中型企業二三層交換機之間實作互通
原理概述:
交換機端口有三種工作模式,分别是Access,Hybrid,Trunk。
Access類型的端口隻能屬于1個VLAN,一般用于連接配接計算機的端口;
Trunk類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的封包,一般用于交換機之間連接配接的端口;
Hybrid類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的封包,可以用于交換機之間連接配接,也可以用于連接配接使用者的計算機。
Hybrid端口和Trunk端口在接收資料時,處理方法是一樣的,唯一不同之處在于發送資料時:Hybrid端口可以允許多個VLAN的封包發送時不打标簽,而Trunk端口隻允許預設VLAN的封包發送時不打标簽。
Acess端口收封包:
收到一個封包,判斷是否有VLAN資訊:如果沒有則打上端口的PVID,并進行交換轉發,如果有則直接丢棄(預設)
trunk端口收封包:
收到一個封包,判斷是否有VLAN資訊:如果沒有則打上端口的PVID,并進行交換轉發,如果有判斷該trunk端口是否允許該 VLAN的資料進入:如果允許則封包攜帶原有VLAN标記進行轉發,否則丢棄該封包。
hybrid端口收封包:
收到一個封包,判斷是否有VLAN資訊:如果沒有則打上端口的PVID,并進行交換轉發,如果有則判斷該hybrid端口是否允許該VLAN的資料進入:如果可以則轉發,否則丢棄。
備注:PVID為Port-base Vlan ID,也就是端口的虛拟區域網路ID号,關系到端口收發資料幀時的VLAN TAG 标記。
Acess端口發封包:
将封包的VLAN資訊剝離,直接發送出去
trunk端口發封包:
比較端口的PVID和将要發送封包的VLAN資訊,如果兩者相等則剝離VLAN資訊,再發送,否則封包将攜帶原有的VLAN标記進行轉發。
hybrid端口發封包:
判斷該VLAN在本端口的屬性
如果是untag則剝離VLAN資訊,再發送,如果是tag則比較端口的PVID和将要發送封包的VLAN資訊,如果兩者相等則剝離VLAN資訊,再發送,否則封包将攜帶原有的VLAN标記進行轉發。
二層交換機和三層交換機的差別
二層交換機用于小型的區域網路絡。這個就不用多言了,在小型區域網路中,廣播包影響不大,二層 交換機 的快速交換功能、多個接入端口和低謙價格為小型網絡使用者提供了很完善的解決方案。
三層交換機的優點在于接口類型豐富,支援的三層功能強大,路由能力強大,适合用于大型的網絡間的路由,它的優勢在于選擇最佳路由,負荷分擔,鍊路備份及和其他網絡進行路由資訊的交換等等路由器所具有功能。
三層交換機的最重要的功能是加快大型區域網路絡内部的資料的快速轉發,加入路由功能也是為這個目的服務的。如果把大型網絡按照部門,地域等等因素劃分成一個個小區域網路,這将導緻大量的網際互訪,單純的使用二層交換機不能實作網際互訪;如單純的使用路由器,由于接口數量有限和路由轉發速度慢,将限制網絡的速度和網絡規模,采用具有路由功能的快速轉發的三層交換機就成為首選。
一般來說,在内網資料流量大,要求快速轉發響應的網絡中,如全部由三層交換機來做這個工作,會造成三層交換機負擔過重,響應速度受影響,将網間的路由交由路由器去完成,充分發揮不同裝置的優點,不失為一種好的組網政策,當然,前提是客戶的腰包很鼓,不然就退而求其次,讓三層交換機也兼為網際互連。
三層交換機和路由器的差別
1. 主要功能不同
雖然三層交換機與路由器都具有路由功能,但我們不能是以而把它們等同起來,正如現在許多網絡裝置同時具備多種傳統網絡裝置功能一樣,就如現在有許多寬帶路由器不僅具有路由功能,還提供了交換機端口、硬體防火牆功能,但不能把它與交換機或者防火牆等同起來一樣。因為這些路由器的主要功能還是路由功能,其它功能隻不過是其附加功能,其目的是使裝置适用面更廣、使其更加實用。這裡的三層交換機也一樣,它仍是交換機産品,隻不過它是具備了一些基本的路由功能的交換機,它的主要功能仍是資料交換。也就是說它同時具備了資料交換和路由由發兩種功能,但其主要功能還是資料交換;而路由器僅具有路由轉發這一種主要功能。
2. 主要适用的環境不一樣
三層交換機的路由功能通常比較簡單,因為它所面對的主要是簡單的區域網路連接配接。正因如此,三層交換機的路由功能通常比較簡單,路由路徑遠沒有路由器那麼複雜。它用在區域網路中的主要用途還是提供快速資料交換功能,滿足區域網路資料交換頻繁的應用特點。
而 路由器 則不同,它的設計初哀就是為了滿足不同類型的網絡連接配接,雖然也适用于區域網路之間的連接配接,但它的路由功能更多的展現在不同類型網絡之間的互聯上,如區域網路與廣域網之間的連接配接、不同協定的網絡之間的連接配接等,是以路由器主要是用于不同類型的網絡之間。它最主要的功能就是路由轉發,解決好各種複雜路由路徑網絡的連接配接就是它的最終目的,是以路由器的路由功能通常非常強大,不僅适用于同種協定的區域網路間,更适用于不同協定的區域網路與廣域網間。它的優勢在于選擇最佳路由、負荷分擔、鍊路備份及和其他網絡進行路由資訊的交換等等路由器所具有功能。為了與各種類型的網絡連接配接,路由器的接口類型非常豐富,而三層交換機則一般僅同類型的區域網路接口,非常簡單。
3. 性能展現不一樣
從技術上講,路由器和三層交換機在資料包交換操作上存在着明顯差別。路由器一般由基于微處理器的軟體路由引擎執行資料包交換,而三層交換機通過硬體執行資料包交換。三層交換機在對第一個資料流進行路由後,它将會産生一個MAC位址與IP位址的映射表,當同樣的資料流再次通過時,将根據此表直接從二層通過而不是再次路由,進而消除了路由器進行路由選擇而造成網絡的延遲,提高了資料包轉發的效率。同時,三層交換機的路由查找是針對資料流的,它利用緩存技術,很容易利用ASIC技術來實作,是以,可以大大節約成本,并實作快速轉發。而路由器的轉發采用最長比對的方式,實作複雜,通常使用軟體來實作,轉發效率較低。
正因如此,從整體性能上比較的話,三層交換機的性能要遠優于路由器,非常适用于資料交換頻繁的區域網路中;而路由器雖然路由功能非常強大,但它的資料包轉發效率遠低于三層交換機,更适合于資料交換不是很頻繁的不同類型網絡的互聯,如區域網路與網際網路的互聯。如果把路由器,特别是高檔路由器用于區域網路中,則在相當大程度上是一種浪費(就其強大的路由功能而言),而且還不能很好地滿足區域網路通信性能需求,影響子網間的正常通信。
綜上所述,三層交換機與路由器之間還是存在着非常大的本質差別的。無論從哪方面來說,在區域網路中進行多子網連接配接,最好還選用三層交換機,特别是在不同子網資料交換頻繁的環境中。一方面可以確定子網間的通信性能需求,另一方面省去了另外購買交換機的投資。當然,如果子網間的通信不是很頻繁,采用路由器也無可厚非,也可達到子網安全隔離互相通信的目的。具體要根據實際需求來定。
差別:二層、路由、三層、四層
二層交換技術
二層交換技術是發展比較成熟,二層交換機屬資料鍊路層裝置,可以識别資料包中的MAC位址資訊,根據MAC位址進行轉發,并将這些MAC位址與對應的端口記錄在自己内部的一個位址表中。具體的工作流程如下:
(1)當交換機從某個端口收到一個資料包,它先讀取標頭中的源MAC位址,這樣它就知道源MAC位址的機器是連在哪個端口上的;
(2)再去讀取標頭中的目的MAC位址,并在位址表中查找相應的端口;
(3)如表中有與這目的MAC位址對應的端口,把資料包直接複制到這端口上;
(4)如表中找不到相應的端口則把資料包廣播到所有端口上,當目的機器對源機器回應時,交換機又可以學習一目的MAC位址與哪個端口對應,在下次傳送資料時就不再需要對所有端口進行廣播了。不斷的循環這個過程,對于全網的MAC位址資訊都可以學習到,二層交換機就是這樣建立和維護它自己的位址表。
路由技術
路由器工作在OSI模型的第三層——網絡層操作,其工作模式與二層交換相似,但路由器工作在第三層,這個差別決定了路由和交換在傳遞包時使用不同的控制資訊,實作功能的方式就不同。工作原理是在路由器的内部也有一個表,這個表所标示的是如果要去某一個地方,下一步應該向那裡走,如果能從路由表中找到資料包下一步往那裡走,把鍊路層資訊加上轉發出去;如果不能知道下一步走向那裡,則将此包丢棄,然後傳回一個資訊交給源位址。
路由技術實質上來說不過兩種功能:決定最優路由和轉發資料包。路由表中寫入各種資訊,由路由算法計算出到達目的位址的最佳路徑,然後由相對簡單直接的轉發機制發送資料包。接受資料的下一台路由器依照相同的工作方式繼續轉發,依次類推,直到資料包到達目的路由器。而路由表的維護,也有兩種不同的方式。一種是路由資訊的更新,将部分或者全部的路由資訊公布出去,路由器通過互相學習路由資訊,就掌握了全網的拓撲結構,這一類的路由協定稱為距離矢量路由協定;另一種是路由器将自己的鍊路狀态資訊進行廣播,通過互相學習掌握全網的路由資訊,進而計算出最佳的轉發路徑,這類路由協定稱為鍊路狀态路由協定。
由于路由器需要做大量的路徑計算工作,一般處理器的工作能力直接決定其性能的優劣。當然這一判斷還是對中低端路由器而言,因為高端路由器往往采用分布式處理系統體系設計。
三層交換技術
使用IP的裝置A------------------------三層交換機------------------------使用IP的裝置B比如A要給B發送資料,已知目的IP,那麼A就用子網路遮罩取得網絡位址,判斷目的IP是否與自己在同一網段。
如果在同一網段,但不知道轉發資料所需的MAC位址,A就發送一個ARP請求,B傳回其MAC位址,A用此MAC封裝資料包并發送給交換機,交換機起用二層交換子產品,查找MAC位址表,将資料包轉發到相應的端口。
如果目的IP位址顯示不是同一網段的,那麼A要實作和B的通訊,在流緩存條目中沒有對應MAC位址條目,就将第一個正常資料包發送向一個預設網關,這個預設網關一般在作業系統中已經設好,對應第三層路由子產品,是以可見對于不是同一子網的資料,最先在MAC表中放的是預設網關的MAC位址;然後就由三層子產品接收到此資料包,查詢路由表以确定到達B的路由,将構造一個新的幀頭,其中以預設網關的MAC位址為源MAC位址,以主機B的MAC位址為目的MAC位址。通過一定的識别觸發機制,确立主機A與B的MAC位址及轉發端口的對應關系,并記錄進流緩存條目表,以後的A到B的資料,就直接交由二層交換子產品完成。這就通常所說的一次路由多次轉發。
二層交換機用于小型的區域網路絡。這個就不用多言了,在小型區域網路中,廣播包影響不大,二層交換機的快速交換功能、多個接入端口和低謙價格為小型網絡使用者提供了很完善的解決方案。
路由器的優點在于接口類型豐富,支援的三層功能強大,路由能力強大,适合用于大型的網絡間的路由,它的優勢在于選擇最佳路由,負荷分擔,鍊路備份及和其他網絡進行路由資訊的交換等等路由器所具有功能。
三層交換機的最重要的功能是加快大型區域網路絡内部的資料的快速轉發,加入路由功能也是為這個目的服務的。如果把大型網絡按照部門,地域等等因素劃分成一個個小區域網路,這将導緻大量的網際互訪,單純的使用二層交換機不能實作網際互訪;如單純的使用路由器,由于接口數量有限和路由轉發速度慢,将限制網絡的速度和網絡規模,采用具有路由功能的快速轉發的三層交換機就成為首選。
四層交換技術
第四層交換的一個簡單定義是:它是一種功能,它決定傳輸不僅僅依據MAC位址(第二層網橋)或源/目标IP位址(第三層路由),而且依據TCP/UDP(第四層)應用端口号。第四層交換功能就象是虛IP,指向實體伺服器。它傳輸的業務服從的協定多種多樣,有HTTP、FTP、NFS、Telnet或其他協定。這些業務在實體伺服器基礎上,需要複雜的載量平衡算法。在IP世界,業務類型由終端TCP或UDP端口位址來決定,在第四層交換中的應用區間則由源端和終端IP位址、TCP和UDP端口共同決定。在第四層交換中為每個供搜尋使用的伺服器組設立虛IP位址(VIP),每組伺服器支援某種應用。在域名伺服器(DNS)中存儲的每個應用伺服器位址是VIP,而不是真實的伺服器位址。當某使用者申請應用時,一個帶有目标伺服器組的VIP連接配接請求(例如一個TCP SYN包)發給伺服器交換機。伺服器交換機在組中選取最好的伺服器,将終端位址中的VIP用實際伺服器的IP取代,并将連接配接請求傳給伺服器。這樣,同一區間所有的包由伺服器交換機進行映射,在使用者和同一伺服器間進行傳輸。第四層交換的原理OSI模型的第四層是傳輸層。傳輸層負責端對端通信,即在網絡源和目标系統之間協調通信。在IP協定棧中這是TCP(一種傳輸協定)和UDP(使用者資料包協定)所在的協定層。
在第四層中,TCP和UDP标題包含端口号(portnumber),它們可以唯一區分每個資料包包含哪些應用協定(例如HTTP、FTP等)。端點系統利用這種資訊來區分包中的資料,尤其是端口号使一個接收端計算機系統能夠确定它所收到的IP包類型,并把它交給合适的高層軟體。端口号和裝置IP位址的組合通常稱作"插口(socket)"。1和255之間的端口号被保留,他們稱為"熟知"端口,也就是說,在所有主機TCP/I P協定棧實作中,這些端口号是相同的。除了"熟知"端口外,标準UNIX服務配置設定在256到1024端口範圍,定制的應用一般在1024以上配置設定端口号。配置設定端口号的最近清單可以在RFc1700"Assigned Numbers"上找到。TCP/UDP端口号提供的附加資訊可以為網絡交換機所利用,這是第4層交換的基礎。
具有第四層功能的交換機能夠起到與伺服器相連接配接的"虛拟IP"(VIP)前端的作用。每台伺服器和支援單一或通用應用的伺服器組都配置一個VIP位址。這個VIP位址被發送出去并在域名系統上注冊。在發出一個服務請求時,第四層交換機通過判定TCP開始,來識别一次會話的開始。然後它利用複雜的算法來确定處理這個請求的最佳伺服器。一旦做出這種決定,交換機就将會話與一個具體的IP位址聯系在一起,并用該伺服器真正的IP位址來代替伺服器上的VIP位址。
每台第四層交換機都儲存一個與被選擇的伺服器相配的源IP位址以及源TCP端口相關聯的連接配接表。然後第四層交換機向這台伺服器轉發連接配接請求。所有後續包在客戶機與伺服器之間重新影射和轉發,直到交換機發現會話為止。在使用第四層交換的情況下,接入可以與真正的伺服器連接配接在一起來滿足使用者制定的規則,諸如使每台伺服器上有相等數量的接入或根據不同伺服器的容量來配置設定傳輸流。
如何選擇第三層交換機
目前,第三層交換機呈現出較強的增長趨勢,正在區域網路中取代路由器,其巨大的市場潛力正在吸引着大批國内外廠商加入角逐。可喜的是國内廠商在關鍵技術方面已經開發出了自已的ASIC晶片和網管軟體,進而為使用者在品牌的選擇上提供了廣闊的空間。目前,國内市場主要廠商有Cisco、3Com、安奈特、Extreme、Fountry、Avaya、Nortel、Entersys、D-Link、SVA、神州數位網絡、華為、同方網絡、清華比威和TCL等。面對如此豐富多彩的品牌,使用者在選擇時要從哪些方面入手是必須解決的問題。
對于第三層交換機的選擇,由于不同使用者的網絡結構和應用都會有所不同,是以在選擇第三層交換機的側重點也就有所不同。但對于使用者而言,一般要注意如下幾方面。
1.注重滿配置時的吞吐量 與任何電子産品一樣,選擇第三層交換機時,首先要分析各種産品的性能名額,然而面對諸如交換容量(Gbps)、背闆帶寬(Gbps)、處理能力(Mpps)、吞吐量(Mpps)等衆多技術名額,您最好還是緊緊抓住“滿配置時的吞吐量”這個名額,因為其他技術名額使用者一般沒有能力進行測量,惟有吞吐量是使用者可以使用Smart Bits和IXIA等測試儀表直接測量和驗證的名額。
2.分布式優于集中式 不同品牌的交換機所采用的交換機技術也不同,主要可分為集中式和分布式兩類。傳統總線式交換結構子產品是集中式,現代交換矩陣子產品是分布式。由于企業内聯網中運作的音頻、視訊及資料資訊量越來越大,使之對交換機處理能力的要求也越來越高,為了實作在高端口密度條件下的高速無阻塞交換,采用分布式第三層交換機是明智的選擇。因為總線式交換機子產品在以太網環境下,仍然避免不了沖突,而矩陣式恰恰避免了端口交換時的沖突現象。
3.關注延時與延時抖動名額 企業内聯網幾乎都是高速區域網路,其目的之一就是為了音頻和視訊等大容量多媒體資料的傳輸,而這些大容量多媒體資料包最忌因延時較長和資料包丢失使資訊傳輸産生抖動。有些傳統集中式交換機的延時高達2ms,而某些現代分布式交換機的延時隻有10ms左右,兩者相差上百倍。而導緻延時過高的原因通常包括阻塞設計的交換結構和過量使用緩沖等,是以,關注延時實際上需要關注産品的子產品結構。
4.性能穩定 第三層交換機多用于骨幹和彙聚層,如果性能不穩定,則會波及網絡系統的大部分主機,甚至整個網絡系統。是以,隻有性能穩定的第三層交換機才是網絡系統連續、可靠、安全和正常運作的保證。當然,性能穩定看似抽象,似乎需要曆史檢測才能有說服力。其實不然,由于裝置性能實際上是通過多項基本技術名額和市場聲譽來實作的。是以,您可以通過吞吐量、延遲、丢幀率、位址表深度、線端阻塞和多對一功能等多項名額以及市場應用調查來确定。
5.安全可靠 作為網絡核心裝置的第三層交換機,自然是黑客攻擊的重要對象,這就要求必須将第三層交換機納入網絡安全防護的範圍。當然,這裡所說的“安全可靠”,應該包括第三層交換機的軟體和硬體。是以,從“安全”上講,配備支援性能優良、沒有安全漏洞防火牆功能的第三層交換機是非常必要的。從“可靠”上看,因客觀上任何産品都不能保證其不發生故障,而發生故障時能否迅速切換到一個好裝置上是需要關心的問題。另外,在硬體上要考慮備援能力,如電源、管理子產品和端口等重要部件是否支援備援,這對諸如電信、金融等對安全可靠性要求高的使用者尤其重要。還有就是散熱方式,如散熱風扇等設定是否合理等。最後,對寬帶營運商來說,認證功能也是考察的重要方面。以前交換機是給企業用的,上了網就直接連出去了,不需要認證。而寬帶營運商則需要确認使用者是否記錄在案。使用者通路Internet時出現了一個視窗,輸入使用者名和密碼才能通過認證,是以寬帶營運商的第三層交換機還應支援一些特殊的協定如802.1x等,以實作認證。
6.功能齊全 産品不但要滿足現有需求,還應滿足未來一段時間内的需求,進而給使用者一個增值空間。如當公司員工增加時,可以插上子產品來擴充而不必淘汰原有裝置。還有一些功能,如多點傳播、QoS、端口幹路(Port Trunking)、802.1d跨越樹(Spanning Tree)以及是否支援RIP、OSPF等路由協定,對第三層交換機來說都是十分重要的。以多點傳播為例,在VOD應用中,如果一組使用者同時點播一個節目,用多點傳播協定可以保證交換機在高密度視訊流點播時非常順暢地進行資料處理,反之,如果交換機不支援多點傳播協定,則占用的帶寬就相當大。再如QoS功能可以根據使用者不同需求将其劃分為不同等級,可以使寬帶營運商按端口流量計費,進而為不同使用者提供不同服務。另外,通路清單功能。如果在接入層劃分VLAN,則不同VLAN使用者間是不能通訊的,因為這是基于第二層的VLAN。若想通訊,必須通過第三層。如企業的财務部與市場部,一般都不來往,若有使用者需要通路,則網管人員可以通過第三層交換機進行一個簡單指令行設定,使VLAN間正常通訊,這就是通路清單功能。它是從路由器移植到第三層交換機上的一個功能,可以實作不同VLAN間的單向或雙向通訊。如果發現外部某IP位址總發送無用資料包到自己網絡上,則可以在通路清單中設定,禁止其發送資料包。
實驗拓撲:
基礎配置:
彙聚交換機1:
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094 
核心交換機1:
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
#
interface Vlanif40
ip address 192.168.40.253 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094 彙聚交換機2:
#
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
#
interface Vlanif40
ip address 192.168.40.1 255.255.255.0
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 30
#
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094 核心交換機2:
#
interface Vlanif20
ip address 192.168.20.253 255.255.255.0
#
interface Vlanif40
ip address 192.168.40.254 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094 驗證明驗:
用戶端配置:
伺服器配置:
驗證明驗: