三層交換

三層交換

三層交換技術就是:二層交換技術+三層轉發技術。它解決了區域網中網段劃分之後,網段中子網必須依賴路由器進行管理的局面,解決了傳統路由器低速、複雜所造成的網路瓶頸問題。

簡介


任何一種新技術進入市場時,都要經歷業界專業人員對伴隨這種技術的新術語和“技術行話”進行篩選的階段。這些新的技術術語往往會造成迷惑,甚至自相矛盾,具體情況取決於供應商使用它們的方式。“第三層交換”和有關的技術也不例外,隨著越來越多交換機和路由器技術的推出,有關它們技術術語的迷惑只會增多。
比如,第三層交換、第四層交換、多層交換、多層數據包分類和路由交換機等新術語就令交換機和路由器之間的傳統區別變得模糊起來。此外,由於許多供應商在原本用於布線室的第二層交換機平台上提供了第三層交換技術,從而讓人更加迷惑不解。這些變化使網路設計人員很難了解如何部署高效的網路解決方案。因此,必須去偽存真,並專註於基礎知識,才能真正了解何時、何地以及為什麼採用第三層交換。

基本原理


第三層交換是在網路交換機中引入路由模塊而取代傳統路由器實現交換與路由相結合的網路技術。它根據實際應用時的情況,靈活地在網路第二層或者第三層進行網路分段。具有三層交換功能的設備是一個帶有第三層路由功能的第二層交換機。
第三層交換機的設計基於對IP路由的仔細分析,把IP路由中每個報文都必須經過的過程提取出來,這個過程是十分簡化的過程。IP路由中絕大多數報文是不包含選項的報文,因此在多數情況下處理報文IP選項的工作是多餘的。不同網路的報文長度是不同的,為了適應不同的網路,IP要實現報文分片的功能,但是在全乙太網的環境中,網路的幀長度是固定的,因此報文分片也是一個可以省略的工作。第三層交換技術沒有採用路由器的最長地址掩碼匹配的方法,而是使用了精確地址匹配的方法處理,這樣,有利於硬體的實現快速查找。它採用了使用高速緩存的方法,經常使用的主機路由放到了硬體查找表中,只有在這個高速緩存中無法匹配的項目才會通過軟體去轉發。在存儲轉發過程中使用了流交換方式,在流交換中,分析第一個報文確定其是否表示了一個流或者一組具有相同源地址和目的地址的報文。如果第一個報文具有了正確的特徵,則該標識流中的後續報文將擁有相同的優先權,同一流中的後續報文被交換到基於第二層的目的地址上,三層交換機為了實現高速交換,都採用流交換方式。其在IP路由的處理上進行了改進,實現了簡化的IP轉發流程,利用專用的ASIC晶元實現硬體的轉發,這樣絕大多數的報文處理都可以在硬體中實現了,只有極少數報文才需要使用軟體轉發,整個系統的轉發性能能夠得以成千倍地增加,相同性能的設備在成本上也得到大幅度下降。
每個VLAN對應一個IP網段。在二層上,VLAN之間是隔離的,這點跟二層交換機中交換引擎的功能是一模一樣的。不同IP網段之間的訪問要跨越VLAN,要使用三層轉發引擎提供的VLAN間路由功能。在使用二層交換機和路由器的組網中,每個需要與其他IP網段通信的IP網段都需要使用一個路由器介面作為網關。而第三層轉發引擎就相當於傳統組網中的路由器,當需要與其他VLAN通信時也要在三層交換引擎上分配一個路由介面,用來做VLAN的網關。三層交換機上的這個路由介面是在三層轉發引擎和二層轉發引擎上的,是通過配置轉發晶元來實現的,與路由器的介面不同,它是不可見的。下面舉個例子來說明通信過程。假設兩個使用IP協議的站點A、B通過第三層交換機進行通信,發送站A在開始發送時,把自己的IP地址與B站的IP地址比較,判斷B站是否與自己在同一子網內,若目的站B與發送站A在同一子網內,則進行二層的轉發,若兩個站點不在同一子網內,如發送站A要與目的站B通信,發送站A要向三層交換機的三層交換模塊發出ARP(地址解析)封包。三層交換模塊解析發送站A的目的IP地址,向目的IP地址網段發送ARP請求。B站得到此ARP請求後向三層交換模塊回復其MAC地址,三層交換模塊保存此地址並回復給發送站A,同時將B站的MAC地址發送到二層交換引擎的MAC地址表中。從這以後,A向B發送的數據包便全部交給二層交換處理,信息得以高速交換。可見由於僅僅在路由過程中才需要三層處理,絕大部分數據都通過二層交換轉發,三層交換機的速度很快,接近二層交換機的速度。

拓撲結構


所用連接到骨幹交換機的設備有伺服器、交換機、集線器、工作站等。其中核心交換機是一台第三層交換機,通過它來劃分兩個不同的功能的邏輯子網,實現不同VLAN間的通信。從圖1可以看出,在同一個VLAN虛擬子網內部三層交換機僅具有二層交換的功能,以保證傳輸速度的要求,而在不同的VLAN子網之間,三層交換機還起三層交換的作用,能正確地進行ARP解析,以保證數據流的正確傳輸,同時它還支持組播、幀和包過濾、流量計算等功能,以確保安全性能與用戶需求。

網路各層


為了充分認識第三層交換,在此有必要對使用的大多數網路體系結構的強大分層模型進行分析。
如圖所示,網路基礎架構設備(如網橋、路由器和交換機)在傳統上一直按 OSI分層模型分類。這種 OSI 模型仍然是數據網路的參考分層典範,因為它簡化了兩台計算機進行通信所要執行的任務,每層都具有特定的功能。OSI 模型定義了這些層的交互方式,並依次定義了各個網路組件的角色,從而決定了這些組件如何實現與分層網路的集成。

網路組件

交換機(第二層)
交換機在每個埠提供一個獨特的網路段,從而分離了衝突域。
路由器(第三層)
路由器可分離廣播域,並能連接不同的網路。路由器是根據目標網路層的地址(第三層)而不是工作站數據鏈路層MAC 地址來引導網路信息流。路由器通常基於軟體,因此性能比第二層交換機相對遲緩。
第三層交換機(第三層)
第三層交換機可部署在使用傳統路由器區域網的任何地方。第三層交換機中高級的 ASIC 技術可提供遠遠高於傳統路由器的性能,使它們非常適合網路帶寬密集的應用。另外,第三層交換機合併了典型路由器中相互分離的橋接(第二層)和路由(第三層)功能。這些技術的結合提供了一個能大大改進擴充能力的更加自然的網路體系結構。
第二層和第三層交換
為掌握第三層交換的優點以及如何更加有效地使用第三層交換,首先必須了解可用於網路設計的兩種交換方式: 第二層交換、第三層交換(路由)。
交換是從一個介面接收,然後通過另一個介面發出的過程。第二層與第三層交換之間的區別在於用以確定正確輸出介面的幀內信息類型。
¨ 在第二層交換中,幀的交換基於 MAC 地址信息。
¨ 在第三層交換中,幀的交換基於網路層信息,如 IP 地址。

第二層

第二層交換是在前面所述的OSI 模型的數據鏈路層進行。它檢查幀,並根據目標 MAC 地址轉發幀。
如果知道目標地址,第二層交換機會將乙太網幀轉發到適當的介面。如果第二層交換機不知道將幀發送到何處,它會將該幀廣播轉發到所有埠,以了解正確的目標地址。第二層交換機利用這種技術來建立和維護一個跟蹤幀目標地址的交換表。
對於規模較大的網路來說,這種廣播轉發操作會產生嚴重的問題,因為所有這些廣播的處理會造成性能的大幅度降低。該問題的解決辦法將在本白皮書的稍後部分進行討論。
第二層交換的優點
由於第二層交換相對簡單,網路管理員可以建立管理簡便且能擴展到數百個節點的網路,而不會遇到太多的第二層廣播問題。第二層交換機為網路提供了以下優點:
l 高帶寬:第二層交換機通過將專用帶寬分配到每一個埠,為各個用戶提供優異的性能。每一個交換機埠表示一個不同的網段,因此每個用戶可以獲得特定數量的帶寬。此外,每個專用網段還能與單項業務一起接收廣播業務。
l VLAN:第二層交換機能夠將各個埠組合到邏輯工作組(虛擬區域網或 VLAN)。每個 VLAN 組在邏輯上與交換機的其它部分分離,可幫助將第二層廣播業務控制在特定的VLAN組。這提供了以下兩個主要優點:
1. 網路設計人員可以利用 VLAN 來建造能避免特大第二層廣播域問題的大型第二層網路。
2. 網路周圍的移動、添加和更改更加容易,因為無論物理位置在哪裡,用戶始終在他們自己的 VLAN 中。
第三層交換機或路由器對 VLAN 通信不可缺少。
l 業務類別優先化:某些第二層交換機上的業務類別 (CoS) 優先化允許網路管理員根據協議、IP 地址和乙太網類型等標準給不同類型的區域網業務分配優先權級別。這使網路管理員可以根據協議、應用或用戶控制業務流,從而確保更加高效的網路運轉。
l 用戶安全:第二層交換機提供了基於用戶的穩健安全機質,這種機質基於網路登錄 (802.1x) 技術,可防止任何未經認證的用戶接入網路。

第三層

第三層交換在網路層進行。它檢查數據包信息,並根據網路層目標地址轉發數據包。與固定的第二層定址系統不同,第三層地址由網路管理員安裝的網路分層確定。IP、IPX 和 AppleTalk 等協議都使用第三層定址。
使用第三層定址系統,網路管理員可以創建地址組(子網)。這些子網可使網路管理員以一個單元(子網)的形式輕鬆地管理子網成員,從而支持建立一個能夠擴展的分層定址系統。
第三層定址系統還比第二層系統更加動態。如果用戶移動到另一個位置,其終端站會收到一個新的第三層地址,但第二層 MAC 地址保持不變。這類似於某個人從一個城市搬到另一個城市: 郵政地址將會改變,但個人姓名和身份保持不變。因此,第三層路由網路能將邏輯定址結構連接到物理基礎架構,從而提供了一個比第二層網路更加靈活和更加可擴充的分層結構。
第三層交換的優點
第三層交換提供以下優點:
l 提高了網路效率:第三層交換機通過允許網路管理員在第二層 VLAN 進行路由業務,確保將第二層廣播控制在一個 VLAN 內,降低了業務量負載。
l 可持續發展:由於 OSI 層模型的分層特點,第三層交換機能夠創建更加易於擴展和維護的更大規模的網路。
l 更加廣泛的拓撲選擇:基於路由器的網路支持任何拓撲,並能更輕易超過類似第二層交換網路的更大規模和複雜程度。
l 工作組和伺服器安全:第三層設備能根據第三層網路地址創建接入策略,這允許網路管理員控制和阻塞某些 VLAN 到 VLAN 通信,阻塞某些 IP 地址,甚至能防止某些子網訪問特定的信息。
l 更加優異的性能:通過使用先進的 ASIC 技術,第三層交換機可提供遠遠高於基於軟體的傳統路由器的性能。比如,每秒 4000 萬個數據包對每秒 30 萬個數據包。第三層交換機為千兆網路這樣的帶寬密集型基礎架構提供了所需的路由性能。因此,第三層交換機可以部署在網路中許多具有更高戰略意義的位置。

部署


了解了第二層和第三層交換機的相對優點之後,就可以知道每一種交換機能夠在網路中的哪些地方產生最大的效應。
80/20 法則
九十年代早期,經驗法則確立,它認為所有業務流的 80% 應在本地子網上,只有 20% 的業務流應傳遞到路由器。多年來,該法則一直準確無誤,而且路由器能夠相當輕鬆地處理各種業務量級別。隨著更多的廣播業務被控制在特定的本地網段上,在第二層交換機上使用 VLAN 有一定的效用。
20/80 法則
但是,過去幾年,建立了大量伺服器來幫助改善安全和管理,加之越來越多地使用內部網和客戶機/伺服器服務,導致了區域網業務流的巨大變化。所有業務流的 80% 被傳遞到路由網路,只有大約 20% 的業務被控制在本地子網內。
這種新結構對路由網路提出了巨大的需求,因為用戶每次訪問位於不同子網上的伺服器時,其通信業務都必須通過第三層設備(通常為每秒只能轉發 30 萬個數據包的路由器)
解決 20/80 法則問題
很明顯,具有核心路由器的單層第二層網路不能擴充,而且其對當今的網路流性很差。因此,必須了解如何利用第三層交換機建立一個正確的分層設計。需要考慮以下三種網路組件: 網路核心、布線室集中點、桌面接入點
l 網路核心:核心網路組件在設計時應考慮性能和彈性。第三層交換機賦予了自己這種角色,因為它們通過分層定址提供了自然的彈性,而且它們也提供了遠遠優於傳統路由器的性能。l 布線室集合點:該層可幫助為核心提供一個邊界,並為桌面接入設備提供重要的服務。這些服務包括 VLAN路由、安全、部門接入和地址集中。對於規模更大的網路安裝,之所以需要第三層交換機是因為它給桌面交換機提供了正確的服務,並提供了路由到核心交換機所必需的性能。
第三層交換部署示例
解決方案 1: 分支機構
在本例中,一個分支機構需要連接本地辦公室和總部的伺服器。第三層交換機被部署在網路主幹,負責執行本地伺服器、本地區域網業務以及到寬頻路由器的第三層交換。
簡單地說,三層交換技術就是:二層交換技術+三層轉發技術。它解決了區域網中網段劃分之後。

定義


三層交換(也稱多層交換技術,或IP交換技術)是相對於傳統交換概念而提出的。眾所周知,傳統的交換技術是在OSI網路標準模型中的第二層――數據鏈路層進行操作的,而三層交換技術是在網路模型中的第三層實現了數據包的高速轉發。簡單地說,三層交換技術就是:二層交換技術+三層轉發技術。

交換原理


三層交換機通過硬體來交換和路由選擇數據包。為完成在硬體中處理數據包的高層信息,Cisco Catalyst交換機使用傳統的MLS(Multilayer Switching,多層交換)體系結構或基於CEF(Cisco Express Forwarding,Cisco快速轉發)的MLS體系結構。傳統的MLS是一種老式特性,而所有新型的Catalyst交換機都支持CEF多層交換。
一個具有三層交換功能的設備,是一個帶有第三層路由功能的第二層交換機,但它是二者的有機結合,並不是簡單地把路由器設備的硬體及軟體疊加在區域網交換機上。
其原理是:假設兩個使用IP協議的站點A、B通過第三層交換機進行通信,發送站點A在開始發送時,把自己的IP地址與B站的IP地址比較,判斷B站是否與自己在同一子網內。若目的站B與發送站A在同一子網內,則進行二層的轉發。若兩個站點不在同一子網內,如發送站A要與目的站B通信,發送站A要向“預設網關”發出ARP(地址解析)封包,而“預設網關”的IP地址其實是三層交換機的三層交換模塊。當發送站A對“預設網關”的IP地址廣播出一個ARP請求時,如果三層交換模塊在以前的通信過程中已經知道B站的MAC地址,則向發送站A回復B的MAC地址。否則三層交換模塊根據路由信息向B站廣播一個ARP請求,B站得到此ARP請求後向三層交換模塊回復其MAC地址,三層交換模塊保存此地址並回復給發送站A,同時將B站的MAC地址發送到二層交換引擎的MAC地址表中。從這以後,當A向B發送的數據包便全部交給二層交換處理,信息得以高速交換。由於僅僅在路由過程中才需要三層處理,絕大部分數據都通過二層交換轉發,因此三層交換機的速度很快,接近二層交換機的速度,同時比相同路由器的價格低很多。

設備種類


三層交換機可以根據其處理數據的不同而分為純硬體和純軟體兩大類。
(1)純硬體的三層技術相對來說技術複雜,成本高,但是速度快,性能好,帶負載能力強。其原理是,採用ASIC晶元,採用硬體的方式進行路由表的查找和刷新。如圖1所示。
圖1 純硬體三層交換機原理
當數據由埠介面晶元接收進來以後,首先在二層交換晶元中查找相應的目的MAC地址,如果查到,就進行二層轉發,否則將數據送至三層引擎。在三層引擎中,ASIC晶元查找相應的路由表信息,與數據的目的IP地址相比對,然後發送ARP數據包到目的主機,得到該主機的MAC地址,將MAC地址發到二層晶元,由二層晶元轉發該數據包。
(2)基於軟體的三層交換機技術較簡單,但速度較慢,不適合作為主幹。其原理是,採用CPU用軟體的方式查找路由表。如圖2所示。
圖2 軟體三層交換機原理
就進行二層轉發否則將數據送至CPU。CPU查找相應的路由表信息,與數據的目的IP地址相比對,然後發送ARP數據包到目的主機得到該主機的MAC地址,將MAC地址發到二層晶元,由二層晶元轉發該數據包。因為低價CPU處理速度較慢,因此這種三層交換機處理速度較慢。
市場產品選型
寬頻IP網路建設成為熱點,下面以適合定位於接入層或中小規模匯聚層的第三層交換機產品為例,介紹一些三層交換機的具體技術。在市場上的主流接入第三層交換機,主要有Cisco的Catalyst 2948G-L3、Extreme的Summit24和AlliedTelesyn的Rapier24等,這幾款三層交換機產品各具特色,涵蓋了三層交換機大部分應用特性。當然在選擇第三層交換機時,用戶可根據自己的需要,判斷並選擇上述產品或其他廠家的產品,如北電網路的Passport/Acceler系列、原Cabletron的SSR系列(在Cabletron一分四后,大部分SSR三層交換機已併入Riverstone公司)、Avaya的Cajun M系列、3Com的Superstack3 4005系列等。此外,國產網路廠商神州數碼網路、TCL網路、上海廣電應確信、紫光網聯、首信等都已推出了三層交換機產品。下面就其中三款產品進行介紹,使您能夠較全面地了解三層交換機,並針對自己的情況選擇合適的機型。
Cisco Catalyst 2948G-L3交換機結合業界標準IOS提供完整解決方案,在版本12.0(10)以上全面支持IOS訪問控制列表ACL,配合核心Catalyst 6000,可完成端到端全面寬頻城域網的建設(Catalyst 6000使用MSFC模塊完成其多層交換服務,並已停止使用RSM路由交換模塊,IOS版本6.1以上全面支持ACL)。
Extreme公司三層交換產品解決方案,能夠提供獨特的乙太網帶寬分配能力,切割單位為500kbps或200kbps,服務供應商可以根據帶寬使用量收費,可實現音頻和視頻的固定延遲傳輸。
AlliedTelesyn公司Rapier24三層交換機提供的PPPoE特性,豐富和完善了用戶認證計費手段,可適合多種接入網路,應用靈活,易於實現業務選擇,同時又保護用戶的已有投資,另可配合NAT(網路地址轉換)和DHCP的Server等功能,為許多服務供應商看好。
總之,三層交換機從概念的提出到今天的普及應用,雖然只歷經了幾年的時間,但其擴展的功能也不斷結合實際應用得到豐富。隨著ASIC硬體晶元技術的發展和實際應用的推廣,三層交換的技術與產品也會得到進一步發展。

技術對比


可以看出,二層交換機主要用在小型區域網中,機器數量在二、三十台以下,這樣的網路環境下,廣播包影響不大,二層交換機的快速交換功能、多個接入埠和低廉價格為小型網路用戶提供了很完善的解決方案。在這種小型網路中根本沒必要引入路由功能從而增加管理的難度和費用,所以沒有必要使用路由器,當然也沒有必要使用三層交換機。
三層交換機是為IP設計的,介面類型簡單,擁有很強二層包處理能力,所以適用於大型區域網,為了減小廣播風暴的危害,必須把大型區域網按功能或地域等因素划他成一個一個的小區域網,也就是一個一個的小網段,這樣必然導致不同網段這間存在大量的互訪,單純使用二層交換機沒辦法實現網間的互訪而單純使用路由器,則由於埠數量有限,路由速度較慢,而限制了網路的規模和訪問速度,所以這種環境下,由二層交換技術和路由技術有機結合而成的三層交換機就最為適合。
路由器埠類型多,支持的三層協議多,路由能力強,所以適合於在大型網路之間的互連,雖然不少三層交換機甚至二層交換機都有異質網路的互連埠,但一般大型網路的互連埠不多,互連設備的主要功能不在於在埠之間進行快速交換,而是要選擇最佳路徑,進行負載分擔,鏈路備份和最重要的與其它網路進行路由信息交換,所有這些都是路由完成的功能。
在這種情況下,自然不可能使用二層交換機,但是否使用三層交換機,則視具體情況而下。影響的因素主要有網路流量、響應速度要求和投資預算等。三層交換機的最重要目的是加快大型區域網內部的數據交換,揉合進去的路由功能也是為這目的服務的,所以它的路由功能沒有同一檔次的專業路由器強。在網路流量很大的情況下,如果三層交換機既做網內的交換,又做網間的路由,必然會大大加重了它的負擔,影響響應速度。在網路流量很大,但又要求響應速度很高的情況下由三層交換機做網內的交換,由路由器專門負責網間的路由工作,這樣可以充分發揮不同設備的優勢,是一個很好的配合。當然,如果受到投資預算的限制,由三層交換機兼做網間互連,也是個不錯的選擇。