现在的位置: 首页 > 综合 > 正文

关于交换机 VLAN ,VPN ,端口镜像

2013年09月11日 ⁄ 综合 ⁄ 共 15225字 ⁄ 字号 评论关闭

支持基于端口的VLAN

VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。

VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。

划分VLAN的基本策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:

1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。

2、基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

3、基于路由的VLAN划分

路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。

就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
使用VLAN具有以下优点:

1、控制广播风暴

一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。

2、提高网络整体安全性

通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。

3、网络管理简单、直观

对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。

三层交换技术

传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。

在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。

在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。

VPN

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

 

端口镜像
端口镜像(port Mirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。

端口镜像的目的

  由于部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。

端口镜像的功能

  监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。

  (备注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。)

  端口镜像的别名

  端口镜像通常有以下几种别名:

  ●Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。

  ●Monitoring Port 监控端口

  ●Spanning Port 通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。

  ●SPAN port 在 Cisco 产品中,SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。

  ●Link Mode port这样,这些流量就可以被一个特殊的设备监控。它对发现和修理故障有很大的帮助。

  端口汇聚指的是当可以划分VLAN的交换机相连后的连线条数问题,比如现在有两台三层交换机各划分了3个VLAN(VLAN1,VLAN2,VLAN3),那么两个交换机之间的vlan要通讯,在不使用端口汇聚的情况下只能用三条线,分别连接:VLAN1——VLAN1,VLAN2——VLAN2,VLAN3——VLAN3。使用了端口汇聚以后只需要分别设置交换机的TRUNK口,这样只要一条线缆就可以实现VLAN之间的通信了。

  端口镜像工作原理:

  SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。

  它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个临控端口镜像数据。源端口的5号端口上流转的所有数据流均被镜像至10号监控端口,而数据分析设备通过监控端口接收了所有来自5号端口的数据流。值得注意的是,源端口和镜像端口必须位于同一台交换机上(但也有例外,如Catalyst 6000系列交换机);而且SPAN并不会影响源端口的数据交换,它只是将源端口发送或接收的数据包副本发送到监控端口。

  在SPAN任务过程中,用户可以通过参数控制,来指明需要监控的数据流种类;还可以将一个或多个端、口、一个或多个VLAN作为源端口,并将从这些端口中发送或接收的单向或双向数据流传送至监控端口。在Catalyst 4006交换机中,最多可以配置6个单向的SPAN任务:2个输入数据流监控、4个输出数据流监控。一个双向SPAN任务实际上包含一个单向输入和一个单向输出。而且不仅仅二层交换端口可作为源端口,Catalyst 4006上的三层路由端口也可设置为源端口。

  SPAN 任务不会影响交换机的正常工作。当一个SPAN任务被建立后,根据交换机所处的不同的状态或操作,任务会处于激活或非激活状态,同时系统会将其记入日志。通过“show monitor session”命令可显示SPAN的当前状态。

  如果遇到系统重新启动的情况,在目的端口初始化结束之前,SPAN任务将处于非激活状态。目的端口(监控端口)可以是交换机上的任意一个交换或路由端口。当一个目的端口处于激活状态时,任何发送到该端口且与SPAN任务无关的数据包将会被丢弃。

  一个目的端口只能处于一个SPAN任务中。当一个端口被配制成目的端口后就不能再成为源端口,同时冗余链路端口也不能成为SPAN的目的端口。特别需要指出的是,如果一个 Trunk端口被配置成为SPAN的目的端口,则其Trunk功能也将自动停止。

  源端口又可以称作被监控端口。在一个SPAN任务中,可以有一个或多个源端口,而且可以根据用户需要设置为输入方向、输出方向或双向,但无论哪种情况,在一个SPAN任务中,所有源端口的被监控方向都必须是一致的。

  在Catalyst 4006交换机上的VLAN也可以整体设置为源端口,这意味着被指定VLAN中的所有端口均为当前SPAN任务中的源端口。

  Trunk端口可以单独设为源端口,也可以与非Trunk端口一起被设置为源端口,但要注意的是,在监控端口不会识别来自Trunk端口针对不同VLAN的数据封装格式,换句话说,在监控端口收到的数据包将无法辨明是来自哪个VLAN。

  SPAN数据流主要分为三类:

  (1)输入数据流(Ingress SPAN):指被源端口接收进来,其数据副本发送至监控端口的数据流;

  (2)输出数据流(Egress SPAN):指从源端口发送出去,其数据副本发送至监控端口的数据流;

  (3)双向数据流(Both SPAN):即为以上两种的综合。

  基于VLAN的SPAN是以一个或几个VLAN作为监控对象,其中的所有端口均为源端口,与基于端口的SPAN类似,基于VLAN的SPAN也分为输入数据流、输出数据流和双向数据流监控三种类型。

  在配置基于VLAN的SPAN任务过程中,应注意几点:

  (1)Trunk端口可以包含在源端口中;

  (2)针对双向SPAN任务,如果在源VLAN中的两个源端口之间有数据交换,则每一个数据包将有两个副本被转发至镜像端口;

  (3)对有多个源VLAN的SPAN任务来说,如果某个源VLAN被删除掉,则该VLAN也将从源VLAN列表中删除;

  (4)处于非激活状态的VLAN无法参与SPAN任务;

  (5)对于一个设置为输入数据流监控的源VLAN来说,来自其他VLAN的路由信息数据包不会被镜像;此外,从设置为输出数据流监控的VLAN向其他VLAN发送出的路由信息数据包也同样不会被镜像。换句话说,基于VLAN的SPAN任务只对进出二层交换端口的数据包进行镜像,而不镜像VLAN之间的路由信息。

  所有网间传输的非路由数据包,包括组播包和BPDU(桥接协议数据单元)包,都可以使用SPAN任务进行镜像。

  在一些SPAN任务的配置下,会出现同一个SPAN源端口数据包的多个副本被发送到 SPAN监控端口的情况。正像前面提到的那样,在一个双向SPAN任务中,假设a1和a2为源端口,d1为目的端口,如果a1与a2之间有数据包传输,则在a1传向a2的数据包将会被传送到d1两次,反之亦然。

  镜像端口建立方法

  Cisco CATALYST交换机端口监听配置

  Cisco CATALYST交换机分为两 种,在CATALYST家族中称侦听端口为分析端 口(analysis port)。1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配 置 (基于CLI)

  以下命令配置端口监听:

  port monitor

  例 如,F0/1和F0/2、F0/3同属VLAN1,F0/1监听F0/2、F0/3端口:

  interface FastEthernet0/1

  port monitor FastEthernet0/2

  port monitor FastEthernet0/3

  port monitor VLAN1

  2、Catalyst 4000,5000 and 6000系列交换机端口监听配 置 (基于IOS)

  以下命令配置端口监听:

  set span

  例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端 口1和3、4、5,

  set span 1/1,1/3-5 1/2

  2950/3550/3750

  格式如下:

  #monitor session number source interface mod_number/port_number both

  #monitor session number destination interface mod_mnumber/port_number

  //rx-->指明是进端口得流量,tx-->出端口得流量 both 进出得流量

  for example:

  第一条镜像,将第一模块中的源端口为1-10的镜像到端口12上面;

  #monitor session 1 source interface 1/1-10 both

  #monitor session 1 destination interface 1/12

  第二条镜像,将第二模块中的源端口为13-20的镜像到端口24上面;

  #monitor session 2 source interface 2/13-20 both

  #monitor session 2 destination interface 2/24

  当有多条镜像、多个模块时改变其中的参数即可。

  Catalyst 2950 3550不支持port monitor

  C2950#configure terminal

  C2950(config)#

  C2950(config)#monitor session 1 source interface fastEthernet 0/2

  !--- Interface fa 0/2 is configured as source port.

  C2950(config)#monitor session 1 destination interface fastEthernet 0/3

  !--- Interface fa0/3 is configured as destination port.

  3COM交换机端口监听配置

  在3COM交换机中,端口监听被称为“Roving Analysis”。 网络流量被监听的端口称作“监听口”(Monitor Port),连接监听设备的端口称作“分析 口”(Analyzer Port)。

  以下命令配置端口监听:

  ● 指定分析 口

  feature rovingAnalysis add,或缩 写 f r a,

  例 如:

  Select menu option: feature rovingAn alysis add

  Select analysis slot: 1?& nbsp;

  Select analysis port: 2

  ● 指定监听口并启动端口监听

  feature rovingAnalysis start,或缩 写 f r sta,

  例 如:

  Select menu option: feature rovingAn alysis start

  Select slot to monitor ?(1-12): 1

  Select port to monitor&nb sp;?(1-8): 3

  ● 停止端口监 听

  feature rovingAnalysis stop,或缩 写 f r sto

  Intel交换机端口监听配置

  Intel 称端口监听为“Mirror Ports”。 网络流量被监听的端口称作“源端 口”(Source Port),连接监听设备的端口称作“镜像 口”(Mirror Port)。

  配置端口监听步骤如下:

  ● 在 navigation菜单,点击Statistics下的Mirror Ports,弹出Mirror Ports信 息。

  ● 在Configure Source 列中点击端口来选择源端口, 弹出Mirror Ports Configuration。

  ● 进行源端口设 置:

  源端口是镜像流量的来源口,镜像口是接收来自源端口流量的端 口。

  ● 点击Apply确定

  可以选择三种监听的方 式:

  1.连续(Always):镜像全部流量。

  2.周期(Periodic):在一定周期内 镜像全部流量。镜像周期在Sampling Interval configuration中设置。

  3 .禁止(Disabled):关闭流量镜像。

  Avaya交换机端口监听配置

  在Avaya交换机用户手册中,端口监 听被称为“端口镜像”(Port Mirror)。

  以下命令配置端口监听:

  { set|clear } Port Mirror

  设置端口侦 听:set port mirror <mod-port-range> source-port ?<mod-port-range> mirror-port <mod-port-spec> sampling { always | disable | periodic } [ max-packets-sec <max-packets-sec-value>?& nbsp;] [ piggyback-port<mod-port-spec> ]?&nb sp;

  禁止端口监 听:clear port mirror <mod-port-range>

  命令 中,mod-port-range指定端口的范围;mod-port-spec指定特定的端口;piggyback-port指定双向镜像的端口;sampling指定镜像周期;max-packets-sec仅在sampling设置为periodic时使用,指定监听口每秒最多的数据报数量。

  华为交换机端口监听配置

  华为交换机用户手册中,端口监听被称为“端口镜 像”(Port Mirroring)。

  使用Huawei Lanswitch View管 理系统添加一个镜像端口:

  ● 选 择Device Setup或Stack Setup。

  ● 点 击Port Mirroring。

  ● 点击Add按 钮。

  ● 对于堆叠,点击Switch并从列表选择一个交换 机。

  ● 点击Reflect from并选择流量将被镜像的端 口。

  ● 点击Reflect to并选上面所选择的端口。

 

要正确理解交换机的工作原理以及其优越性,就不能不提到交换机的一些主流交换技术,正是在这些交换技术基础上,交换机才实现了比集线器更好地性能,为此本篇介绍几个主流的交换技术,随后在本篇最后将介绍交换机选购时的一些注意事项,帮助大家正确选购。

一、交换机的交换方式

目前交换机在传送源和目的端口的数据包时通常采用直通式交换、存储转发式和碎片隔离方式三种数据包交换方式,下面分别简述。>

1、直通交换方式

采用直通交换方式的以太网交换机可以理解为在各端口间是纵横交*的线路矩阵电话交换机。它在输入端口检测到一个数据包时,检查该包的包头,获取包的目的地址,启动内部的动态查找表转换成相应的输出端口,在输入与输出交*处接通,把数据包直通到相应的端口,实现交换功能。由于它只检查数据包的包头(通常只检查14个字节),不需要存储,所以切入方式具有延迟小,交换速度快的优点(所谓延迟(Latency)是指数据包进入一个网络设备到离开该设备所花的时间)。

它的缺点主要有三个方面:一是因为数据包内容并没有被以太网交换机保存下来,所以无法检查所传送的数据包是否有误,不能提供错误检测能力;第二,由于没有缓存,不能将具有不同速率的输入/输出端口直接接通,而且容易丢包。如果要连到高速网络上,如提供快速以太网(100BASE-T)、FDDI或ATM连接,就不能简单地将输入/输出端口“接通”,因为输入/输出端口间有速度上的差异,必须提供缓存;第三,当以太网交换机的端口增加时,交换矩阵变得越来越复杂,实现起来就越困难。

2、存储转发方式

存储转发(Store and Forward)是计算机网络领域使用得最为广泛的技术之一,以太网交换机的控制器先将输入端口到来的数据包缓存起来,先检查数据包是否正确,并过滤掉冲突包错误。确定包正确后,取出目的地址,通过查找表找到想要发送的输出端口地址,然后将该包发送出去。正因如此,存储转发方式在数据处理时延时大,这是它的不足,但是它可以对进入交换机的数据包进行错误检测,并且能支持不同速度的输入/输出端口间的交换,可有效地改善网络性能。它的另一优点就是这种交换方式支持不同速度端口间的转换,保持高速端口和低速端口间协同工作。实现的办法是将10Mbps低速包存储起来,再通过100Mbps速率转发到端口上。

3、碎片隔离式(Fragment Free)

这是介于直通式和存储转发式之间的一种解决方案。它在转发前先检查数据包的长度是否够64个字节(512 bit),如果小于64字节,说明是假包(或称残帧),则丢弃该包;如果大于64字节,则发送该包。该方式的数据处理速度比存储转发方式快,但比直通式慢,但由于能够避免残帧的转发,所以被广泛应用于低档交换机中。

使用这类交换技术的交换机一般是使用了一种特殊的缓存。这种缓存是一种先进先出的FIFO(First In First Out),比特从一端进入然后再以同样的顺序从另一端出来。当帧被接收时,它被保存在FIFO中。如果帧以小于512比特的长度结束,那么FIFO中的内容(残帧)就会被丢弃。因此,不存在普通直通转发交换机存在的残帧转发问题,是一个非常好的解决方案。数据包在转发之前将被缓存保存下来,从而确保碰撞碎片不通过网络传播,能够在很大程度上提高网络传输效率。

二、主流堆栈交换技术

通过我们前面的介绍已经知道,按交换机工作在OSI/RM堆栈协议层来分的话,目前的交换机主要有第二层、第三层和第四层交换机,它们都有其对应的主流交换技术,下面分别予以介绍。

1、第二层交换技术

90年代初,在网络系统集成模式中大量引入了局域网交换机。局域网交换机是一种第二层网络设备,交换机在操作过程中不断地收集资料去建立它本身的地址表,这个表相当简单,主要标明某个MAC地址是在哪个端口上被发现的。当交换机接收到一个数据封包时,它检查该封包的目的MAC地址,核对一下自己的地址表以决定从哪个端口发送出去。而不是象集线器那样,任何一个发送方数据都会出现在集线器的所有端口上(不管是否为你所需)。这时的交换机因为其只能工作在OSI/RM的第二层,所以也就称之为第二层交换机,所采用的技术也就称之为“第二层交换技术”。

“第二层交换”是指OSI第二层或称MAC层的交换。第二层交换机的引入,使得网络站点间可独享带宽,消除了无谓的碰撞检测和出错重发,提高了传输效率,在交换机中可并行的维护几个独立的、互不影响的通信进程。在交换网络环境下,用户信息只在源节点与目的节点之间进行传送,其他节点是不可见的。但有一点例外,当某一节点在网上发送广播或多目广播时,或某一节点发送了一个交换机不认识的MAC地址封包时,交换机上的所有节点都将收到这一广播信息。整个交换环境构成一个大的广播域。也就是说第二层交换机仍可能存在“广播风暴”,广播风暴会使网络的效率大打折扣,但出现情况的情形的比率比起集线器来说要少许多。

第二层交换仍存在“广播风暴”的弱点,同时,使用第二层交换并不能给路由器的功能带来什么进步。这样的结果是,第二层交换只能在本地不含任何路由器的工作组中取得性能的提高。在使用第二层交换的工作组之间,通过路由器的端到端性能会因为路由器阻塞而掉包,从而导致实质上的性能下降。正因如此,其于路由方式的第三交换技术顺应时代的需要而产生了。

2.第三层交换技术

在网络系统集成的技术中,直接面向用户的第一层接口和第二层交换技术方面已得到令人满意的答案。但是,作为网络核心、起到网间互连作用的路由器技术却没有质的突破。传统的路由器基于软件,协议复杂,与局域网速度相比,其数据传输的效率较低。但同时它又作为网段(子网,虚拟网)互连的枢纽,这就使传统的路由器技术面临严峻的挑战。随着Internet、Intranet的迅猛发展和B/S(浏览器/服务器)计算模式的广泛应用,跨地域、跨网络的业务急剧增长,业界和用户深感传统的路由器在网络中的瓶颈效应,改进传统的路由技术已迫在眉睫。在这种情况下,一种新的路由技术应运而生,这就是第三层交换技术。说它是路由器,因为它可操作在网络协议的第三层,是一种路由理解设备并可起到路由决定的作用;说它是交换器,是因为它的速度极快,几乎达到第二层交换的速度。

一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。从硬件的实现上看,目前,第二层交换机的接口模块都是通过高速背板/总线(速率可高达几十Gbit/s)交换数据的。在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路由器接口速率的限制(10Mbit/s——100Mbit/s)。在软件方面,第三层交换机也有重大的举措,它将传统的基于软件的路由器软件进行了界定。目前基于第三层交换技术的第三层交换机得到了广泛的应用,并得到了用户一致的赞同。

3、第四层交换

虽然第三层交换技术使得用户可在工作组之间获得无失真的100Mbps、1000Mbps的数据交换速率。但这一切还得有一个先决条件,那就是只有当用户和服务器本身都能跟上网络中的带宽增长,包的传输可以达到系统的极限,即达到CPU能够处理的最大速度,才是真正的成功。目前的主要问题在于提高服务器的能力,因为越来越多功能强大的工作站连到Ethernet交换的桌面上,用户桌面的能力并没有得到充分的发挥。

如果服务器容量能够满足需求,问题解决起来就相当简单。不幸的是,即使是最简单的对称多处理服务器的CPU升级也需要大量的时间,而且需要冗长繁杂的计划和管理。当一个网络的基础结构建立在G比特速率的第二层和第三层交换上,有高速WAN接入,服务器问题就将成为随之而来的瓶颈。也就是说如果服务器速度跟不上,即使是具有最快速交换的网络也不能完全确保端到端的性能。可以想像高优先权的业务在这种QoS使能的网络中会因服务器中低优先权的业务队列而阻塞。在更糟的情况下,服务器甚至会丧失循环处理业务的能力。在这样的需求背景下,第四层交换技术也就设计产生了,基于服务器设计的第四层交换扩展了服务器、第二层、第三层交换的性能和业务流的管理功能。

第四层交换功能就像是虚IP,直接指向物理服务器。它传输的业务服从的协议多种多样,有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上,需要复杂的载量平衡算法。在IP世界,业务类型由终端TCP或UDP端口地址来决定,在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。

在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP),每组服务器支持某种应用。在域名服务器(DNS)中存储的每个应用服务器地址是VIP,而不是真实的服务器地址。当某用户申请应用时,一个带有目标服务器组的VIP连接请求(例如一个TCPSYN包)发给服务器交换机。服务器交换机在组中选取最好的服务器,将终端地址中的VIP用实际服务器的IP取代,并将连接请求传给服务器。这样,同一区间所有的包由服务器交换机进行映射,在用户和同一服务器间进行传输。第四层交换技术的优点主要体现在以下几个方面:

(1)、从操作方面来看,第四层交换是稳固的,因为它将包控制在从源端到目的端的区间中。
(2)、另一方面,路由器或第三层交换技术,只针对单一的包进行处理,不清楚上一个包从哪来、也不知道下一个包的情况。它们只是检测包报头中的TCP端口数字,根据应用建立优先级队列。路由器根据链路和网络可用的节点决定包的路由。
(3)、第四层交换使用第三层和第四层信息包的报头信息,根据应用区间识别业务流,将整个区间段的业务流分配到合适的应用服务器进行处理。每个开放的区间与特定的服务器相关,为跟踪服务器,第四层交换使用多个服务器支持的特殊应用,随着服务器的增加而增强网络的整体性能。同时,第四层交换通过减少对任何特定服务器的依赖性而提高应用的可*性。
(4)、第四层交换也要求端到端QoS,提高第二层和第三层交换中一包接一包QoS传输的能力。例如,从级别高用户来的业务或重要应用的网络业务流,可以分配给最快的I/O系统和CPU,而普通的业务就分配给性能较差的机器。

以上介绍了一些基本的第二层、第三层和第四层交换技术,其实还有许多复杂、先进的交换技术,在此就不作详细介绍了。同时要注意,以上所介绍的这些交换技术并不是只能单独存在,也许它们结合使用更具有优势,例如第二层、第三层和第四层交换在校园网络中可以有很好的应用。第二层交换机连接用户和网络,在子网中指引业务流,第三层交换机或路由器将包从一个子网传到另一个子网,第四层交换机将包传到终端服务器。

三、交换机的选购

交换机虽然目前有进入到桌面的趋势,但是对于一些比较高档的交换来说一般只有在较大型的局域网中存在,而且由于交换机历来在人们心中的神秘性决定了在交换机的选购方面多数情况下是商家说了算。

在交换机的选购方面要注意的事项比较多,不再是像集线器一样那么几个简单的参数就可决定的。下面所列的是在交换机选购时要注意的几个主要方面。

1.转发方式

数据包的转发方式在前面已经介绍过,主要分为“直通式转发”(现为准直通式转发)和“存储式转发”。由于不同的转发方式适应于不同的网络环境,因此,应当根据自己的需要作出相应的选择。直通式由于只检查数据包的包头,不需要存储,所以切入方式具有延迟小,交换速度快的优点。但同时它又具有以以上所介绍的三个缺点。

存储转发方式在数据处理时延时大,但它可以对进入交换机的数据包进行错误检测,并且能支持不同速度的输入/输出端口间的交换,有效地改善网络性能。同时这种交换方式支持不同速度端口间的转换,保持高速端口和低速端口间协同工作。

低端交换机通常只拥有一种转发模式,或是存储转发模式,或是直通模式,往往只有中高端产品才兼具两种转发模式,并具有智能转换功能,可根据通信状况自动切换转发模式。通常情况下,如果网络对数据的传输速率要求不是太高,可选择存储转发式交换机;如果网络对数据的传输速率要求较高,可选择直通转发式交换机。

2.延时

交换机的延时(Latency)也称延迟时间,是指从交换机接收到数据包到开始向目的端口发送数据包之间的时间间隔。这主要受所采用的转发技术等因素的影响,延时越小,数据的传输速率越快,网络的效率也就越高。特别是对于多媒体网络而言,较大的数据延迟,往往导致多媒体的短暂中断,所以交换机的延迟时间越小越好,同时要注意的中,延时越小的交换机价格也就越贵。

3.管理功能

交换机的管理功能(Management)是指交换机如何控制用户访问交换机,以及系统管理人员通过软件对交换机的可管理程度如何。如果需要以上配置和管理,则须选择网管型交换机,否则只需选择非网管型的。目前几乎所有中、高档交换机都是可网管的,一般来说所有的厂商都会随机提供一份本公司开发的交换机管理软件,所有的交换机都能被第三方管理软件所管理。低档的交换机来通常不具有网管功能,属“傻瓜”型的,只需接上电源、插好网线即可正常工作。网管型价格要贵许多。

4.MAC地址数

通常前面的介绍,我们知道交换机之所以能够直接对目的节点发送数据包,而不是像集线器一样以广播方式对所有节点发送数据包,最关键的技术就是交换机可以识别连在网络上的节点的网卡MAC地址,形成一个MAC地址表。这个MAC地址表存放于交换机的缓存中,并记住这些地址,这样一来当需要向目的地址发送数据时,交换机就可在MAC地址表中查找这个MAC地址的节点位置,然后直接向这个位置的节点发送。

但是不同档次的交换机每个端口所能够支持的MAC数量不同。在交换机的每个端口,都需要足够的缓存来记忆这些MAC地址,所以Buffer容量的大小就决定了相应交换机所能记忆的MAC地址数多少。通常交换机只要能够记忆1024个MAC地址基本上就可以了,而一般的交换机通常都能做到这一点,所以如果对网络规模不是很大的情况下,这参数无需太多考虑。当然越是高档的交换机能记住的MAC地址数就越多,这在选择时要视所连网络的规模而定了。

5.背板带宽

现在越来越多的100M交换到桌面方案是以实现VOD(视频点播)为目的,如果您有同样需求,在选购交换器时应注意交换机背板带宽,当然是越宽越好,它将为您的交换器在高负荷下提供高速交换。由于所有端口间的通讯都需要通过背板完成,所以背板所能够提供的带宽就成为端口间并发通讯时的总带宽。带宽越大,能够给各通讯端口提供的可用带宽越大,数据交换速度越快;带宽越小,则能够给各通讯端口提供的可用带宽越小,数据交换速度也就越慢。因此,在端口带宽、延迟时间相同的情况下,背板带宽越大,交换机的传输速率则越快。

6.端口

交换机也与集线器一样,也有端口带宽之分,但这里所指的带宽与集线器的端口带宽不一样,因为这里交换机上所指的端口带宽是独享的,而集线器上端口的带宽是共享的。交换机的端口带宽目前主要包括10M、100M和1000M三种,但就这三种带宽又有不同的组合形式,以满足不同类型网络的需要。最常见的组合形式包括n*100M+m*10M、n*10/100M、n*1000M+m*100M和n*1000M四种。

n*100M+m*10M就是在一个交换机上同时有“n”个100Mbps带宽的端口和“m”个10Mbps带宽的端口,这“n+m”就是交换机的端口总和。当然这“n”与“m”可以是相同的,也可以是不同的,一般来说这“n”数要远比“m”数小。这种组合的交换机既可以作为小型廉价网络的中心节点,也可以用于大、中型网络中的工作组交换机。因为它也具有100Mbps带宽的端口,适合于大型网络的连接,100M端口一般用于服务器或主干网段的连接,或者用于级联至另一台交换机,10M端口则用于直接连接工作站计算机,从而实现不同交换机端口之间的高速连接,并满足网络内所有计算机对服务器高速连接的需求。该类交换机的最大特点就是价格低廉,且基本能够满足网络的所有需求。

n*10/100M,这种组合的交换机相比前面那种又要先进一些,因为它的每个端口都可以自适应地达到10Mbps或100Mbps的带宽,这比固定几个100Mbps带宽的交换机当然是方便许多,在性能方面也肯定要好许多。目前这种组合方式的交换机是当前市场上的主流产品,能够自动适应10Mbps或100Mbps的速率,可以无缝连接以太网和快速以太网。该类型的交换机既可以作为工作组交换机直接连接客户机,实现100Mbps到桌面的高速交换,也可以作为小型网络中心节点。当直接连接至计算机时,在全双工状态下收发各占100Mbps带宽,从而能够实现200Mbps的带宽。当与n*100M+m*10M类型的交换机连接时,为连接至不同端口的交换机提供较快链路,满足多个端口间同时传输数据的需要。

n*1000M+m*100M与上面所介绍的“n*100M+m*10M”组合形式的交换组合方式类似,只不过这里所指的带宽是“1000Mbps 与100Mbps”带宽,而不是“10Mbps与100Mbps”带宽的。这种端口配置的含义也是这种交换机同时具有n个1000Mbps带宽的端口和m个100Mbps带宽的端口,这里的“n+m”也一般是交换机的端口总数,但一般来说“n”值要远小于“m”值。目前这种配置的交换机已经逐渐由中心交换机和骨干交换机,慢慢地向大中型网络普及。也可作为小型网络中的中心交换机或骨干交换机,对上可直接连接至服务器,对下可连接各组交换机。千兆的带宽不仅能够很好地解决多用户对服务器突发性地访问问题,消除了服务器的瓶颈问题,而且还能够很好地解决高速交换机之间的互联问题,消除了级联端口的带宽瓶颈。当然这种交换机目前来说对于中、小型的单位来说还是有点贵。

n*1000M,这种交换机是目前很先进的一种,当然价格也是很贵的,因为它提供了全部都是1000Mbps的端口带宽,这种交换机目前一般是充当在大中型网络中心交换机或骨干交换机的角色。在中、小型企业单位局域网中一般来说还是很产见的,因为它实在太贵了,而且对于中、小型个、事业单位的局域网也根本用不上这1000Mbps的带宽。

7.光纤解决方案

最后要谈一点就是光纤的选择了,如果你的布线中必须选用光纤,则在您的交换机选择方案中可以有以下三种方案:其一选择具有光纤接口的交换机;另外还可以在模块结构的交换机中加装光纤模块;最后一种就是加装光纤与双绞线的转发器。第一种性能最好,但不够灵活,而且价格较贵;第二种方案具有较强的灵活配置能力,性能也较好,但价格最贵;最后一种方案价格最便宜,但性能受影响较大。

抱歉!评论已关闭.