VLSM(可变长子网掩码)
在CIDR以前,每个主类网络号只可以分配给一个组织使用,这个组织可以利用子网化技术使得一个主类网络划分为多个子网,但是所有子网必须是一致的掩码,也就是说只能分一次子网,即FLSM。
VLSM是FLAM的增强版,是“子网的子网化”,使得同一网络号可以有不同的子网掩码,而这也就决定了VLSM只能在无类网络环境中使用,当然这不是迫于无奈的选择,而是技术进步的必然。
但是VLSM只是提高了分配地址块的使用效率,却没能解决地址分配的低效,很多组织呗分配到了多个C类地址,而不是一个单独的B类地址。
CIDR(无类别域间路由)
CIDR应运而生,CIDR是以“位”为单位决定IP地址的网路位和主机位,不再受原来的八位组限制,那么从后向前归位,CIDR能够聚合汇总路由信息,从而缩小路由表大小,减小开销,这对BGP来讲是很Help的。
从前向后的借位,CIDR使得子网不再只有本地意义,分配更为灵活,比如,131.108.0.0/16可以分成131.108.0.0/18 ~ 131.108.192.0/18四块地址,独立的分配给四个组织,而不是传统的一个组织一个主类地址再子网化了。
路由表查找顺序
1.从IP数据包中提取目的IP地址。
2.先用直连网段去挨个匹配,即用每个直连路由条目的子网掩码和目的网络进行And运算,再与该条目的网络前缀进行匹配。
3.如果没有直连匹配的项,查看是否有目的地址的主机路由存在。
4.如果没有主机路由,则匹配路由表中的其他条目,逐条进行匹配。
5.如果依然没有匹配的项,就看是否有默认路由,有的话通过默认路由发出去,如果连默认路由都没有,丢弃该数据包,返回ICMP信息指明该目的网络不可达。
命令 ip classless 对路由表查找有影响,如果关闭了(默认是开启的),那么就不会用精确掩码去和目的地址去匹配(比如我写10.1.1.0 255.255.255.0),而是用这个该网络的主网络位去匹配,即255.0.0.0,这样只要有别的子网在,就不会通过默认路由转发数据。
另外一个命令 ip subnet-zero 在路由器中是默认启用的,以支持全0的子网,比如172.16.0.0/24,如果关闭的话,在给接口配置地址的时候像 ip address 172.16.0.1 255.255.255.0 这样就是非法的了。
超网 vs 聚合
关于“聚合”和“超网”,大家都说这两个是一个概念,我觉得还是有些区别的。
“聚合”的概念等同于路由汇总,目的是为了减小路由负载,汇总的网络不必连续,但网络前缀必须在数字上相似,确保用唯一的网络前缀向其它网络广播,且这些网络在地域上足够相近,从而能从同一个ISP连接到Internet,举例来讲,将192.168.64.0/24和192.168.65.0/24汇总成192.168.64.0/23通告出去。
“超网”的概念先于CIDR 15个月提出,概念是将数个相邻的网络地址合并成一个单独的更大的网络,目的在于省去在这些网络间路由的麻烦,规则是这些网络地址数字上必须相邻,且必须连在同一个接口上,如果不是的话,这些网络间的流量就会通过Router来路由,超网也就没有意义了,举例来讲,从192.24.0.0/24到192.31.255.0/24有2^11个C类网络,可以用192.24.0.0/13来表示。
简单来说,超网是将小网络合成大网络,针对网络本身,聚合是对现有网络形成的路由条目进行汇总,针对的是路由表。
PS 3: 还有个小技巧,比如192.168.1.129/27 和 192.168.1.65/27一看就不在同一网段,129-65=64,/27掩码每个子网主机数为2^(32-27) = 32, 64>32,所以肯定不在同一子网。
策略路由
策略路由的优先级高于路由表,即使路由表中没有相对应的路由条目,单纯在策略路由也能转发正常数据包。具体是用route-map来实现,步骤如下:
1)定义好对象 即在写route-map的时候需要match的东东,比较常见的是地址,用ACL来定义,注意标准ACL只能针对源来做策略,而扩展ACL可以针对源,目的网络或者具体的上层应用。
(config)# access-list 1 permit 1.1.1.0 0.0.0.255
(config)# access-list 101 permit tcp 1.1.5.0 0.0.0.255 any eq telnet
PS:在我们做实验验证时,可以通过ip telnet source-interface loop 0 来改变自己telnet时的源地址为Loopbak 0
2)写route-map,下面是一个具体例子,基本的组成元素就是match和set,即针对什么东东以及执行的动作是什么。
(config)# route-map to-r1 // 定义一个route-map,名字要可读性强
(config-route-map)# match ip add 1 // 这里的1就是指的access-list 1
(config-route-map)# match length 0 200 // 针对的源地址以及数据包大小,二者需同时匹配
(config-route-map)# set ip next-hop 23.1.1.3 //定义好要策略的具体动作,这里是改变下一跳
这里最后的一条set命令可以有两种选择:
set ip next-hop 23.1.1.3 (对端IP)
set default interface fa0/0 (本地出口)
不过这两条命令是有区别的,前者直接应用策略路由,而后者先检查路由表,如果没有明细路由对应再用策略路由。
需要注意的是,如果default interface为以太口,由于我们并未告知路由器下一跳的IP地址,路由器也就没有办法通过ARP解析出Mac,会出现封装失败的情况,不过在转发失败之后会进行ARP请求。
这样的命令可能会让我们联想到静态路由,不过区别在于静态路由如果指定以太口为本地出口,比如 ip route 0.0.0.0 0.0.0.0 fa0/0,通过show arp 可以看到这条命令在敲下去以后会添加相应的ARP表项,也就是会发起ARP请求。
3)应用在接口,这里没有in 和out 的概念,因为肯定是该接口收到这个数据包后进行匹配然后按策略路由转发。
(config-if)# ip policy route-map to-r1
在CIDR以前,每个主类网络号只可以分配给一个组织使用,这个组织可以利用子网化技术使得一个主类网络划分为多个子网,但是所有子网必须是一致的掩码,也就是说只能分一次子网,即FLSM。
VLSM是FLAM的增强版,是“子网的子网化”,使得同一网络号可以有不同的子网掩码,而这也就决定了VLSM只能在无类网络环境中使用,当然这不是迫于无奈的选择,而是技术进步的必然。
但是VLSM只是提高了分配地址块的使用效率,却没能解决地址分配的低效,很多组织呗分配到了多个C类地址,而不是一个单独的B类地址。
CIDR(无类别域间路由)
CIDR应运而生,CIDR是以“位”为单位决定IP地址的网路位和主机位,不再受原来的八位组限制,那么从后向前归位,CIDR能够聚合汇总路由信息,从而缩小路由表大小,减小开销,这对BGP来讲是很Help的。
从前向后的借位,CIDR使得子网不再只有本地意义,分配更为灵活,比如,131.108.0.0/16可以分成131.108.0.0/18 ~ 131.108.192.0/18四块地址,独立的分配给四个组织,而不是传统的一个组织一个主类地址再子网化了。
路由表查找顺序
1.从IP数据包中提取目的IP地址。
2.先用直连网段去挨个匹配,即用每个直连路由条目的子网掩码和目的网络进行And运算,再与该条目的网络前缀进行匹配。
3.如果没有直连匹配的项,查看是否有目的地址的主机路由存在。
4.如果没有主机路由,则匹配路由表中的其他条目,逐条进行匹配。
5.如果依然没有匹配的项,就看是否有默认路由,有的话通过默认路由发出去,如果连默认路由都没有,丢弃该数据包,返回ICMP信息指明该目的网络不可达。
命令 ip classless 对路由表查找有影响,如果关闭了(默认是开启的),那么就不会用精确掩码去和目的地址去匹配(比如我写10.1.1.0 255.255.255.0),而是用这个该网络的主网络位去匹配,即255.0.0.0,这样只要有别的子网在,就不会通过默认路由转发数据。
另外一个命令 ip subnet-zero 在路由器中是默认启用的,以支持全0的子网,比如172.16.0.0/24,如果关闭的话,在给接口配置地址的时候像 ip address 172.16.0.1 255.255.255.0 这样就是非法的了。
超网 vs 聚合
关于“聚合”和“超网”,大家都说这两个是一个概念,我觉得还是有些区别的。
“聚合”的概念等同于路由汇总,目的是为了减小路由负载,汇总的网络不必连续,但网络前缀必须在数字上相似,确保用唯一的网络前缀向其它网络广播,且这些网络在地域上足够相近,从而能从同一个ISP连接到Internet,举例来讲,将192.168.64.0/24和192.168.65.0/24汇总成192.168.64.0/23通告出去。
“超网”的概念先于CIDR 15个月提出,概念是将数个相邻的网络地址合并成一个单独的更大的网络,目的在于省去在这些网络间路由的麻烦,规则是这些网络地址数字上必须相邻,且必须连在同一个接口上,如果不是的话,这些网络间的流量就会通过Router来路由,超网也就没有意义了,举例来讲,从192.24.0.0/24到192.31.255.0/24有2^11个C类网络,可以用192.24.0.0/13来表示。
简单来说,超网是将小网络合成大网络,针对网络本身,聚合是对现有网络形成的路由条目进行汇总,针对的是路由表。
PS 3: 还有个小技巧,比如192.168.1.129/27 和 192.168.1.65/27一看就不在同一网段,129-65=64,/27掩码每个子网主机数为2^(32-27) = 32, 64>32,所以肯定不在同一子网。
策略路由
策略路由的优先级高于路由表,即使路由表中没有相对应的路由条目,单纯在策略路由也能转发正常数据包。具体是用route-map来实现,步骤如下:
1)定义好对象 即在写route-map的时候需要match的东东,比较常见的是地址,用ACL来定义,注意标准ACL只能针对源来做策略,而扩展ACL可以针对源,目的网络或者具体的上层应用。
(config)# access-list 1 permit 1.1.1.0 0.0.0.255
(config)# access-list 101 permit tcp 1.1.5.0 0.0.0.255 any eq telnet
PS:在我们做实验验证时,可以通过ip telnet source-interface loop 0 来改变自己telnet时的源地址为Loopbak 0
2)写route-map,下面是一个具体例子,基本的组成元素就是match和set,即针对什么东东以及执行的动作是什么。
(config)# route-map to-r1 // 定义一个route-map,名字要可读性强
(config-route-map)# match ip add 1 // 这里的1就是指的access-list 1
(config-route-map)# match length 0 200 // 针对的源地址以及数据包大小,二者需同时匹配
(config-route-map)# set ip next-hop 23.1.1.3 //定义好要策略的具体动作,这里是改变下一跳
这里最后的一条set命令可以有两种选择:
set ip next-hop 23.1.1.3 (对端IP)
set default interface fa0/0 (本地出口)
不过这两条命令是有区别的,前者直接应用策略路由,而后者先检查路由表,如果没有明细路由对应再用策略路由。
需要注意的是,如果default interface为以太口,由于我们并未告知路由器下一跳的IP地址,路由器也就没有办法通过ARP解析出Mac,会出现封装失败的情况,不过在转发失败之后会进行ARP请求。
这样的命令可能会让我们联想到静态路由,不过区别在于静态路由如果指定以太口为本地出口,比如 ip route 0.0.0.0 0.0.0.0 fa0/0,通过show arp 可以看到这条命令在敲下去以后会添加相应的ARP表项,也就是会发起ARP请求。
3)应用在接口,这里没有in 和out 的概念,因为肯定是该接口收到这个数据包后进行匹配然后按策略路由转发。
(config-if)# ip policy route-map to-r1
有句俗语说的好:“如果不能路由,就进行桥接”。桥接可以互联LAN,在第2层上形成一个单一的大型逻辑网络。桥接还可以将一个拥挤的以太网段分割成两部分,原来网段上的流量被分割成两个较小的流量,因此减少了发生冲撞的机会。什么时候选择桥接而不是路由呢?为了回答这个问题,首先需要了解目前网络中运行的是哪些协议以及这些协议是否是可路由的。可路由的协议可以被路由或桥接。而不可路由的协议只能被桥接。IP、IPX、Apple Talk、DECnet、Banyan VINES和ISO CLNS都是可路由的协议,而LAT、MOP、NetBIOS和SNA是不可路由的。路由器主要作用于O S I参考模型的网络层上,并使用逻辑网络地址来进行路由选择。这些网络地址也可以将网络分割成更小的第三层逻辑单元,由此来限制本地广播。而桥接作用于数据链路层,使用M A C地址作出转发决定。桥接的网络位于一个单独的逻辑网络地址空间之内。因此,桥接有助于保存网络层地址。因为只有一个逻辑网络存在,网桥必须将本地广播转发到除源网段外的所有连接的网段。
本章其余部分将主要介绍透明桥接。透明桥接通常用于将两个或更多的Ethernet II或IEEE802.3网络连接或扩展到一个单一的逻辑LAN。
1.2 透明桥接概述
透明桥接主要用于以太网环境中。透明网桥不更改数据帧的内容,也不作为数据帧的源或目的地,它使得由它连接起来的各个网段看起来像是在一条电缆上。在桥接的LAN中,在各个终端站点之间传送的帧中,源和目的地址字段携带了源和目的终端的M A C地址信息。至于网桥的M A C地址或其他的标识信息,并不会被放置在数据帧中在各个终端站点之间传送。
操作模式
学习
转发
过滤
阻塞
1. 学习模式
动态入口及其相关的端口保存在一个桥接表(也称为过滤数据库)中。从表的入口被创建或最后一次更新之后,如果经过了一个指定的时间,这些入口将自动被删除。这个寿命定时器使得终端站点从桥接LAN的一部分移到另一部分时,它依然可以接收到帧。IEEE 802.1D委员会推荐的缺省寿命值为300s,并且范围从10~1000000s。
2. 转发模式
当网桥接收到帧时,它搜索自己的桥接表,确定帧的目的地址是否和网桥的任一端口相关联(除了接收该帧的端口)。如果表中包含了这样一个入口,那么网桥将按照数据库中指定的端口将帧转发出去。但是,如果在表中没有找到源地址和目的地址,那么网桥将该源地址和它相关的端口写入到表中。然后向所有的端口转发该帧,除了接收它的端口之外,这个过程叫做散发。如果从目的地得到一个响应,那么网桥将响应的源地址(也就是最初的目的地址)和它相关的端口加入到桥接表中。这样,网桥就可以将后续的帧从指定的端口转发出去。注意如果接收端口和发送端口都处于转发状态,那么网桥只能将帧转发到其他的桥接端口。
3. 过滤模式
如果帧的源地址和目的地址在桥接表中与同一个端口相关联(即两个终端站点位于同一个网段上),那么网桥将不会转发该帧。这种情况叫做过滤,网桥将忽略这样的帧,以节省带宽。但是,如果源和目的站点位于同一个网段,而网桥并不知道该目的地址,那么网桥将散发以学习该地址。当目的站点响应时,网桥即可以将响应的源地址和它相关的端口加入到桥接表中。从此以后,网桥可以过滤这两个站点之间的帧。
4. 环路避免
当两个桥接网络之间存在多条路径时,将会形成一个桥接环。桥接环就像一把双刃剑。它能够提供冗余性,但是如果桥接网络中任意两个站点之间都存在多条路径,那么透明桥接将失败。因此,一个使用生成树算法的网桥到网桥协议可以保持环路的优点,同时又解决了它的问题。
5. 生成树算法
生成树算法( S TA)是由数字设备公司( D E C)开发的,后来成为了IEEE 802.1D的基础。注意D E C的算法与IEEE 802.1D算法并不是兼容的。本章将使用IEEE 802.1D算法作为标准的桥接协议。
本章其余部分将主要介绍透明桥接。透明桥接通常用于将两个或更多的Ethernet II或IEEE802.3网络连接或扩展到一个单一的逻辑LAN。
1.2 透明桥接概述
透明桥接主要用于以太网环境中。透明网桥不更改数据帧的内容,也不作为数据帧的源或目的地,它使得由它连接起来的各个网段看起来像是在一条电缆上。在桥接的LAN中,在各个终端站点之间传送的帧中,源和目的地址字段携带了源和目的终端的M A C地址信息。至于网桥的M A C地址或其他的标识信息,并不会被放置在数据帧中在各个终端站点之间传送。
操作模式
学习
转发
过滤
阻塞
1. 学习模式
动态入口及其相关的端口保存在一个桥接表(也称为过滤数据库)中。从表的入口被创建或最后一次更新之后,如果经过了一个指定的时间,这些入口将自动被删除。这个寿命定时器使得终端站点从桥接LAN的一部分移到另一部分时,它依然可以接收到帧。IEEE 802.1D委员会推荐的缺省寿命值为300s,并且范围从10~1000000s。
2. 转发模式
当网桥接收到帧时,它搜索自己的桥接表,确定帧的目的地址是否和网桥的任一端口相关联(除了接收该帧的端口)。如果表中包含了这样一个入口,那么网桥将按照数据库中指定的端口将帧转发出去。但是,如果在表中没有找到源地址和目的地址,那么网桥将该源地址和它相关的端口写入到表中。然后向所有的端口转发该帧,除了接收它的端口之外,这个过程叫做散发。如果从目的地得到一个响应,那么网桥将响应的源地址(也就是最初的目的地址)和它相关的端口加入到桥接表中。这样,网桥就可以将后续的帧从指定的端口转发出去。注意如果接收端口和发送端口都处于转发状态,那么网桥只能将帧转发到其他的桥接端口。
3. 过滤模式
如果帧的源地址和目的地址在桥接表中与同一个端口相关联(即两个终端站点位于同一个网段上),那么网桥将不会转发该帧。这种情况叫做过滤,网桥将忽略这样的帧,以节省带宽。但是,如果源和目的站点位于同一个网段,而网桥并不知道该目的地址,那么网桥将散发以学习该地址。当目的站点响应时,网桥即可以将响应的源地址和它相关的端口加入到桥接表中。从此以后,网桥可以过滤这两个站点之间的帧。
4. 环路避免
当两个桥接网络之间存在多条路径时,将会形成一个桥接环。桥接环就像一把双刃剑。它能够提供冗余性,但是如果桥接网络中任意两个站点之间都存在多条路径,那么透明桥接将失败。因此,一个使用生成树算法的网桥到网桥协议可以保持环路的优点,同时又解决了它的问题。
5. 生成树算法
生成树算法( S TA)是由数字设备公司( D E C)开发的,后来成为了IEEE 802.1D的基础。注意D E C的算法与IEEE 802.1D算法并不是兼容的。本章将使用IEEE 802.1D算法作为标准的桥接协议。
网络系统传输负载测试
[ 2008/09/25 13:25 | by selboo ]
随着企业各种信息系统相继投入使用,生产、管理信息逐步增加,企业网络规模迅速扩大,信息城域网承受着空前的压力,网络带宽严重不足,网络系统传输丢包、设备死机情况频频发生。我们需要对网络状况做全面的分析。 公司大楼内计算机网络主干采用A T M 网络技术,骨干带宽155 Mb/s。整个信息网络系统主要分为3个层次,即核心交换层、远程子网层和用户接入层。
一、网络流量测试
(1) 测试目的:通过网络流量测试,获得网络的使用情况(利用率、碰撞、错误帧及广播四大参数) ,对网络物理层及数据链路层的健康状况进行评估。
(2) 测试工具: FL KE OptiView、EtherPeek NX、“北塔_BTNM”网管软件、mrtg 。
(3) 测试内容:对骨干链路长期记录流量取平均值与正常工作时间检测实时流量进行对比测试。使用m r t g 对核心交换机进行1 个月的流量统计
二、网络负载压力测试
(1)测试目的:网络的实际传输速率同网络设备的性能、链路的质量、终端设备的数量、网络应用系统等因素有很大关系。通过网络压力测试,可以在一定程度上评估网络设备之间的实际传输速率以及交换机、路由器等设备的转发能力。通过专用网络测试设备模拟网络流量,人为增加网络负载,与此同时对网络的各种流量参数进行统计、分析,计算网络负载性能的分析数据。同时与流量分析的结果比较,可以比较出目前网络的总体状况。
(2)测试工具:FLUKE OptiView、ping、EtherPeek NX。
(3) 测试内容:避开工作时间,在网络中心和另外一个骨干节点间的网络链路进行压力测试。测试时当前网络流量为10 Mb/s左右,测试协议为IP,包大小选择为768 byte。
1,在此链路增加负载35 Mb/s压力,使用p i n g 工具检测发现开始丢包;
2, 对此链路增加50 Mb/s压力测试,ping检测链路不通;
3, 在链路上增加30 Mb/s广播包压力测试,模仿“蠕虫”等病毒发作时对网络的冲击,此时检测到链路中断。
三、网络协议分析
(1) 测试目的:了解目前网络中应用的协议的种类及每种协议所占的比例,可以清楚地反映出网络上在传输的应用系统以及所占的百分比。
(2)测试工具:FLUKE OptiView、EtherPeekNX 。
(3)测试内容:抓取网络正常时的IP 、TCP 、UDP 协议分布图。
1,网络骨干链路测试;
2,互联网出口测试。
四、应用系统测试
(1)测试目的:模拟单个用户在理想状态下与服务器通信,通过抓取分析客户端数据流入流出的情况,得出一个用户正常使用某一系统时的网络带宽要求,从而计算出公司各种信息应用系统服务器和所有用户正常使用网络服务所需要的总带宽。
(2)测试工具:EtherPeek NX。
五、结论
根据多方面测试的数据,科学分析了在大型企业信息化应用环境下,企业网络中数据流量的构成,各种数据流对网络和通道的影响。综合分析可得出以下结论:网络实际平均利用率与目前设备能承受起的利用率相比只差11个百分点,在网络高峰时期的流量会高出目前设备能承受的流量,即网络使用处于高峰时间段内,会造成网络中断,在病毒爆发等特殊情况下网络会随时中断,测试结论与实际运行情况完全相符。
优化网络性能为局域网络提速
[ 2008/09/21 21:08 | by selboo ]
目前,几乎任何稍微大一点的企业和学校都会建立一个局域网供使用,网络已经无处不在了.作为局域网络的网管人员,对于网络速度是非常在乎的,如何有效的利用带宽,避免不必要的速度损失,从而达到对整个网络的优化,就是一个非常重要的问题.
本文试图讨论关于影响企业网络性能的一些因素,希望能够对读者有所帮助.
一、设计的成败
设计决定了整个网络的速度.一个好的网络整体规划设计不但能够满足性能的要求,而且使用了最少的投入,同时还应该便于支持日后对于网络的扩大处理.网络设计是一个非常大的课题,从交换机和路由器的选择和配置,到综合排线,都有许多的学问.笔者的个人建议是,请一名非常经验非常丰富的设计人员或者雇用网络排线公司是一个企业公司最初建网的最好选择.笔者早期的切身经验是,同样的设备,存在两种不同的连线法,按照理论是二者是等价的,但是无论怎么试,就是连不上网,后来一位高手只是稍微改动了一根线的位置,就连通了.好多时候,经验远比书本上的知识重要.
通常,好的设计满足一下几个要求:
功能性:这个网络必须能够工作.它要使得用户能够满足工作上的需要,必须以合理的速度和可靠性为用户提供"用户到用户"和"用户到应用"的连接.
可扩展性:这个网络应该能够增长.最初的设计应能在不对全局做较大改动的情况下使网络增长.
适应性:这个网络在设计时应该具有长远的目光,考虑到未来技术的发展.并且,不应该包含限制新技术在网络中开展的因素.
易管理性:应该支持网络监控和管理,以保证运行中的持续稳定.
二、服务、服务器与QoS
企业网的稳定与否往往决定于一些关键性的服务器和服务是否稳定运行.通常,在一个现代的企业中,都会使用一些MIS、ERP系统对企业进行管理.在一些大型企业中,甚至实现了完全基于计算机信息系统的管理和运作.所以,为了保证整个企业能够顺利的运作,网管就必须不惜一切代价保证这些信息系统的稳定运行.
一般的企业管理信息系统大都使用B/S(如SAP)和C/S(J2EE和.NET)构架.无论何种构架,一台高档的服务器是不可少的.现代的技术如J2EE等虽然稳定可靠,但服务器的负载是早期的数倍.通过使用双或四Xeon处理器,SCSI接口的硬盘,RAID阵列或者增大内存都能够大大提高服务器的性能.同时,为服务器买一块名牌网卡或者升级至千兆以太网而不是2、30元的“地摊货”也是很好的方法.当然,鉴于Oracle、BEA、IBM等对于Linux最近都增加了支持力度,所有的产品都有移植到Linux平台,而Linux在服务方面的特性确实要好一些,所以用户不妨考虑Linux平台.如果公司的规模非常大,那么使用IBM、HP等大厂的服务器和完整解决方案远胜于一台你认为很好的普通服务器.
QoS是最近交换机和软件厂商等倡导的一项技术,QoS能够保证企业关键性的服务稳定,通过在交换机中保留一定的带宽给关键服务数据包,关键服务的性能能够得到保证.但是,QoS的开启意味着20%以上的普通网络通讯速度流失,所以对于企业网和网上业务密集的网络,开启QoS,否则,关掉它.
三、路由、交换
交换机和路由的配置也是非常重要的网络性能因素.
先说交换机的配置,通常对于最常见的提高性能的方法是设置VLAN.VLAN是把物理上通过同等方式的连接虚拟成为多个不同的子网.VLAN最大的功能就是防止广播风暴.一般来说,如果一个网络的广播包占到所有的通讯包的30%以上,网络性能就显著下降.现在,几乎所有的交换机都提供了VLAN的支持.虽然VLAN设置有一点点的麻烦,但是因为其对于性能的显著提高,建议网管能够配置VLAN.把互访频率比较高的电脑设置在同一个VLAN中,把无关性大的电脑隔开,性能的提高将是明显的.另外,打开网卡和交换机的全双工支持,也能带来性能的提高.同时,不同的交换机网络(Cisco和3COM等),都有自己的交换机专利技术能够提高速度.
路由器的功能是连接两个不同的网络,对于中小企业通常是连接在最上层交换机上作为Internet和局域网的网桥,路由器是一个异常复杂与高级的机器.当然,路由器非常贵,如果中小企业对于Internet性能要求不高,可以简单的通过安装建立一台Windows Internet Access Server作为连接Internet服务器,或者依靠便宜好用的Linux机器作为软路由,更或者在一台连接Internet和局域网的电脑上安装一个代理服务器软件(Microsoft Proxy Server/Unix Squid).但是,路由器功能是非常强大的,而且具有非常好的速度.所以,在可以的情况下,一个企业应该尽量选择购买路由器,并且购买速度足够满足企业要求的路由器.路由协议一般就是连接ISP的PPP,配置上没有太多的可改进之处,一部分路由器支持ACL访问控制,通过合理的配置能够屏蔽一部分的流量,增加了网络带宽.
四、瓶颈、流量
网管必须经常嗅探网上包的情况,了解究竟什么东西在网上传输.如果企业中有员工在使用例如网上视频点播或者BitTorrent等P2P软件的时候,对于网络带宽,尤其是局域网出口带宽,会带来巨大的影响.笔者所在的学校,这一年来上网人数没有增加太多,但是访问公网的速度大大变慢了,就是因为这一类点对点的连结大大增多了.如果企业业务非常在乎与Internet的信息交换,那么网管就必须提醒用户或者干脆在防火墙上屏蔽掉BitTorrent 之类的软件保证正常的企业信息通道畅通.
通过向Internet服务提供商购买更多的带宽线路,或者提供高一级的高速交换机,可以解决大部分的瓶颈问题.但是,笔者认为,关键是要利用现有的带宽.比如对于视频点播,如果使用基于Cisco交换技术的IPTV的软件,就能够很好的解决内部的视频网络瓶颈.
五、安全再安全
外界的网络对于内部的DoS攻击,端口扫描对于企业网络的影响非常大.所以,安装一个防火墙或者购买一个硬件防火墙,总是能够解决许多的网络问题.尤其是现在的黑客工具繁多,而且很好用,还有杂志宣传如何使用,所以网络所受到的潜在危险是巨大的(悲哀啊).而且,网管必须对局域网中的电脑进行扫描,看看是不是被黑客开了后门,时常看看Log日志,对于异常要警觉.当然,最重要的是必须时刻关注最新的软件升级信息,订阅安全邮件列表.
其次,内贼难防.所以对于交换机和路由机的密码,必须高度保密,对于网络的拓扑结构,也要尽量保密.关掉路由和交换机的http管理服务.对于重要的数据服务单元,如SQL Server、MySQL服务器,可以把它同局域网断开,仅和需要的主机连接成一个单独的子网,或者,安装防火墙软件,只允许固定的IP地址访问.
总之,对于突然的网络流量剧变,必须引起安全性方面的高度注意.
802.1x
该协议能够对于连接入网络的电脑进行身份认证,避免有人偷连网络,大部分交换机支持该协议,建议推广使用.
六、细节
连线:连接局域网中的每台计算机都是用双绞线来实现的,但是并不是用双绞线把两台计算机简单地相互连接起来,就能实现通信目的,我们必须按照一定的连线规则来进行连线.双绞线的连接距离不能超过100米,我们如果需要连接超过100米的两台计算机时,必须使用转换设备.在连接转换设备和交换机时,我们还必须进行跳线.这是因为以太网中,一般是使用两对双绞线,排列在1、2、3、6的位置,如果使用的不是两对线,而是将原配对使用的线分开使用,就会形成串扰,对网络性能有较大影响.10M网络环境这种情况不明显,100M的网络环境下如果流量大或者距离长,网络就会无法联通.当然,不要使用劣质的水晶头和线.
严格执行接地要求:由于在局域网中传输的都是一些弱信号,如果操作稍有不当或者没有按照网络设备的具体操作要求来办的话,就可能在联网中出现干扰信息,严重的能导致整个网络不通.特别是一些网络转接设备,由于涉及到远程线路,它对接地的要求非常严格,否则该网络设备将达不到规定的连接速率,从而在联网的过程中产生各种莫名其妙的故障现象.
爱护设备:把交换机组和服务器放在一个灰尘少的房间中,当然如果有中心机房当然最好.经常去看看,扫扫灰.对于散热风扇,最好能够双个备份.对于网线,至少要能够有个头绪,万一接错也能查出来.这些都能够帮助网络正常运作.
本文试图讨论关于影响企业网络性能的一些因素,希望能够对读者有所帮助.
一、设计的成败
设计决定了整个网络的速度.一个好的网络整体规划设计不但能够满足性能的要求,而且使用了最少的投入,同时还应该便于支持日后对于网络的扩大处理.网络设计是一个非常大的课题,从交换机和路由器的选择和配置,到综合排线,都有许多的学问.笔者的个人建议是,请一名非常经验非常丰富的设计人员或者雇用网络排线公司是一个企业公司最初建网的最好选择.笔者早期的切身经验是,同样的设备,存在两种不同的连线法,按照理论是二者是等价的,但是无论怎么试,就是连不上网,后来一位高手只是稍微改动了一根线的位置,就连通了.好多时候,经验远比书本上的知识重要.
通常,好的设计满足一下几个要求:
功能性:这个网络必须能够工作.它要使得用户能够满足工作上的需要,必须以合理的速度和可靠性为用户提供"用户到用户"和"用户到应用"的连接.
可扩展性:这个网络应该能够增长.最初的设计应能在不对全局做较大改动的情况下使网络增长.
适应性:这个网络在设计时应该具有长远的目光,考虑到未来技术的发展.并且,不应该包含限制新技术在网络中开展的因素.
易管理性:应该支持网络监控和管理,以保证运行中的持续稳定.
二、服务、服务器与QoS
企业网的稳定与否往往决定于一些关键性的服务器和服务是否稳定运行.通常,在一个现代的企业中,都会使用一些MIS、ERP系统对企业进行管理.在一些大型企业中,甚至实现了完全基于计算机信息系统的管理和运作.所以,为了保证整个企业能够顺利的运作,网管就必须不惜一切代价保证这些信息系统的稳定运行.
一般的企业管理信息系统大都使用B/S(如SAP)和C/S(J2EE和.NET)构架.无论何种构架,一台高档的服务器是不可少的.现代的技术如J2EE等虽然稳定可靠,但服务器的负载是早期的数倍.通过使用双或四Xeon处理器,SCSI接口的硬盘,RAID阵列或者增大内存都能够大大提高服务器的性能.同时,为服务器买一块名牌网卡或者升级至千兆以太网而不是2、30元的“地摊货”也是很好的方法.当然,鉴于Oracle、BEA、IBM等对于Linux最近都增加了支持力度,所有的产品都有移植到Linux平台,而Linux在服务方面的特性确实要好一些,所以用户不妨考虑Linux平台.如果公司的规模非常大,那么使用IBM、HP等大厂的服务器和完整解决方案远胜于一台你认为很好的普通服务器.
QoS是最近交换机和软件厂商等倡导的一项技术,QoS能够保证企业关键性的服务稳定,通过在交换机中保留一定的带宽给关键服务数据包,关键服务的性能能够得到保证.但是,QoS的开启意味着20%以上的普通网络通讯速度流失,所以对于企业网和网上业务密集的网络,开启QoS,否则,关掉它.
三、路由、交换
交换机和路由的配置也是非常重要的网络性能因素.
先说交换机的配置,通常对于最常见的提高性能的方法是设置VLAN.VLAN是把物理上通过同等方式的连接虚拟成为多个不同的子网.VLAN最大的功能就是防止广播风暴.一般来说,如果一个网络的广播包占到所有的通讯包的30%以上,网络性能就显著下降.现在,几乎所有的交换机都提供了VLAN的支持.虽然VLAN设置有一点点的麻烦,但是因为其对于性能的显著提高,建议网管能够配置VLAN.把互访频率比较高的电脑设置在同一个VLAN中,把无关性大的电脑隔开,性能的提高将是明显的.另外,打开网卡和交换机的全双工支持,也能带来性能的提高.同时,不同的交换机网络(Cisco和3COM等),都有自己的交换机专利技术能够提高速度.
路由器的功能是连接两个不同的网络,对于中小企业通常是连接在最上层交换机上作为Internet和局域网的网桥,路由器是一个异常复杂与高级的机器.当然,路由器非常贵,如果中小企业对于Internet性能要求不高,可以简单的通过安装建立一台Windows Internet Access Server作为连接Internet服务器,或者依靠便宜好用的Linux机器作为软路由,更或者在一台连接Internet和局域网的电脑上安装一个代理服务器软件(Microsoft Proxy Server/Unix Squid).但是,路由器功能是非常强大的,而且具有非常好的速度.所以,在可以的情况下,一个企业应该尽量选择购买路由器,并且购买速度足够满足企业要求的路由器.路由协议一般就是连接ISP的PPP,配置上没有太多的可改进之处,一部分路由器支持ACL访问控制,通过合理的配置能够屏蔽一部分的流量,增加了网络带宽.
四、瓶颈、流量
网管必须经常嗅探网上包的情况,了解究竟什么东西在网上传输.如果企业中有员工在使用例如网上视频点播或者BitTorrent等P2P软件的时候,对于网络带宽,尤其是局域网出口带宽,会带来巨大的影响.笔者所在的学校,这一年来上网人数没有增加太多,但是访问公网的速度大大变慢了,就是因为这一类点对点的连结大大增多了.如果企业业务非常在乎与Internet的信息交换,那么网管就必须提醒用户或者干脆在防火墙上屏蔽掉BitTorrent 之类的软件保证正常的企业信息通道畅通.
通过向Internet服务提供商购买更多的带宽线路,或者提供高一级的高速交换机,可以解决大部分的瓶颈问题.但是,笔者认为,关键是要利用现有的带宽.比如对于视频点播,如果使用基于Cisco交换技术的IPTV的软件,就能够很好的解决内部的视频网络瓶颈.
五、安全再安全
外界的网络对于内部的DoS攻击,端口扫描对于企业网络的影响非常大.所以,安装一个防火墙或者购买一个硬件防火墙,总是能够解决许多的网络问题.尤其是现在的黑客工具繁多,而且很好用,还有杂志宣传如何使用,所以网络所受到的潜在危险是巨大的(悲哀啊).而且,网管必须对局域网中的电脑进行扫描,看看是不是被黑客开了后门,时常看看Log日志,对于异常要警觉.当然,最重要的是必须时刻关注最新的软件升级信息,订阅安全邮件列表.
其次,内贼难防.所以对于交换机和路由机的密码,必须高度保密,对于网络的拓扑结构,也要尽量保密.关掉路由和交换机的http管理服务.对于重要的数据服务单元,如SQL Server、MySQL服务器,可以把它同局域网断开,仅和需要的主机连接成一个单独的子网,或者,安装防火墙软件,只允许固定的IP地址访问.
总之,对于突然的网络流量剧变,必须引起安全性方面的高度注意.
802.1x
该协议能够对于连接入网络的电脑进行身份认证,避免有人偷连网络,大部分交换机支持该协议,建议推广使用.
六、细节
连线:连接局域网中的每台计算机都是用双绞线来实现的,但是并不是用双绞线把两台计算机简单地相互连接起来,就能实现通信目的,我们必须按照一定的连线规则来进行连线.双绞线的连接距离不能超过100米,我们如果需要连接超过100米的两台计算机时,必须使用转换设备.在连接转换设备和交换机时,我们还必须进行跳线.这是因为以太网中,一般是使用两对双绞线,排列在1、2、3、6的位置,如果使用的不是两对线,而是将原配对使用的线分开使用,就会形成串扰,对网络性能有较大影响.10M网络环境这种情况不明显,100M的网络环境下如果流量大或者距离长,网络就会无法联通.当然,不要使用劣质的水晶头和线.
严格执行接地要求:由于在局域网中传输的都是一些弱信号,如果操作稍有不当或者没有按照网络设备的具体操作要求来办的话,就可能在联网中出现干扰信息,严重的能导致整个网络不通.特别是一些网络转接设备,由于涉及到远程线路,它对接地的要求非常严格,否则该网络设备将达不到规定的连接速率,从而在联网的过程中产生各种莫名其妙的故障现象.
爱护设备:把交换机组和服务器放在一个灰尘少的房间中,当然如果有中心机房当然最好.经常去看看,扫扫灰.对于散热风扇,最好能够双个备份.对于网线,至少要能够有个头绪,万一接错也能查出来.这些都能够帮助网络正常运作.
二层,三层,四层交换机区别
[ 2008/04/03 14:40 | by selboo ]
二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下:
(1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
(2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3) 如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4) 如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
从二层交换机的工作原理可以推知以下三点:
(1) 由于交换机对多数端口的数据进行同时交换,这就要求具有很宽的交换总线带宽,如果二层交换机有N个端口,每个端口的带宽是M,交换机总线带宽超过N×M,那么这交换机就可以实现线速交换;
(2) 学习端口连接的机器的MAC地址,写入地址表,地址表的大小(一般两种表示方式:一为BEFFER RAM,一为MAC表项数值),地址表大小影响交换机的接入容量;
(3) 还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC (Application specific Integrated Circuit)芯片,因此转发速度可以做到非常快。由于各个厂家采用ASIC不同,直接影响产品性能。以上三点也是评判二三层交换机性能优劣的主要技术参数,这一点请大家在考虑设备选型时注意比较。
(二)路由技术
路由器工作在OSI模型的第三层---网络层操作,其工作模式与二层交换相似,但路由器工作在第三层,这个区别决定了路由和交换在传递包时使用不同的控制信息,实现功能的方式就不同。工作原理是在路由器的内部也有一个表,这个表所标示的是如果要去某一个地方,下一步应该向那里走,如果能从路由表中找到数据包下一步往那里走,把链路层信息加上转发出去;如果不能知道下一步走向那里,则将此包丢弃,然后返回一个信息交给源地址。
路由技术实质上来说不过两种功能:决定最优路由和转发数据包。路由表中写入各种信息,由路由算法计算出到达目的地址的最佳路径,然后由相对简单直接的转发机制发送数据包。接受数据的下一台路由器依照相同的工作方式继续转发,依次类推,直到数据包到达目的路由器。
而路由表的维护,也有两种不同的方式。一种是路由信息的更新,将部分或者全部的路由信息公布出去,路由器通过互相学习路由信息,就掌握了全网的拓扑结构,这一类的路由协议称为距离矢量路由协议;另一种是路由器将自己的链路状态信息进行广播,通过互相学习掌握全网的路由信息,进而计算出最佳的转发路径,这类路由协议称为链路状态路由协议。
由于路由器需要做大量的路径计算工作,一般处理器的工作能力直接决定其性能的优劣。当然这一判断还是对中低端路由器而言,因为高端路由器往往采用分布式处理系统体系设计。
(三)三层交换技术
近年来的对三层技术的宣传,耳朵都能起茧子,到处都在喊三层技术,有人说这是个非常的技术,也有人说,三层交换嘛,不就是路由器和二层交换机的堆叠,也没有什么新的玩意,事实果真如此吗?下面先来通过一个简单的网络来看看三层交换机的工作过程。
组网比较简单
使用IP的设备A------------------------三层交换机------------------------使用IP的设备B
比如A要给B发送数据,已知目的IP,那么A就用子网掩码取得网络地址,判断目的IP是否与自己在同一网段。如果在同一网段,但不知道转发数据所需的MAC地址,A就发送一个ARP请求,B返回其MAC地址,A用此MAC封装数据包并发送给交换机,交换机起用二层交换模块,查找MAC地址表,将数据包转发到相应的端口。如果目的IP地址显示不是同一网段的,那么A要实现和B的通讯,在流缓存条目中没有对应MAC地址条目,就将第一个正常数据包发送向一个缺省网关,这个缺省网关一般在操作系统中已经设好,对应第三层路由模块,所以可见对于不是同一子网的数据,最先在MAC表中放的是缺省网关的MAC地址;然后就由三层模块接收到此数据包,查询路由表以确定到达B的路由,将构造一个新的帧头,其中以缺省网关的MAC地址为源MAC地址,以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制,确立主机A与B的MAC地址及转发端口的对应关系,并记录进流缓存条目表,以后的A到B的数据,就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。
以上就是三层交换机工作过程的简单概括,可以看出三层交换的特点:
由硬件结合实现数据的高速转发。
这就不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背板总线上,突破了传统路由器的接口速率限制,速率可达几十Gbit/s。算上背板带宽,这些是三层交换机性能的两个重要参数。简洁的路由软件使路由过程简化。
大部分的数据转发,除了必要的路由选择交由路由软件处理,都是又二层模块高速转发,路由软件大多都是经过处理的高效优化软件,并不是简单照搬路由器中的软件。
结论
二层交换机用于小型的局域网络。这个就不用多言了,在小型局域网中,广播包影响不大,二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。
路由器的优点在于接口类型丰富,支持的三层功能强大,路由能力强大,适合用于大型的网络间的路由,它的优势在于选择最佳路由,负荷分担,链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。如果把大型网络按照部门,地域等等因素划分成一个个小局域网,这将导致大量的网际互访,单纯的使用二层交换机不能实现网际互访;如单纯的使用路由器,由于接口数量有限和路由转发速度慢,将限制网络的速度和网络规模,采用具有路由功能的快速转发的三层交换机就成为首选。
一般来说,在内网数据流量大,要求快速转发响应的网络中,如全部由三层交换机来做这个工作,会造成三层交换机负担过重,响应速度受影响,将网间的路由交由路由器去完成,充分发挥不同设备的优点,不失为一种好的组网策略,当然,前提是客户的腰包很鼓,不然就退而求其次,让三层交换机也兼为网际互连。第四层交换的一个简单定义是:它是一种功能,它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP,指向物理服务器。它传输的业务服从的协议多种多样,有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上,需要复杂的载量平衡算法。在IP世界,业务类型由终端TCP或UDP端口地址来决定,在第四层交换中的应用区间则由源端和终
端IP地址、TCP和UDP端口共同决定。
在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP),每组服务器支持某种应用。在域名服务器(DNS)中存储的每个应用服务器地址是VIP,而不是真实的服务器地址。
当某用户申请应用时,一个带有目标服务器组的VIP连接请求(例如一个TCP SYN包)发给服务器交换机。服务器交换机在组中选取最好的服务器,将终端地址中的VIP用实际服务器的IP取代,并将连接请求传给服务器。这样,同一区间所有的包由服务器交换机进行映射,在用户和同一服务器间进行传输。
第四层交换的原理
OSI模型的第四层是传输层。传输层负责端对端通信,即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(一种传输协议)和UDP(用户数据包协议)所在的协议层。
在第四层中,TCP和UDP标题包含端口号(portnumber),它们可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP等)。端点系统利用这种信息来区分包中的数据,尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层软件。端口号和设备IP地址的组合通常称作“插口(socket)”。
1和255之间的端口号被保留,他们称为“熟知”端口,也就是说,在所有主机TCP/IP协议栈实现中,这些端口号是相同的。除了“熟知”端口外,标准UNIX服务分配在256到1024端口范围,定制的应用一般在1024以上分配端口号.
分配端口号的最近清单可以在RFc1700”Assigned Numbers”上找到。TCP/UDP端口号提供的附加信息可以为网络交换机所利用,这是第4层交换的基础。
"熟知"端口号举例:
应用协议 端口号
FTP 20(数据)
21(控制)
TELNET 23
SMTP 25
HTTP 80
NNTP 119
NNMP 16
162(SNMP traps)
TCP/UDP端口号提供的附加信息可以为网络交换机所利用,这是第四层交换的基础。
具有第四层功能的交换机能够起到与服务器相连接的“虚拟IP”(VIP)前端的作用。每台服务器和支持单一或通用应用的服务器组都配置一个VIP地址。这个VIP地址被发送出去并在域名系统上注册。
在发出一个服务请求时,第四层交换机通过判定TCP开始,来识别一次会话的开始。然后它利用复杂的算法来确定处理这个请求的最佳服务器。一旦做出这种决定,交换机就将会话与一个具体的IP地址联系在一起,并用该服务器真正的IP地址来代替服务器上的VIP地址。
每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP 端口相关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服务器之间重新影射和转发,直到交换机发现会话为止。
在使用第四层交换的情况下,接入可以与真正的服务器连接在一起来满足用户制定的规则,诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。
如何选用合适的第四层交换
a,速度
为了在企业网中行之有效,第四层交换必须提供与第三层线速路由器可比拟的性能。也就是说,第四层交换必须在所有端口以全介质速度操作,即使在多个千兆以太网连接上亦如此。千兆以太网速度等于以每秒1488000 个数据包的最大速度路由(假定最坏的情形,即所有包为以及网定义的最小尺寸,长64字节)。
b,服务器容量平衡算法
依据所希望的容量平衡间隔尺寸,第四层交换机将应用分配给服务器的算法有很多种,有简单的检测环路最近的连接、检测环路时延或检测服务器本身的闭环反馈。在所有的预测中,闭环反馈提供反映服务器现有业务量的最精确的检测。
c,表容量
应注意的是,进行第四层交换的交换机需要有区分和存贮大量发送表项的能力。交换机在一个企业网的核心时尤其如此。许多第二/ 三层交换机倾向发送表的大小与网络设备的数量成正比。对第四层交换机,这个数量必须乘以网络中使用的不同应用协议和会话的数量。因而发送表的大小随端点设备和应用类型数量的增长而迅速增长。第四层交换机设计者在设计其产品时需要考虑表的这种增长。大的表容量对制造支持线速发送第四层流量的
高性能交换机至关重要.
d,冗余
第四层交换机内部有支持冗余拓扑结构的功能。在具有双链路的网卡容错连接时,就可能建立从一个服务器到网卡,链路和服务器交换器的完全冗余系统。
(1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
(2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3) 如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4) 如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
从二层交换机的工作原理可以推知以下三点:
(1) 由于交换机对多数端口的数据进行同时交换,这就要求具有很宽的交换总线带宽,如果二层交换机有N个端口,每个端口的带宽是M,交换机总线带宽超过N×M,那么这交换机就可以实现线速交换;
(2) 学习端口连接的机器的MAC地址,写入地址表,地址表的大小(一般两种表示方式:一为BEFFER RAM,一为MAC表项数值),地址表大小影响交换机的接入容量;
(3) 还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC (Application specific Integrated Circuit)芯片,因此转发速度可以做到非常快。由于各个厂家采用ASIC不同,直接影响产品性能。以上三点也是评判二三层交换机性能优劣的主要技术参数,这一点请大家在考虑设备选型时注意比较。
(二)路由技术
路由器工作在OSI模型的第三层---网络层操作,其工作模式与二层交换相似,但路由器工作在第三层,这个区别决定了路由和交换在传递包时使用不同的控制信息,实现功能的方式就不同。工作原理是在路由器的内部也有一个表,这个表所标示的是如果要去某一个地方,下一步应该向那里走,如果能从路由表中找到数据包下一步往那里走,把链路层信息加上转发出去;如果不能知道下一步走向那里,则将此包丢弃,然后返回一个信息交给源地址。
路由技术实质上来说不过两种功能:决定最优路由和转发数据包。路由表中写入各种信息,由路由算法计算出到达目的地址的最佳路径,然后由相对简单直接的转发机制发送数据包。接受数据的下一台路由器依照相同的工作方式继续转发,依次类推,直到数据包到达目的路由器。
而路由表的维护,也有两种不同的方式。一种是路由信息的更新,将部分或者全部的路由信息公布出去,路由器通过互相学习路由信息,就掌握了全网的拓扑结构,这一类的路由协议称为距离矢量路由协议;另一种是路由器将自己的链路状态信息进行广播,通过互相学习掌握全网的路由信息,进而计算出最佳的转发路径,这类路由协议称为链路状态路由协议。
由于路由器需要做大量的路径计算工作,一般处理器的工作能力直接决定其性能的优劣。当然这一判断还是对中低端路由器而言,因为高端路由器往往采用分布式处理系统体系设计。
(三)三层交换技术
近年来的对三层技术的宣传,耳朵都能起茧子,到处都在喊三层技术,有人说这是个非常的技术,也有人说,三层交换嘛,不就是路由器和二层交换机的堆叠,也没有什么新的玩意,事实果真如此吗?下面先来通过一个简单的网络来看看三层交换机的工作过程。
组网比较简单
使用IP的设备A------------------------三层交换机------------------------使用IP的设备B
比如A要给B发送数据,已知目的IP,那么A就用子网掩码取得网络地址,判断目的IP是否与自己在同一网段。如果在同一网段,但不知道转发数据所需的MAC地址,A就发送一个ARP请求,B返回其MAC地址,A用此MAC封装数据包并发送给交换机,交换机起用二层交换模块,查找MAC地址表,将数据包转发到相应的端口。如果目的IP地址显示不是同一网段的,那么A要实现和B的通讯,在流缓存条目中没有对应MAC地址条目,就将第一个正常数据包发送向一个缺省网关,这个缺省网关一般在操作系统中已经设好,对应第三层路由模块,所以可见对于不是同一子网的数据,最先在MAC表中放的是缺省网关的MAC地址;然后就由三层模块接收到此数据包,查询路由表以确定到达B的路由,将构造一个新的帧头,其中以缺省网关的MAC地址为源MAC地址,以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制,确立主机A与B的MAC地址及转发端口的对应关系,并记录进流缓存条目表,以后的A到B的数据,就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。
以上就是三层交换机工作过程的简单概括,可以看出三层交换的特点:
由硬件结合实现数据的高速转发。
这就不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背板总线上,突破了传统路由器的接口速率限制,速率可达几十Gbit/s。算上背板带宽,这些是三层交换机性能的两个重要参数。简洁的路由软件使路由过程简化。
大部分的数据转发,除了必要的路由选择交由路由软件处理,都是又二层模块高速转发,路由软件大多都是经过处理的高效优化软件,并不是简单照搬路由器中的软件。
结论
二层交换机用于小型的局域网络。这个就不用多言了,在小型局域网中,广播包影响不大,二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。
路由器的优点在于接口类型丰富,支持的三层功能强大,路由能力强大,适合用于大型的网络间的路由,它的优势在于选择最佳路由,负荷分担,链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。如果把大型网络按照部门,地域等等因素划分成一个个小局域网,这将导致大量的网际互访,单纯的使用二层交换机不能实现网际互访;如单纯的使用路由器,由于接口数量有限和路由转发速度慢,将限制网络的速度和网络规模,采用具有路由功能的快速转发的三层交换机就成为首选。
一般来说,在内网数据流量大,要求快速转发响应的网络中,如全部由三层交换机来做这个工作,会造成三层交换机负担过重,响应速度受影响,将网间的路由交由路由器去完成,充分发挥不同设备的优点,不失为一种好的组网策略,当然,前提是客户的腰包很鼓,不然就退而求其次,让三层交换机也兼为网际互连。第四层交换的一个简单定义是:它是一种功能,它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP,指向物理服务器。它传输的业务服从的协议多种多样,有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上,需要复杂的载量平衡算法。在IP世界,业务类型由终端TCP或UDP端口地址来决定,在第四层交换中的应用区间则由源端和终
端IP地址、TCP和UDP端口共同决定。
在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP),每组服务器支持某种应用。在域名服务器(DNS)中存储的每个应用服务器地址是VIP,而不是真实的服务器地址。
当某用户申请应用时,一个带有目标服务器组的VIP连接请求(例如一个TCP SYN包)发给服务器交换机。服务器交换机在组中选取最好的服务器,将终端地址中的VIP用实际服务器的IP取代,并将连接请求传给服务器。这样,同一区间所有的包由服务器交换机进行映射,在用户和同一服务器间进行传输。
第四层交换的原理
OSI模型的第四层是传输层。传输层负责端对端通信,即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(一种传输协议)和UDP(用户数据包协议)所在的协议层。
在第四层中,TCP和UDP标题包含端口号(portnumber),它们可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP等)。端点系统利用这种信息来区分包中的数据,尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层软件。端口号和设备IP地址的组合通常称作“插口(socket)”。
1和255之间的端口号被保留,他们称为“熟知”端口,也就是说,在所有主机TCP/IP协议栈实现中,这些端口号是相同的。除了“熟知”端口外,标准UNIX服务分配在256到1024端口范围,定制的应用一般在1024以上分配端口号.
分配端口号的最近清单可以在RFc1700”Assigned Numbers”上找到。TCP/UDP端口号提供的附加信息可以为网络交换机所利用,这是第4层交换的基础。
"熟知"端口号举例:
应用协议 端口号
FTP 20(数据)
21(控制)
TELNET 23
SMTP 25
HTTP 80
NNTP 119
NNMP 16
162(SNMP traps)
TCP/UDP端口号提供的附加信息可以为网络交换机所利用,这是第四层交换的基础。
具有第四层功能的交换机能够起到与服务器相连接的“虚拟IP”(VIP)前端的作用。每台服务器和支持单一或通用应用的服务器组都配置一个VIP地址。这个VIP地址被发送出去并在域名系统上注册。
在发出一个服务请求时,第四层交换机通过判定TCP开始,来识别一次会话的开始。然后它利用复杂的算法来确定处理这个请求的最佳服务器。一旦做出这种决定,交换机就将会话与一个具体的IP地址联系在一起,并用该服务器真正的IP地址来代替服务器上的VIP地址。
每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP 端口相关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服务器之间重新影射和转发,直到交换机发现会话为止。
在使用第四层交换的情况下,接入可以与真正的服务器连接在一起来满足用户制定的规则,诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。
如何选用合适的第四层交换
a,速度
为了在企业网中行之有效,第四层交换必须提供与第三层线速路由器可比拟的性能。也就是说,第四层交换必须在所有端口以全介质速度操作,即使在多个千兆以太网连接上亦如此。千兆以太网速度等于以每秒1488000 个数据包的最大速度路由(假定最坏的情形,即所有包为以及网定义的最小尺寸,长64字节)。
b,服务器容量平衡算法
依据所希望的容量平衡间隔尺寸,第四层交换机将应用分配给服务器的算法有很多种,有简单的检测环路最近的连接、检测环路时延或检测服务器本身的闭环反馈。在所有的预测中,闭环反馈提供反映服务器现有业务量的最精确的检测。
c,表容量
应注意的是,进行第四层交换的交换机需要有区分和存贮大量发送表项的能力。交换机在一个企业网的核心时尤其如此。许多第二/ 三层交换机倾向发送表的大小与网络设备的数量成正比。对第四层交换机,这个数量必须乘以网络中使用的不同应用协议和会话的数量。因而发送表的大小随端点设备和应用类型数量的增长而迅速增长。第四层交换机设计者在设计其产品时需要考虑表的这种增长。大的表容量对制造支持线速发送第四层流量的
高性能交换机至关重要.
d,冗余
第四层交换机内部有支持冗余拓扑结构的功能。在具有双链路的网卡容错连接时,就可能建立从一个服务器到网卡,链路和服务器交换器的完全冗余系统。
