四層交換機

網路領域用於數據交換的機器

要想認識第四層交換機,先得對傳統的第二層交換機和現在廣泛應用的第三層交換機的基本工作原理和性能,有一些簡單了解,只有通過比較,你才能真正鑒別第四層交換機

第二層交換機


概念

四層交換機
四層交換機
眾所周知,第二層交換機,是根據第二層數據鏈路層的MAC地址和通過站表選擇路由來完成端到端的數據交換的。

工作流程

二層交換機具體的工作流程如下:
(1)當交換機從某個埠收到一個數據包,它先讀取幀頭中的源MAC地址,並將MAC地址與源埠做對應存儲在站表中。
(2)再去讀取幀頭中的目的MAC地址,並在地址表中查找相應的埠;
(3)如表中有與這目的MAC地址對應的埠,把數據包直接複製到這埠上;
(4)如表中找不到相應的埠則把數據包廣播到同一VLAN下的所有埠,當目的機器對源機器回應時,交換機又可以學習一目的MAC地址與哪個埠對應,在下次傳送數據時就不再需要對所有埠進行廣播了。
不斷的循環這個過程,對於全網的MAC地址信息都可以學習到,二層交換機就是這樣建立和維護它自己的地址表。
因為站表的建立與維護是由交換機自動完成,而路由器又是屬於第三層設備,其定址過程是根據IP地址定址和通過路由表與路由協議產生的。所以,第二層交換機的最大好處是數據傳輸速度快,因為它只須識別數據幀中的MAC地址,而直接根據MAC地址產生選擇轉發埠的演演算法又十分簡單,非常便於採用ASIC專用晶元實現。顯然,第二層交換機的解決方案,實際上是一個“處處交換”的廉價方案,雖然該方案也能劃分子網、限制廣播、建立VLAN,但它的控制能力較小、靈活性不夠,也無法控制各信息點的流量,缺乏方便實用的路由功能。

第三層交換機


概念

第三層交換機,是直接根據第三層網路層IP地址來完成端到端的數據交換的。

工作原理

三層交換機的工作原理:
使用IP的設備A------------------------三層交換機------------------------使用IP的設備B
比如A要給B發送數據,已知目的IP,那麼A就用子網掩碼取得網路地址,判斷目的IP是否與自己在同一網段
如果在同一網段,但不知道轉發數據所需的MAC地址,A就發送一個ARP請求,B返回其MAC地址,A用此MAC封裝數據包併發送給交換機,交換機起用二層交換模塊,查找MAC地址表,將數據包轉發到相應的埠。
如果目的IP地址顯示不是同一網段的,那麼A要實現和B的通訊,在流緩存條目中沒有對應MAC地址條目,就將第一個正常數據包發送向一個預設網關,這個預設網關一般在操作系統中已經設好,對應第三層路由模塊,所以可見對於不是同一子網的數據,最先在MAC表中放的是預設網關的MAC地址;然後就由三層模塊接收到此數據包,查詢路由表以確定到達B的路由,將構造一個新的幀頭,其中以預設網關的MAC地址為源MAC地址,以主機B的MAC地址為目的MAC地址。通過一定的識別觸發機制,確立主機A與B的MAC地址及轉發埠的對應關係,並記錄進流緩存條目表,以後的A到B的數據,就直接交由二層交換模塊完成。這就通常所說的一次路由多次轉發。
表面上看,第三層交換機是第二層交換器與路由器的合二而一,然而這種結合併非簡單的物理結合,而是各取所長的邏輯結合。其重要表現是,當某一信息源的第一個數據流進行第三層交換后,其中的路由系統將會產生一個MAC地址與IP地址的映射表,並將該表存儲起來,當同一信息源的後續數據流再次進入交換環境時,交換機將根據第一次產生並保存的地址映射表,直接從第二層由源地址傳輸到目的地址,不再經過第三路由系統處理,從而消除了路由選擇時造成的網路延遲,提高了數據包的轉發效率,解決了網間傳輸信息時路由產生的速率瓶頸。所以說,第三層交換機既可完成第二層交換機的埠交換功能,又可完成部分路由器的路由功能。即第三層交換機的交換機方案,實際上是一個能夠支持多層次動態集成的解決方案,雖然這種多層次動態集成功能在某些程度上也能由傳統路由器和第二層交換機搭載完成,但這種搭載方案與採用三層交換機相比,不僅需要更多的設備配置、佔用更大的空間、設計更多的布線和花費更高的成本,而且數據傳輸性能也要差得多,因為在海量數據傳輸中,搭載方案中的路由器無法克服路由傳輸速率瓶頸。

簡介

顯然,第二層交換機和第三層交換機都是基於埠地址的端到端的交換過程,雖然這種基於MAC地址和IP地址的交換機技術,能夠極大地提高各節點之間的數據傳輸率,但卻無法根據埠主機的應用需求來自主確定或動態限制埠的交換過程和數據流量,即缺乏第四層智能應用交換需求。第四層交換機不僅可以完成端到端交換,還能根據埠主機的應用特點,確定或限制它的交換流量。簡單地說,第四層交換機是基於傳輸層數據包的交換過程的,是一類基於TCP/IP協議應用層的用戶應用交換需求的新型區域網交換機。第四層交換機支持TCP/UDP第四層以下的所有協議,可識別至少80個位元組的數據包包頭長度,可根據TCP/UDP埠號來區分數據包的應用類型,從而實現應用層的訪問控制和服務質量保證。所以,與其說第四層交換機是硬體網路設備,還不如說它是軟體網路管理系統。也就是說,第四層交換機是一類以軟體技術為主,以硬體技術為輔的網路管理交換設備。
最後值得指出的是,某些人在不同程度上還存在一些模糊概念,認為所謂第四層交換機實際上就是在第三層交換機上增加了具有通過辨別第四層協議埠的能力,僅在第三層交換機上增加了一些增值軟體罷了,因而並非工作在傳輸層,而是仍然在第三層上進行交換操作,只不過是對第三層交換更加敏感而已,從根本上否定第四層交換的關鍵技術與作用。我們知道,數據包的第二層IEEE802.1P欄位或第三層IPToS欄位可以用於區分數據包本身的優先順序,我們說第四層交換機基於第四層數據包交換,這是說它可以根據第四層TCP/UDP埠號來分析數據包應用類型,即第四層交換機不僅完全具備第三層交換機的所有交換功能和性能,還能支持第三層交換機不可能擁有的網路流量和服務質量控制的智能型功能。

重要技術

如上所述,第二層交換設備是依賴於MAC地址和802.1Q協議的VLAN標籤信息來完成鏈路層交換過程的,第三層交換/路由設備則是將IP地址信息用於網路路徑選擇來完成交換過程的,第四層交換設備則是用傳輸層數據包的包頭信息來幫助信息交換和傳輸處理的。也就是說,第四層交換機的交換信息所描述的具體內容,實質上是一個包含在每個IP包中的所有協議或進程,如用於Web傳輸的HTTP,用於文件傳輸的FTP,用於終端通信的Telnet,用於安全通信的SSL等協議。這樣,在一個IP網路里,普遍使用的第四層交換協議,其實就是TCP(用於基於連接的對話,例如FTP)和UDP(用基於無連接的通信,例如SNMPSMTP)這兩個協議。
由於TCP和UDP數據包的包頭不僅包括了“埠號”這個域,它還指明了正在傳輸的數據包是什麼類型的網路數據,使用這種與特定應用有關的信息(埠號),就可以完成大量與網路數據及信息傳輸和交換相關的質量服務,其中最值得說明的是如下五項重要應用技術,因為它們是第四層交換機普遍採用的主要技術。

包過濾安全控制

在大多數路由器上,採用第四層信息去定義過濾規則已經成為默認標準,所以有許多路由器被用作包過濾防火牆,在這種防火牆上不僅能夠配置允許或禁止IP子網間的連接,還可以控制指定TCP/UDP埠的通信。和傳統的基於軟體的路由器不一樣,第四層交換區別於第三層交換的主要不同之處,就是在於這種過濾能力是在ASIC專用高速晶元中實現的,從而使這種安全過濾控制機制可以全線速地進行,極大地提高了包過濾速率。

服務質量

在網路系統的層次結構中,TCP/UDP第四層信息,往往用於建立應用級通信優先許可權。如果沒有第四層交換概念,服務質量/服務級別就必然受制於第二層和第三層提供的信息,例如MAC地址,交換埠,IP子網或VLAN等。顯然,在信息通信中,因缺乏第四層信息而受到妨礙時,緊急應用的優先權就無從談起,這將大大阻止緊急應用在網路上的迅速傳輸。第四層交換機允許用基於目的地址、目的埠號(應用服務)的組合來區分優先順序,於是緊急應用就可以獲得網路的高級別服務。

伺服器負載均衡

在相似服務內容的多台伺服器間提供平衡流量負載支持時,第四層信息是至關重要的。因此,第四層交換機在核心網路系統中,擔負伺服器間負載均衡是一項非常重要的應用。第四層交換機所支持的伺服器負載均衡方式,是將附加有負載均衡服務的IP地址,通過不同的物理伺服器組成一個集,共同提供相同的服務,並將其定義為一個單獨的虛擬伺服器。這個虛擬伺服器是一個有單獨IP地址的邏輯伺服器,用戶數據流只需指向虛擬伺服器的IP地址,而不直接和物理伺服器的真實IP地址進行通信。只有通過交換機執行的網路地址轉換(NAT)后,未被註冊IP地址的伺服器才能獲得被訪問的能力。這種定義虛擬伺服器的另一好處是,在隱藏伺服器的實際IP地址后,可以有效地防止非授權訪問。
虛擬伺服器是基於應用服務(第四層TCP/UDP埠號)定義的,這樣,獨立伺服器便可以是虛擬伺服器的成員。而使用第四層對話標誌信息,第四層交換機則可以使用許多負載均衡方法,在虛擬伺服器組裡轉換通信流量,其中OSPF、RIP和VRRP等協議與線速交換和負載均衡是一致的。第四層交換機還可以利用被稱之為TRL(TransactionRateLimiting)功能所提供的複雜機制,針對流量特性來遏制或拒絕不同應用類型服務。可以藉助CRL(ConnectionsRate Limiting)功能,使網路管理員指定在給定的時間內所允許的連接數,保障QoS.或者藉助SYN-Guard功能,確保那些滿足TCP協議的合法連接才可查詢網路服務。

主機備用連接

主機備用連接為埠設備提供了冗餘連接,從而在交換機發生故障時有效保護系統,這種服務允許定義主備交換機,同虛擬伺服器定義一樣,它們有相同的配置參數。由於第四層交換機共享相同的MAC地址,備份交換機接收和主單元全部一樣的數據。這使得備份交換機能夠監視主交換機服務的通信內容。主交換機持續地通知備份交換機第四層的有關數據、MAC數據以及它的電源狀況。主交換機失敗時,備份交換機就會自動接管,不會中斷對話或連接。

統計

通過查詢第四層數據包,第四層交換機能夠提供更詳細的統計記錄。因為管理員可以收集到更詳細的哪一個IP地址在進行通信的信息,甚至可根據通信中涉及到哪一個應用層服務來收集通信信息。當伺服器支持多個服務時,這些統計對於考察伺服器上每個應用的負載尤其有效。增加的統計服務對於使用交換機的伺服器負載平衡服務連接同樣十分有用。