交換式區域網

交換式區域網

交換式區域網,作為一種能通過增加網段提高區域網容量的技術,已經迅速地確立了它自己的地位。這是因為區域網交換機能夠以較低的成本在多個網段提供高質量的報文傳輸服務。這正如以前的路由器,作為連接區域網段的互連設備曾大量替代了互連網橋,而現在交換機趨向於替代區域網中的路由器。

體系結構


大型區域網總是由多個區域網通過多種網路互連設備,如網橋、路由器或交換機等連接而成的。由於對區域網帶寬不斷增長的要求必須在乙太網或令牌環網固定的10Mbps或16Mbps的帶寬限制下,所以在一個典型的區域網設計中不同區域網段的數目正迅速性地增長著。但是這種趨勢會持續多久呢?是否有可能區域網中不再需要路由器呢?毫無疑問,廣域網中互連的交換式區域網之間需要路由器提供物理連接和協議的轉換。但當我們尋求對下列問題的答案時,分歧就產生了:

原理


在開始討論在區域網中交換和路由選擇各自的作用之前,首先應該明白這兩種技術的差別。區域網交換機有點像網橋,通常它們互連同種類型的區域網段,如都是乙太網段或都是令牌環網段的情形。它們在埠之間透明地傳送信息,以令牌環網為例,就是用源路由選擇的方法。透明交換機對端站是不可見的,它們通過檢查傳送到它們埠的區域網段中的所有信息包來進行學習,從而得知各站點的位置,並根據在每個信息包中的目的網路地址把信息包送往適當的埠。這也意味著它們的運作獨立於與端站之間互相通信的協議,不管是TCP/IP協議,還是NovellIPX,NETBIOS或者IBM的SNA協議。令牌環網的源路由選擇交換機與透明交換機不同之處僅在於,源路由選擇交換機是根據由端站往每個信息包中插入的信息來把信息包送往相應的埠,同樣這也是獨立於下層網路協議的。
但在一些情況中,交換機可用來互連不同類型的區域網,例如,一些交換機可互連FDDI主幹網和乙太網段。在這種情形下,交換機只是在乙太網和FDDI幀之間作些簡單的轉換工作,這樣就遵循了對端站的透明性原則。
另一方面,路由器被設計成具有把任何類型的網路信息包傳送到任何其他類型網路的能力,它們對端站是不透明的:事實上,當一個乙太網的端站想要路由器另一端的站點進行通信時,它只是對相應的路由器進行定址,而不是目的站點。當一個路由器從一個乙太網段收到一個要發往另一個網段的信息包時,路由器取出報文的頭部,檢查報頭中的目的地址,然後根據這些信息查詢相應的表,確定這個目的站點是否位於它的一個直接相連的區域網段中,否則,該信息包應被送往另一個路由器,在作出相應的決定后,這個路由器將為這個信息包添加新的報頭並將它發送出去。
為了確定信息包往哪一個埠轉發,路由器要維護複雜的查找表,這些表是由每個路由器與網路中的其它路由器相互合作而構造的,這些路由器相互傳遞經過這個網路的路由狀態信息,在路由選擇中涉及到的協議和過程是複雜的,需要進行大量的計算,並且佔用內存。
總而言之,在區域網中交換與路由選擇最顯著的差異在於:信息包經過路由器要比經過交換機需要複雜得多的處理。因此,在取得同一性能水平的前提下,路由器的花費比交換機的花費多許多,而且,一個包經過交換機比要經過路由器花的時間少一些,從而交換機提供了更短的延遲;但另一方面,可以用路由器的處理能力來提供比交換機更大程度的控制。

目標


在明白網路設計的目標之前,我們不可能有效地討論如何使用交換技術和路由選擇技術的最優組合來建造交換式區域網,下面是交換式區域網的一些常見的設計目標:
●以合理的成本取得較高的處理能力
●更低的端到端的遲延
●具有對通信模式進行調節的彈性
●容易配置和安裝
●最小化的管理負擔
●對網路資源訪問的有效控制
在下面的討論中你將明白,交換技術作為主導技術,而路由選擇技術扮演重要但較小角色的區域網設計能最好地符合上述大部分的設計目標。在這個混合中高比例的交換技術通常是令人滿意的,因為交換技術比路由選擇技術更能以較低的成本提供更大的通信處理能力,而且交換機更易於安裝、配置和管理。

擔任的角色


在交換式區域網中,由路由器完成的基本功能主要有四種,對它們有清楚的了解有助於我們明白路由選擇在交換式區域網中擔任的角色,這四個功能為:
●把交換式區域網分割成多個廣播域,並且把這些域連接在一起
●在不同子網間進行信息包的傳送
●作為互連不同區域網的技術
●提供對從屬在區域網上的資源進行安全訪問的機制
當然,路由器完成的功能不止這些。當將區域網連接到廣域網上時,路由器承擔了許多協議的轉換工作,如從區域網的協議到針對專用線路或電話線路連接的點到點協議(PPP),或者幀中繼。但這些功能因所連接的廣域網的不同而有所差異,這裡我們只關心在交換式區域網中的情形,因此,我們的焦點就放在上述四個基本功能上。
把交換式區域網分割成多個廣播域
一些區域網技術(如乙太網和令牌環網)提供讓任一個站點可發送一信息包給區域網中的所有其它站點的能力,這也就是所謂廣播。幾乎所有區域網的網路協議都是用廣播來實現操作和管理的機制的。例如,使客戶機能定位伺服器,允許散播有關可利用的網路資源的信息等等。
一般而言,越多的站點連接到同一個區域網上,產生的廣播通信量就越大。對於通過網橋或交換機連接多個區域網段而形成的大型區域網而言,這種情況仍成立。
廣播通信流
在一個區域網中的廣播通信量不僅僅取決於連接到區域網上的站點數目,還有許多其他因素的影響,如在區域網上的伺服器和路由器的數目,所用的協議類型、用戶啟動和終止網路應用程序的頻率等等。同時,令牌環網中可觀察到的廣播特徵不同於乙太網,因為令牌環網用一種稱為源路由探測幀(SourceRouteExploreFrames),這種幀在經過橋接的網路時如果面臨多個路由選擇就會複製自己。
由於影響區域網廣播通信量的因素很多,因此很難給出一個通用的衡量指標。然而,實際的網路測定表明,即使用一般的網橋或交換機連接有幾百個甚至幾千個結點的區域網,平均的廣播通信量一般不會超過每秒10-30個信息包,在偶爾發生的高峰期每秒也最多只有100-150個信息包。而每秒30個廣播包意味佔用大約乙太網通道的千分之二點五,(這裡假定廣播信息包平均長度為100位元組)。因此廣播流對整個網路性能的影響是可以忽略的。
儘管區域網上的廣播流對網路性能的影響甚微,但同樣的情況卻不適用於廣域網的連接。在這種情形下,廣播通信流將佔用寶貴的廣域網帶寬的相當一部分,而路由器在這種環境中起著最小化廣播通信的影響的作用。
當前對網路協議和軟體的類型和用法的趨勢是:傾向於減少在區域網中的廣播通信流量。例如,對NetBIOS協議(一個大量使用廣播的協議)的使用正日益減少。同時,新的特性不斷地被Novell公司吸收入NetWare4.X版本,包括NetWare目錄服務(NetWareDirectoryServices)和對NetWare連接狀態協議(NetWareLinkStateProtocol)的支持,從而減少SAP(ServiceAdvertisingProtocol)和RIP(RoutingInformationProtocol)協議的通信流。
廣播風暴(BroadcastStorm)
具有多年網路管理經驗的系統管理員可能知道廣播風暴。在一個大型網路中,一個高等級的廣播通信流可能暫時轟炸網路的某一部分,造成站點失去與伺服器的連接,於是當這些站點試圖重建它們的連接時引發了更多的廣播通信流,因此引起的連鎖反應就是廣播風暴。最終迅速增長的廣播通信流會淹沒整個網路,使整個網路陷入癱瘓。
路由器能很好地解決廣播風暴問題。客戶機發出用來尋找伺服器的廣播包在路由器處被截獲。由路由器進行向前轉發。因此路由器提供了一類針對廣播包的防火牆。從而抑制了可能引發廣播風暴的連鎖反應。對廣播風暴的恐懼,造成了區域網設計時常常以路由器為中心。後面我們將說明以路由器為中心的網路結構。
毫無疑問,在今天通過網橋互連的大型區域網中,廣播風暴會導致十分嚴重的網路服務丟失問題。然而,該問題的出現主要源於迄今為止仍缺乏足夠重視的三個事實:
使用遠程網橋通過低速專用線路連接外部網點。這種原始的遠程區域網網橋具有很少的或者沒有廣播包的過濾能力。因此原本在10Mbps的乙太網中佔用微不足道帶寬的廣播通信流量可能很快轟炸64Kbps的線路。站點間失去連接的結果很容易引發廣播風暴。實踐中往往採用路由器支持低速線路連接遠程網點,利用路由器來防止遠程線路被廣播包轟炸。
端站實現IP協議棧時的特性也容易引發廣播風暴。在有關IP的資料中記述了許多早期實現IP協議棧的方式,它們都可能引發廣播風暴。如在早期的BerkeleyUNIX版本中站點在收到一個錯誤IP的信息包會繼續轉發它,以及站點可能會對特定的廣播包發出ICMP錯誤信息。當前的IP實現的版本已經消除了這個問題
端站的網路介面和協議棧的糟糕的實現。由於歷史的原因,不足的處理能力,不足的緩衝內存,以及對協議棧的不成熟的軟體實現,造成了對區域網中的廣播通信流的過度的敏感。若在相對較低等級的廣播通信流的情況下,區域網的介面變得擁塞,則連接可能會失去,站點試圖重建連接的努力又形成了引發廣播風暴的條件。經歷了十多年的技術發展,區域網的介面現在能處理很高的廣播流了。可能引發廣播風暴的通信流的下限也提高很多了。
總而言之,今天的交換式區域網中廣播風暴的風險被極大地誇大了。如果把適度的注意點移到如何更好的配置交換式區域網上,那沒有理由不能構建擁有數千個結點的大型區域網,而且仍具有良好的性價比和可擴展性等好處。
子網間信息包的傳輸
大量應用的網路協議如IP和IPX以及NetBIOS等提供了一個獨立於下層區域網傳輸的網路層定址結構。IP和IPX都是可定址的協議。也就是說它們實現了分層次的定址方案,用如<網路標識號主機標識號>來標識所有的網路主機。NetBIOS是一個不可定址的協議,因為網路主機只是簡單的用一個名字標識它,而沒有層次結構。
網路協議的定址結構對交換式區域網的設計具有重要的意義。因為網路地址的層次特性需要把網路主機分成許多的組,每組中的主機具有相同的網路標識號。在某一組中的一個主機想和另一組中的主機進行通信的唯一辦法是把信息包送往路由器,由路由器進行轉發。在這裡,我們將詳細地討論定址方案。稍後,我們將討論在這些方案的限制下進行有效工作的策略。
IP定址
IP協議用四個位元組(32位)來進行網路定址。網路標識號和主機標識號在其中的分割是具有一定靈活性的。任一組織可以用專用的定址方案來管理IP,這樣它們擁有極大的靈活性,或者它們也可利用公共的定址方案。這些方案是由負責全球唯一分配IP地址的IANA(InternetAssignedNumbersAuthority)制定的。
大多數組織選用公共的定址方案。但問題在於地址僅有四個位元組,地址空間極其有限。結果,許多的組織被迫選用具有諸多限制的定址方案。如限制在一個區域網中不用經過路由器而可直接相互通信的站點數目。
對於可定址的協議,每個端站可以有一個由網路標識號和主機標識號組成的網路地址,對IP而言,每個端站的地址通常是由網路管理員手工配置的。當一個端站想和它已知道其IP的另一個端站進行通信時,它首先把自己的網路標識號與目的站點的網路標識號進行比較。如果它們是相同的,則表明目的站點是位於同一個區域網中的。於是我們僅僅需要找到該站點所對應的區域網地址。這裡我們利用ARP協議。如果它們的網路標識號不一樣,則源站點將不得不和一個或多個路由器進行通信。路由器中包含有如何到達不同網路的路由信息。這也意味著在交換式區域網中,路由器能使具有不同網路號的端站進行通信。當前最流行的定址方案是C類地址,這裡我們必須把區域網用戶分成組,每組中不能有超過254個站點具有相同的網路標識號。在同一組中的站點的通信可直接通過交換式區域網進行。而不同組間要通過路由器。
IP定址:子網
對於最常用的C類IP定址方案,在一個子網的站點數目不得超過254的限制給我們帶來了諸多的不便。其他的IP定址方案沒有這樣的限制。
許多大型的組織很幸運地申請(通過IANA)到了一個B類地址甚至一個A類地址。B類地址支持在一個子網中多達65534個站點。而A類地址甚至允許在一個子網中可有1600萬個站點。現在IANA極不樂意再分配新的A類地址或B類地址,因為剩下的已經不多了。如果要想申請得一個A類或B類地址,則必須給出非常充分的理由。
實際上,沒有真正的網路在一個子網中包含有65000個站點,更不要說1600萬個站點了。為了更好地利用已經分配的IP地址空間。通常再為它配置一個子網屏蔽碼。對於一個A類地址而言,IP地址中的網路標識號通常位於IP地址的頭8位,而對B類地址,網路標識號佔用了頭16位。但如果我們在附加6個位給網路標識號的話,則我們就有效地把一個B類地址分割成了62個更小的子網,每個子網中最多可有1022個站點。
擁有A類地址或B類地址的組織應明智地利用這個很有價值的資產。設置好子網屏蔽碼的大小對於充分地利用這個地址空間而言是極其關鍵的。子網屏蔽碼大得應能支持所需要的子網的最大數目(例如,人們可能在每個分支辦公處都需要一個子網)。同時,又要考慮在主要場所大型交換式區域網帶來的良好的性價比。
許多組織現在只可能向IANA申請C類地址,在C類地址的限制下有效工作的策略後面我們會討論到。
IPX定址
NovellIPX協議很少碰到象上面IP定址具有的限制。在IPX協議中,網路層地址佔用十個位元組,其中頭四個位元組是網路標識號,后六個位元組是主機標識號,主機標識號其實就是在區域網適配卡(即網卡)中內置的地址。這個地址是由IEEE全球唯一分配的,網路標識號是在每個站點啟動時,通過向區域網中的伺服器廣播一個請求而得到。
因此,對於IPX而言,對具有同一網路標識號的站點數目沒有限制。在一個正確設計的交換式區域網中,所有的IPX站點可以自由地通過區域網交換機進行相互通信,根本不需要經過任何路由器。
NetBIOS定址
NetBIOS站點的地址是一個由數字和字母組成的名字標誌著。這個名字沒有層次意義,因此,NetBIOS站點可以在一個平坦型網路中直接進行通信,也可通過一個橋接區域網進行。如果一定要經過路由器的話,則或者NetBIOS是通過路由器連接的,或者NetBIOS是被包含在另一個協議中(如IP協議)。
網路的現實:多種協議的區域網
在大型組織中,大多數區域網需要支持多種區域網協議。然而,每種協議都各具有不同的特徵。每種協議都有它的最優設計方案。但很幸運的是,我們可以設計一個交換式區域網來提供IP,IPX和其他非可定址協議的最優性能組合。
傳統的區域網設計方法是以IP為中心的。焦點也就放在根據IP定址方案把區域網分割成多個子網。許多的組織認為:如果他們將在每個子網最多254站點的限制下工作的話,那他們也可很好地設計僅有一個物理網段的區域網。每個網段接到一個路由器埠上。
這種方法的問題在於,任意兩個網段之間的通信流,不管它們的協議,都必須經過一個或多個路由器。事實上,他們已經採取了接受IP地址限制的網路結構,並且強加這種限制於其他的網路協議之上,也不管IPX協議能在一個子網內能支持多少個站點。所有的相互通信都需要經過路由器。同時也意味著所有的非可定址的協議如NETBIOS都必須接到路由器上,這種基於路由器的結構為了達到較好的性能,必須耗費大量的路由器的資源。
總之,在交換式區域網中,如果必須在多個子網間進行信息包的傳送的話,則必須接受IP定址方案的限制。同時,也不能應用於IPX和其它非定址協議。但對於一個正確設計的交換式區域網而言,定址能力的限制僅僅對不同網路的站點間的IP通信流發生作用。在大多數情況下,我們可能把所有局部的IPX通信流和所有的非可定址通信流放在一個交換式區域網內,而不用經過任何路由器。這將在後面的交換式區域網部分加以詳細闡述。
互連不同區域網的技術
路由器被大量地應用於大型區域網內,用來互連不同類型的區域網。如連接乙太網或者令牌環網到FDDI主幹網上,或連接位於同一地點的乙太網和令牌環網。路由器在支持連接到FDDI主幹網的市場上的地位遭到區域網交換機的嚴重挑戰。區域網交換機可以在乙太網或令牌環網與FDDI主幹網之間起著網橋的作用,專註於簡單的幀格式的轉換而避開了所有網路層複雜的處理。交換機僅以路由器一小部分的代價達到與FDDI主幹網連接的目的。而且當在高速主幹網技術上FDDI讓位於ATM的時候,通過交換機把乙太網或令牌環網連接到主幹網上將變得更容易。因為ATM能模擬區域網支持直接傳輸乙太網或令牌環網幀,不需要轉換工作。
連接乙太網與令牌環網的網橋存在互操作性問題已經很久了。而路由器能較好地滿足這種需要。當乙太網和令牌環網的用戶相共享對公用資源的訪問時,則在每個伺服器上安裝兩種類型的網卡。使兩類用戶都可直接訪問伺服器。這樣將能提供更好的性能,並且減少對昂貴路由器的需求。
提供安全訪問的機制
除了在不同區域網和廣域網的連接間轉發信息包之外。路由器一般也提供一定範圍的包過濾能力,從而提供對網路資源更安全的訪問。對廣域網來說安全訪問是必需的,但許多的組織也在路由器中提供包過濾的能力來實現區域網內的安全訪問。路由器對通常由網路應用程序提供的有關安全性的功能提出了有用的增補,以及能對沒有許可權訪問的用戶進行網路資源屏蔽。大多數路由器提供一系列的邏輯規則,可用來創建適當的過濾器。如根據網路地址,套接字型大小,協議類型等等,這些規則使用戶能很有彈性實現他們的安全功能。但是,應該說明的是,路由器在接受到每個包后在軟體中運用過濾規則進行處理,因此可能對路由器的吞吐率和包遲延有較嚴重的影響。