交换机概述
2.2.3 虚拟局域网技术
随着网络计算机的增多,导致广播数量也会急剧增加。当广播包数占到通信总量的30%以上时,网络的传输效率会明显下降。所以当网络内计算机达到一定数量后(一般是200台),通常采用划分虚拟局域网(VLAN)的方式将网络分隔开,将一个大的广播域划分成若干个小的广播域,以减少广播风暴对网络传输照成的影响。
1、VLAN的意义及作用
1)降低移动和变更的管理成本。VLAN中的成员与其物理位置无关,即可连接至同一交换机也可连接至不同的交换机。当把一台计算机从一个子网转移到另外一个子网时,迁移工作只是网络管理员在用做网络管理的计算机上重新定义一下VLAN成员即可。
2)控制广播。由于所有的广播都在本VLAN中进行,所以将大大减少广播对网络带宽的占用。
3)增强安全性。由于交换机只能在同一VLAN内的端口之间数据交换,不同VLAN的端口不能直接访问。因此,通过划分VLAN就可以在物理上防止某些外部客户访问内部敏感数据。
4)网络监督和管理的自动化。网络管理员可以通过网管软件,查到VLAN间和VLAN内通信数据报的细目分类信息。这些信息可以确定路由系统和经常受到访问的服务器的最佳配置十分有用,因此通过划分VLAN,可以使网络管理变得更简单。
2、VLAN的类型
1)基于端口的VLAN
基于端口的VLAN是最常适用的划分方式,是指由网络管理员使用网管软件或直接设置交换机,将某些端口强制性的分配给某个VLAN。除非网管人员重新分配,否则这些端口将一直保持对该VLAN的从属性,因此也被称作静态VLAN。这种方法需要网络管理员手动设置VLAN的划分,操作比较麻烦,但是相对安全并且容易维护。
2)基于MAC的VLAN
所谓基于MAC的VLAN,是指借助智能管理软件根据MAC地址来划分VLAN。该分配方式适用于一个交换机端口只连接一台终端的情况,当该端口连接的是集线器或者傻瓜交换机上时此方法不适用。
当一个终端设备连接到交换机端口时,此时交换机的端口还没有分配,交换机通过读取终端设备的MAC地址,动态地将该端口划入某个VLAN中。一旦动态配置完成,该终端设备可以更换其他网络端口而不改变自己的VLAN。
3)基于IP的VLAN
通过IP地址方式划分VLAN,只适用于具有路由功能三层交换机端口。当某一用户设置多个IP地址时或该端口连接到集线器中拥有多个TCP/IP用户时,通过基于IP的VLAN,该用户或端口就可以同时访问多个VLAN。
在该模式下,位于不同VLAN的多个业务部门(每一种业务部门设置成一个VLAN)均可同时访问同一台网络服务器,还可以让多个VLAN间的连接只需一个路由端口皆可完成。这种划分方式的优点是当某一终端用户的IP地址改变时,交换机能自动识别并重新划分VLAN,不需要管理员干预。但由于IP地址可以人为自由设置,使用该方式划分VLAN会带来安全隐患。
4)基于组播的VLAN
基于组播的VLAN,是指将那些需要同时通信的端口动态地定义到一个VLAN中,并在VLAN中用广播的方法解决点对点都点通信的问题。这种划分方法将VLAN扩大到广域网,具有更大的灵活性,主要适用于统一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是因为效率不高。
2.2.4 多层交换技术
1、三层交换技术
三层交换机专门用于解决VLAN间通信,集三层转发与二层交换于一体。由于使用传统路由器作为VLAN间的路由设备,其吞吐量太小很难满足大规模、高速率网络传输的需要。三层交换机实际上是使用了集成电路的路由器,但比传统路由器提供了更高的速率和更低的成本,也比传统路由器更便于管理。正因为三层交换机集成了路由器的功能,所以也被称作路由交换机。
(1)原理
三层交换机是根据OSI模型网络层(第三层)的IP地址完成端到端的数据传输。主要应用于不同VLAN子网的路由。当某一信息源的第一个数据流进行三层交换后,交换机会产生一个MAC地址与IP地址的映射表。当同一信息源的后续数据流再次进入交换机,交换机根据第一个数据流进来时生成的映射表直接从第二层由源地址传输到目的地址,不在经过路由系统处理。这样提高了数据包转发的效率,解决了VLAN子网间传输信息传统路由器产生的瓶颈。
(2)三层交换技术特点
- 根据三层协议进行计算,支持RIP(路由选择信息协议)、OSPF(开放最短路径优先)等路由协议。
- 支持IGMP(组管理协议)、DVMRP(距离矢量组播路由选择协议)等各种常用IP组播协议,当交换式路由器收到组播报文后,首先将报文转发到包含组播组成员的VLAN上,继而再把报文转发到组播组成员的端口上。
- 支持服务质量(QoS),将报文赋予特定的优先级,不同优先级的报文送到不同队列按先后转发。
- 支持标准的SNMP协议和传统的命令行接口(CLI)。
- 对VLAN的多种划分策略,尤其是他不仅支持传统基于端口的VLAN划分,还支持基于IP地址、子网号和协议类型的VLAN划分,便于实现园区网络的统一管理。
2、四层交换技术
四层交换技术是基于OSI的第四层(传输层)数据包的交换过程的,是一类基于TCP/IP协议应用层的应用交换需求的新型局域网交换机。可以根据TCP/UDP端口号区分数据包的应用类型,从而实现应用层的访问控制。通过查看第三层数据包头源地址和目的地址,采取相应的带宽分配、故障诊断和对TCP/IP应用程序数据流进行访问控制等功能。通过任务分配和负载均衡优化网络。下图,四层交换机将不同的访问请求直接转发到提供相应服务的端口,从而实现对网络服务的高速访问。
四层交换技术特点
- 数据包过滤。采用第四层信息端口号定义访问控制列表过滤规则。
- 服务质量。借助TCP/UDP第四层端口号信息区分优先级,设置优先级队列,保证重要流量得到最快处理。
- 负载均衡。按照IP地址和TCP端口进行虚拟连接交换,直接将数据包发送至目的计算机的相应端口中,从而实现完美服务器的负载均衡。
- 主机备用连接。由于四层交换机共享相同的MAC地址,备份交换机接收和主交换机全部一样的数据。这使得备份交换机能够监视主交换机服务的通信内容。当主交换机失败时,备用交换机自动接管不会中断对话或连接。
- 统计与报告。四层交换机能够提供更详细的统计记录,当服务器支持多个服务时可以统计服务器上每一个应用的负载情况。
2.2.5路由冗余技术
中心交换机是整个网络的核心,如果发生致命性的故障,将导致本地网络的瘫痪,所造成的损失是难以估计的。对三层交换机采用热备份是提高网络可靠性的必然选择。利用HSRP、VRRP、GLBP协议保证核心设备的负载分担和热备份。
1、热备份路由器协议(HSRP)
负责转发数据包的路由称之为主动路由器。一旦主动路由器出现故障,HSRP将激活备份路由器,HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并制定一个虚拟IP地址作为网络系统的默认网关地址。如果主动路由器出现故障,备份路由器承接主动路由器的所有任务,并不会导致主机连通中断。
HSRP运行在UDP上,采用1985端口号。路由器使用它们的实际IP地址转发协议数据包,而并非虚拟IP,因此HSRP路由器间能相互识别。
2、虚拟路由冗余协议(VRRP)
在网络中,一般给终端设备指定一个或多个默认网关。如果作为默认网关的三层设备损坏,所有使用该网关主机的通信必然要中断。即便配置了多个默认网关,如不重启终端设备也无法切换到新的网关。使用虚拟路由冗余协议可以很好的避免静态指定网关的缺陷。
一组VRRP路由器协同工作,共同构建一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。同一组路由器有一个主控路由器和多个备份路由器组成。VRRP协议使用选择策略选出一台作为主控路由器,负责ARP响应和转发IP数据包,组中的其他设备作为备份路由器随时待命,当主控路由器发生故障,备份路由器能在几秒钟的时延后升级为主控路由器,而不用修改IP地址。
3、网关负载均衡协议(GLBP)
网关负载均衡协议不仅提供冗余网关,还在各网关之间提供负载均衡,而HRSP、VRRP都必须选定一个活动路由器,而备用路由器则处于闲置状态。GLBP可以绑定多个MAC地址到虚拟IP,从而允许客户端选择不同的路由器作为默认网关,而网关仍使用相同的虚拟IP,从而实现一定的冗余。
每个GLBP组最多有4个虚拟MAC地址,AVG(活动虚拟网关)按顺序分配给非AVG路由器分配虚拟MAC地址。如果AVG失效,则按优先级推举一个非AVG来代替它分配MAC地址。最多可以配置1024个GLBP组,不同的用户组可以配置成使用不同的组AVG作为其网关。