三层交换机的原理和设计.docx
《三层交换机的原理和设计.docx》由会员分享,可在线阅读,更多相关《三层交换机的原理和设计.docx(25页珍藏版)》请在冰豆网上搜索。
三层交换机的原理和设计
三层交换机的原理和设计
科技/bely 发表于2006-11-1510:
17
1.引言
传统路由器在网络中起到隔离网络、隔离广播、路由转发以及防火墙的作业,并且随着网络的不断发展,路由器的负荷也在迅速增长。
其中一个重要原因是出于安全和管理方便等方面的考虑,VLAN(虚拟局域网)技术在网络中大量应用。
VLAN技术可以逻辑隔离各个不同的网段、端口甚至主机,而各个不同VLAN间的通信都要经过路由器来完成转发。
由于局域网中数据流量很大,VLAN间大量的信息交换都要通过路由器来完成转发,这时候随着数据流量的不断增长路由器就成为了网络的瓶颈。
为了解决局域网络的这个瓶颈,很多企业内部、学校和小区建设局域网时都采用了三层交换机。
三层交换技术将交换技术引入到网络层,三层交换机的应用也从最初网络中心的骨干层、汇聚层一直渗透到网络边缘的接入层。
2.第三层交换技术
2.1三层交换的概念
第三层交换技术也称为IP交换技术或高速路由技术等,是相对于传统交换概念而提出的。
众所周知,传统的交换技术是在OSI网络标准模型中的第二层—数据链路层进行操作的,而第三层交换技术是在网络模型中的第三层实现了数据包的高速转发。
简单地说,第三层交换技术就是:
第二层交换技术+第三层转发技术,这是一种利用第三层协议中的信息来加强第二层交换功能的机制。
一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单地把路由器设备的硬件及软件简单地叠加在局域网交换机上。
2.2三层交换的原理
从硬件的实现上看,目前,第二层交换机的接口模块都是通过高速背板/总线交换数据的。
在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速地交换数据,从而突破了传统的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。
在软件方面,第三层交换机将传统的基于软件的路由器重新进行了界定:
(1).数据封包的转发:
如IP/IPX封包的转发,这些有规律的过程通过硬件高速实现;
(2).第三层路由软件:
如路由信息的更新、路由表维护、路由计算、路由的确定等功能,用优化、高效的软件实现。
假设有两个使用IP协议的站点,通过第三层交换机进行通信的过程为:
若发送站点A在开始发送时,已知目的站B的IP地址,但尚不知道它在局域网上发送所需要的MAC地址,则需要采用地址解析(ARP)来确定B的MAC地址。
A把自己的IP地址与B的IP地址比较,采用其软件中配置的子网掩码提取出网络地址来确定B是否与自己在同一子网内。
若B与A在同一子网内,A广播一个ARP请求,B返回其MAC地址,A得到B的MAC地址后将这一地址缓存起来,并用此MAC地址封包转发数据,第二层交换模块查找MAC地址表确定将数据包发向目的端口。
若两个站点不在同一子网内,则A要向"缺省网关"发出ARP(地址解析)封包,而"缺省网关"的IP地址已经在系统软件中设置,这个IP地址实际上对应第三层交换机的第三层交换模块。
当A对"缺省网关"的IP地址广播出一个ARP请求时,若第三层交换模块在以往的通信过程中已得到B的MAC地址,则向发送站A回复B的MAC地址;否则第三层交换模块根据路由信息向目的站广播一个ARP请求,B得到此ARP请求后向第三层交换模块回复其MAC地址,第三层交换模块保存此地址并回复给发送站A。
以后,当再进行A与B之间数据包转发时,将用最终的目的站点的MAC地址封包,数据转发过程全部交给第二层交换处理,信息得以高速交换[1]。
2.3第三层交换的特点
突出的特点如下:
(1).有机的硬件结合使得数据交换加速;
(2).优化的路由软件使得路由过程效率提高;
(3).除了必要的路由决定过程外,大部分数据转发过程由第二层交换处理;
(4).多个子网互连时只是与第三层交换模块的逻辑连接,不象传统的外接路由器那样需增加端口,保护了用户的投资。
第三层交换的目标是,只要在源地址和目的地址之间有一条更为直接的第二层通路,就没有必要经过路由器转发数据包。
第三层交换使用第三层路由协议确定传送路径,此路径可以只用一次,也可以存储起来,供以后使用。
之后数据包通过一条虚电路绕过路由器快速发送。
第三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
当然,三层交换技术并不是网络交换机与路由器的简单叠加,而是二者的有机结合,形成一个集成的、完整的解决方案。
3.一款第三层交换机的设计
考虑到市场需要,交换机成本和自主知识产权因素,我们设计开发了有自主知识产权的VLSW4150系列交换机。
VLSW4150系列交换机是为企业提供的高性能、多层次化的解决方案。
VLSW4150也适用于ISP和服务提供商,尤其是对于一些大型的运营商,将能够增强其在IP市场的竞争力。
3.1总体设计
VLSW4150交换机有24个RJ4510/100BASE-TX自适应端口,提供2个可选的光纤10/100BaseTx以太口、100BaseFx快速以太端口或者千兆以太网口(SX,LX,ZX),并另外提供一个串口和一个100M以太网口对交换机进行配置。
VLSW4150交换机的体系结构可以支持最高到11Gbps的速率,多层交换速率达到6.6Mpps;可以支持8,192个MAC地址;为了更好的控制网络流量和网络安全,还支持以1M为步长的速率限制;支持TaggedVLAN和MAC-based的帧过滤以及RIP、OSPF和BGP路由协议。
VLSW4150交换机提供堆栈技术可以以一个逻辑IP地址来管理多个交换机,并可在一个口上镜像其他的数据包,提供基于Web的网管系统以及CLI方式来调试交换机。
VLSW4150支持SNMP协议、RMON和Telnet功能来便于管理。
3.2硬件结构
VLSW4150三层交换机的硬件结构分为两个部分,处理器模块和交换模块,它们之间通过PCI接口相连,同时配合相应的外围电路形成完整的三层交换机系统,见图1。
图1硬件结构
(1)处理器模块
如图2所示,处理器部采用一款MOTOROLAPowerQUICCIICPU,同一些外部存储设备以及一些外围电路构成三层交换机的处理器部分。
处理器模块主要是运行嵌入式操作系统,配置系统和路由表的维持,而不是数据转发通路的组成部分。
CPLD保存一些CPU初始化的一些配置以保证上电后CPU正常启动,Flash芯片用于存储三层交换机的所需要的所有软件和相关配置,SDRAM在系统启动之后载入FLASH中的程序,保证系统正常运行。
处理器模块一方面提供一个快速以太网接口和一个异步口,用于对交换机进行配置和调试;另一方面通过PCI接口和交换模块相连,通过PCI接口对交换模块进行控制,并进行数据传输[2]。
图2处理器模块的硬件组成
(2)交换模块
如图3所示,交换模块采用了BROADCOM公司的BCM5645作为ASIC芯片,通过PCI接口与处理器模块进行通信完成数据传输,通过5645提供的内存接口,可以给交换模块提供一个64M的外部SDRAM,从而提高交换机的吞吐量和交换速度。
5645通过MII接口和GMII接口分别连接24个百兆以太网和2个千兆以太网[3]。
图3交换模块的硬件组成
3.3软件结构
VLSW4150三层交换机的软件系统采用了模块化、分布式的设计方法,基于实时多任务操作系统。
软件系统的结构呈层次结构,一层建立在另一层的基础上,每一层都使用近邻它的下一层所提供的服务,并且为它上面一层提供更高一级的服务,其优点是:
可以向上层软件屏蔽底层操作,提高上层软件的可移植性,提高软件的可维护性。
如图4所示,软件大体分为三个层面:
(1)驱动层
驱动程序将上层软件和硬件系统进行了连接,把上层软件的路由更新、管理及配置命令转化为硬件系统所能识别的格式,从而达到更新其内部数据结构如路由表,地址表等,控制及管理硬件交换系统的目的;同时设备驱动程序把底层硬件收到的路由更新报文、控制管理帧及收到的各种信息传递给上层软件处理;
(2)协议栈
实现了TCP/IP、802.1D和802.1Q等协议,为上层的应用程序提供良好的接口;
(3)应用层
主要包括路由模块和网管模块,路由模块实现了RIP和OSPF等协议,即实现第三层路由的主要功能;网管模块实现了SNMP和RMON等网管模块,使三层交换机具有部分网管功能,保证三层交换机更好地正常运转。
图4软件结构
4.第三层交换机的应用
第三层交换机的主要用途是代替传统路由器作为网络的核心,因此,凡是没有广域连接需求,同时又需要路由器的地方,都可以用第三层交换机来代替。
在企业网和校园网中,一般会将第三层交换机用在网络的核心层,用第三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。
第三层交换机解决了局域网VLAN必须依赖路由器进行管理的局面,解决了传统路由器速度低、复杂所造成的网络瓶颈问题。
利用三层交换机在局域网中划分VLAN,可以满足用户端多种灵活的逻辑组合,防止了广播风暴的产生,对不同VLAN之间可以根据需要设定不同的访问权限,以此增加网络的整体安全性,极大地提高网络管理员的工作效率,而且第三层交换机可以合理配置信息资源,降低网络配置成本,使得交换机之间连接变得灵活。
以太网
以太网。
指的是由Xerox公司创建并由Xerox,Intel和DEC公司联合开发的基带局域网规范。
以太网络使用CSMA/CD(载波监听多路访问及冲突检测技术)技术,并以10M/S的速率运行在多种类型的电缆上。
以太网与IEEE802·3系列标准相类似。
它不是一种具体的网络,是一种技术规范。
以太网是当今现有局域网采用的最通用的通信协议标准。
该标准定义了在局域网(LAN)中采用的电缆类型和信号处理方法。
以太网在互联设备之间以10~100Mbps的速率传送信息包,双绞线电缆10BaseT以太网由于其低成本、高可靠性以及10Mbps的速率而成为应用最为广泛的以太网技术。
直扩的无线以太网可达11Mbps,许多制造供应商提供的产品都能采用通用的软件协议进行通信,开放性最好。
△以太网的连接
拓扑结构:
总线型:
所需的电缆较少、价格便宜、管理成本高,不易隔离故障点、采用共享的访问机制,易造成网络拥塞。
早期以太网多使用总线型的拓扑结构,采用同轴缆作为传输介质,连接简单,通常在小规模的网络中不需要专用的网络设备,但由于它存在的固有缺陷,已经逐渐被以集线器和交换机为核心的星型网络所代替。
星型:
管理方便、容易扩展、需要专用的网络设备作为网络的核心节点、需要更多的网线、对核心设的可靠性要求高。
采用专用的网络设备(如集线器或交换机)作为核心节点,通过双绞线将局域网中的各台主机连接到核心节点上,这就形成了星型结构。
星型网络虽然需要的线缆比总线型多,但布线和连接器比总线型的要便宜。
此外,星型拓扑可以通过级联的方式很方便的将网络扩展到很大的规模,因此得到了广泛的应用,被绝大部分的以太网所采用。
传输介质:
以太网可以采用多种连接介质,包括同轴缆、双绞线和光纤等。
其中双绞线多用于从主机到集线器或交换机的连接,而光纤则主要用于交换机间的级联和交换机到路由器间的点到点链路上。
同轴缆作为早期的主要连接介质已经逐渐趋于淘汰。
接口的工作模式:
以太网卡可以工作在两种模式下:
半双工和全双工。
半双工:
半双工传输模式实现以太网载波监听多路访问冲突检测。
传统的共享LAN是在半双工下工作的,在同一时间只能传输单一方向的数据。
当两个方向的数据同时传输时,就会产生冲突,这会降低以太网的效率。
全双工:
全双工传输是采用点对点连接,这种安排没有冲突,因为它们使用双绞线中两个独立的线路,这等于没有安装新的介质就提高了带宽。
例如在上例的车站间又加了一条并行的铁轨,同时可有两列火车双向通行。
在双全工模式下,冲突检测电路不可用,因此每个双全工连接只用一个端口,用于点对点连接。
标准以太网的传输效率可达到50%~60%的带宽,双全工在两个方向上都提供100%的效率。
△以太网的工作原理
以太网采用带冲突检测的载波帧听多路访问(CSMA/CD)机制。
以太网中节点都可以看到在网络中发送的所有信息,因此,我们说以太网是一种广播网络。
以太网的工作过程如下:
当以太网中的一台主机要传输数据时,它将按如下步骤进行:
1、帧听信道上收否有信号在传输。
如果有的话,表明信道处于忙状态,就继续帧听,直到信道空闲为止。
2、若没有帧听到任何信号,就传输数据
3、传输的时候继续帧听,如发现冲突则执行退避算法,随机等待一段时间后,重新执行步骤1(当冲突发生时,涉及冲突的计算机会发送一个拥塞序列,以警告所有的节点)
4、若未发现冲突则发送成功,计算机会返回到帧听信道状态。
注意:
每台计算机一次只允许发送一个包,所有计算机在试图再一次发送数据之前,必须在最近一次发送后等待9.6微秒(以10Mbps运行)。
△帧结构
以太网帧的概述:
以太网的帧是数据链路层的封装,网络层的数据包被加上帧头和帧尾成为可以被数据链路层识别的数据帧(成帧)。
虽然帧头和帧尾所用的字节数是固定不变的,但依被封装的数据包大小的不同,以太网的长度也在变化,其范围是64~1518字节(不算8字节的前导字)。
△冲突/冲突域
冲突(Collision):
在以太网中,当两个数据帧同时被发到物理传输介质上,并完全或部分重叠时,就发生了数据冲突。
当冲突发生时,物理网段上的数据都不再有效。
冲突域:
在同一个冲突域中的每一个节点都能收到所有被发送的帧。
影响冲突产生的因素:
冲突是影响以太网性能的重要因素,由于冲突的存在使得传统的以太网在负载超过40%时,效率将明显下降。
产生冲突的原因有很多,如同一冲突域中节点的数量越多,产生冲突的可能性就越大。
此外,诸如数据分组的长度(以太网的最大帧长度为1518字节)、网络的直径等因素也会影响冲突的产生。
因此,当以太网的规模增大时,就必须采取措施来控制冲突的扩散。
通常的办法是使用网桥和交换机将网络分段,将一个大的冲突域划分为若干小冲突域。
△广播/广播域
广播:
在网络传输中,向所有连通的节点发送消息称为广播。
广播域:
网络中能接收任何一设备发出的广播帧的所有设备的集合。
广播和广播域的区别:
广播网络指网络中所有的节点都可以收到传输的数据帧,不管该帧是否是发给这些节点。
非目的节点的主机虽然收到该数据帧但不做处理。
广播是指由广播帧构成的数据流量,这些广播帧以广播地址(地址的每一位都为“1”)为目的地址,告之网络中所有的计算机接收此帧并处理它。
△共享式以太网
共享式以太网的典型代表是使用10Base2/10Base5的总线型网络和以集线器(集线器)为核心的星型网络。
在使用集线器的以太网中,集线器将很多以太网设备集中到一台中心设备上,这些设备都连接到集线器中的同一物理总线结构中。
从本质上讲,以集线器为核心的以太网同原先的总线型以太网无根本区别。
集线器的工作原理:
集线器并不处理或检查其上的通信量,仅通过将一个端口接收的信号重复分发给其他端口来扩展物理介质。
所有连接到集线器的设备共享同一介质,其结果是它们也共享同一冲突域、广播和带宽。
因此集线器和它所连接的设备组成了一个单一的冲突域。
如果一个节点发出一个广播信息,集线器会将这个广播传播给所有同它相连的节点,因此它也是一个单一的广播域。
集线器的工作特点:
集线器多用于小规模的以太网,由于集线器一般使用外接电源(有源),对其接收的信号有放大处理。
在某些场合,集线器也被称为“多端口中继器”。
集线器同中继器一样都是工作在物理层的网络设备。
共享式以太网存在的弊端:
由于所有的节点都接在同一冲突域中,不管一个帧从哪里来或到哪里去,所有的节点都能接受到这个帧。
随着节点的增加,大量的冲突将导致网络性能急剧下降。
而且集线器同时只能传输一个数据帧,这意味着集线器所有端口都要共享同一带宽。
△交换式以太网
交换式结构:
在交换式以太网中,交换机根据收到的数据帧中的MAC地址决定数据帧应发向交换机的哪个端口。
因为端口间的帧传输彼此屏蔽,因此节点就不担心自己发送的帧在通过交换机时是否会与其他节点发送的帧产生冲突。
为什么要用交换式网络替代共享式网络:
·减少冲突:
交换机将冲突隔绝在每一个端口(每个端口都是一个冲突域),避免了冲突的扩散。
·提升带宽:
接入交换机的每个节点都可以使用全部的带宽,而不是各个节点共享带宽。
△以太网交换机
交换机的工作原理:
·交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。
·交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。
·如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。
这一过程称之为泛洪(flood)。
·广播帧和组播帧向所有的端口转发。
交换机的三个主要功能:
·学习:
以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
·转发/过滤:
当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。
·消除回路:
当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
交换机的工作特性:
·交换机的每一个端口所连接的网段都是一个独立的冲突域。
·交换机所连接的设备仍然在同一个广播域内,也就是说,交换机不隔绝广播(唯一的例外是在配有VLAN的环境中)。
·交换机依据帧头的信息进行转发,因此说交换机是工作在数据链路层的网络设备
△交换机的分类:
依照交换机处理帧的不同的操作模式,主要可分为两类。
存储转发:
交换机在转发之前必须接收整个帧,并进行检错,如无错误再将这一帧发向目的地址。
帧通过交换机的转发时延随帧长度的不同而变化。
直通式:
交换机只要检查到帧头中所包含的目的地址就立即转发该帧,而无需等待帧全部的被接收,也不进行错误校验。
由于以太网帧头的长度总是固定的,因此帧通过交换机的转发时延也保持不变。
注意:
直通式的转发速度大大快于存储转发模式,但可靠性要差一些,因为可能转发冲突帧或带CRC错误的帧。
△生成树协议
消除回路:
在由交换机构成的交换网络中通常设计有冗余链路和设备。
这种设计的目的是防止一个点的失败导致整个网络功能的丢失。
虽然冗余设计可能消除的单点失败问题,但也导致了交换回路的产生,它会导致以下问题。
·广播风暴
·同一帧的多份拷贝
·不稳定的MAC地址表
因此,在交换网络中必须有一个机制来阻止回路,而生成树协议(SpanningTreeProtocol)的作用正在于此。
生成树的工作原理:
生成树协议的国际标准是IEEE802.1b。
运行生成树算法的网桥/交换机在规定的间隔(默认2秒)内通过网桥协议数据单元(BPDU)的组播帧与其他交换机交换配置信息,其工作的过程如下:
·通过比较网桥优先级选取根网桥(给定广播域内只有一个根网桥)。
·其余的非根网桥只有一个通向根交换机的端口称为根端口。
·每个网段只有一个转发端口。
·根交换机所有的连接端口均为转发端口。
注意:
生成树协议在交换机上一般是默认开启的,不经人工干预即可正常工作。
但这种自动生成的方案可能导致数据传输的路径并非最优化。
因此,可以通过人工设置网桥优先级的方法影响生成树的生成结果。
生成树的状态:
运行生成树协议的交换机上的端口,总是处于下面四个状态中的一个。
在正常操作期间,端口处于转发或阻塞状态。
当设备识别网络拓扑结构变化时,交换机自动进行状态转换,在这期间端口暂时处于监听和学习状态。
阻塞:
所有端口以阻塞状态启动以防止回路。
由生成树确定哪个端口转换到转发状态,处于阻塞状态的端口不转发数据但可接受BPDU。
监听:
不转发,检测BPDU,(临时状态)。
学习:
不转发,学习MAC地址表(临时状态)。
转发:
端口能转送和接受数据。
小知识:
实际上,在真正使用交换机时还可能出现一种特殊的端口状态-Disable状态。
这是由于端口故障或由于错误的交换机配置而导致数据冲突造成的死锁状态。
如果并非是端口故障的原因,我们可以通过交换机重启来解决这一问题。
生成树的重计算:
当网络的拓扑结构发生改变时,生成树协议重新计算,以生成新的生成树结构。
当所有交换机的端口状态变为转发或阻塞时,意味着重新计算完毕。
这种状态称为会聚(Convergence)。
注意:
在网络拓扑结构改变期间,设备直到生成树会聚才能进行通信,这可能会对某些应用产生影响,因此一般认为可以使生成树运行良好的交换网络,不应该超过七层。
此外可以通过一些特殊的交换机技术加快会聚的时间。
△网桥
网桥概述:
依据帧地址进行转发的二层网络设备,可将数个局域网网段连接在一起。
网桥可连接相同介质的网段也可访问不同介质的网段。
网桥的主要作用是分割和减少冲突。
它的工作原理同交换机类似,也是通过MAC地址表进行转发。
因此,网桥同交换机没有本质的区别。
在某些情况下,我们可以认为网桥就是交换机。
△路由器的简单介绍
什么是路由器:
路由器是使用一种或者更多度量因素的网络设备,它决定网络通信能够通过的最佳路径。
路由器依据网络层信息将数据包从一个网络前向转发到另一个网络。
路由器的功能:
·隔绝广播,划分广播域
·通过路由选择算法决定最优路径
·转发基于三层目的地址的数据包
·其他功能
△虚拟局域网VLAN
网桥/交换机的本质和功能是通过将网络分割成多个冲突域提供增强的网络服务,然而网桥/交换机仍是一个广播域,一个广播数据包可被网桥/交换机转发至全网。
虽然OSI模型的第三层的路由器提供了广播域分段,但交换机也提供了一种称为VLAN的广播域分段方法。
什么是VLAN:
一个VLAN是跨越多个物理LAN网段的逻辑广播域,人们设计VLAN来为工作站提供独立的广播域,这些工作站是依据其功能、项目组或应用而不顾其用户的物理位置而逻辑分段的。
一个VLAN=一个广播域=逻辑网段
VLAN的优点和安装特性:
VLAN的优点:
·安全性。
一个VLAN里的广播帧不会扩散到其他VLAN中。
·网络分段。
将物理网段按需要划分成几个逻辑网段
·灵活性。
可将交换端口和连接用户逻辑的分成利益团体,例如以同一部门的工作人员,项目小组等多种用户组来分段。
典型VLAN的安装特性:
·每一个逻辑网段像一个独立物理网段
·VLAN能跨越多个交换机
·由主干(Trunk
升级会员 