中心交換機的百兆口;在中心交換機的的背板插槽中安裝光纖模塊,通過光纖連接生產分廠的Catalyst 3512交換機,使各分廠中的工作站也可獲得百兆帶寬。
公司計算機網絡配置爲:服務器端是Windows NT Server ,客戶端爲Windows NT Workstation或Windows95/98;應用系統包括兩個部分,第一部分是CAD/CAM/CAPP/PDM系統,另一個是企業資源計劃管理(ERP)系統。中心機房有一臺HP 6000作爲Windows NT 主域控制器,同時也是ERP服務器,HP LH3作爲一臺獨立CAD Server,另外還有一臺郵件服務器,一臺網管服務器,一臺用作出圖的PC 機,所有的產品圖紙集中在計算機中心出圖。
■安全要求
1. 爲了防止CAD設計的產品圖紙通過管理部門的計算機外泄,必須將兩個應用系統劃分到不同的網段分隔開來;
2. 整個系統只設一個主域控制器,中心機房的所有計算機屬於CAD 網段,但又要求使用ERP服務器中的資源;
3. 公司級的主要領導屬於ERP管理網段,但同時又要求管理和使用CAD網段中的資源。
■用VLAN解決
以太網是基於CSMA/CD機制的網絡,不可避免地會產生包的廣播和衝突,由於數據廣播會佔用帶寬,也影響安全,尤其在基於Windows的網絡中,所以有必要減少網絡中的廣播,需要使用VLAN。VLAN能將一個廣播域劃分爲多個廣播域,它的劃分有三種方式,基於端口、基於MAC地址和基於網絡協議。Cisco的解決方案是建議一個VLAN對應一個IP網段(TCP/IP網絡),宜工目前採用的就是這種方式,並採用Trunk技術維持VLAN配置的一致性。Trunk是在交換機間或與路由間的點對點鏈路可同時傳輸多個VLAN數據,幫助把實現VLAN從一臺交換機到另一臺交換機的擴展。
在網絡七層協議裏,Hub是第一層設備,所連接的設備在同一衝突域和廣播域內;交換機和網橋是第二層設備,所連接的設備在同一廣播域內,每個端口是一個衝突域,所以交換機可以幫助減少衝突,並可實現雙工通信,但不能減少廣播流量;路由器是第三層設備,連接的設備在不同的廣播域和衝突域內,可以通過路由功能控制廣播和衝突。
■三層交換簡化設置
劃分了VLAN後,不同VLAN間就不能通訊了,所以需要路由器來連接不同的VLAN,但有了第三層交換機後就不必再那麼麻煩。Catalyst 4006是Cisco公司推出的一款較先進的企業主幹網交換機,擁有第三層交換能力,既解決了VLAN通訊問題,又消除了路由器帶寬低的痼疾。4006的三層交換功能在4232-L3模塊上實現,與5000系列和6000系列不同,4000系列交換機的三層交換是採用內部的兩個虛擬千兆連接完成的。
中心交換機上共設計了兩個VLAN,分別爲CAD和普通用戶使用,網段爲192.168.66.0和192.168.67.0。交換機爲兩個VLAN提供了第三層交換功能,同時利用靜態路由列表將某些特殊地址加入,實施一定的安全策略。
在實際網絡中,管理模塊上的兩個和4306-GB模塊上的五個通過光纖連接二級交換機,提供主幹千兆。從4006角度看6/1和6/2是兩條實現路由功能的接口(我們的三層模塊插在交換機第六個槽),而對於三層交換模塊來說,這兩個端口是連接4006的接口。
通過第三層交換功能,實現了企業網絡分段,從而提高了網絡中數據的安全性。