第三层交换和交换式路由器
1引言
公司全球化趋势以及Internet产品和商业工具的不断更新,大大推动了网络计算技术的发
展。网络的增长不仅仅表现为网络用户数量的增长,还表现为在整个网络的主干链路上平均每
个用户的数据流量以指数规律上升的趋势,以及新的网络应用对网络带宽之外的新需求。为了
在竞争中保持优势,所有的企业都渴求高质量、有价值的信息,但是网络本身由于带宽的限制
已越来越不堪重负。传统的路由设备在一定程度上已不能满足现有网络的需求,普通基于软件
的路由器虽然功能很丰富,但性能不适合于下一代网络应用;另一方面,基于硬件的第二层交
换机性能很高,但缺乏路由器所提供的控制功能。
过去,人们必须在网络设备的功能和性能之间作出选择,如今他们二者可以兼得,第三层
交换技术和交换不路由技术解决了上述问题。第三层交换技术是相对于传统交换概念而提出的,
传统的交换是在OSI网络标准模型中的第二层——数据链路层进行的,而第三层交换技术是在
网络模型的第三层实现数据包的高速转发的。简单地说,第三层交换技术就是第二层交换技术
+第三层转发技术。第三层交换技术的出现,解决了局域网网段划分之后,网段中子网间必须
依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。当然,第
三层交换技术并不是网络交换机与路由器的简单叠加,而是二者的有机结合,形成一个集成的、
完整的解决方案。与路由器相比,第三层交换机虽然解决了IP/IPX路由的性能和价格的问题,
但在应用流的识别和控制方自做得不理想,它既不能完成全部的路由功能,也无法在应用层提
供对数据流的控制,而交换或路由器则解决了这一问题。
2交换技术与路由技术
交换技术是OSI七层模型中的第二层功能,即数据链路层功能,因此交换机对数据包的
转发是建立在MAC(Media Access Control)地址——物理地址基础之上的,对于IP网络协议
来说,它是透明的,即交换机在转发数据包时,不知道也无须知道信源机和信宿机的IP地址,
只须知道其物理地址即MAC地址。交换机在操作过程中会不断地收集资料以便建立它本身的地
址表,这个表相当简单,它指出某个MAC地址是在哪个端日上,当交换机收到一个TCP/IP包时,
他便查一下该数据包的目的MAC地址,核对一下自己的地址表以确认该从哪个端日发送数据包,
由于这个过程比较简单,加上个大这种功能由ASIC(Application SpecifcIntegrated
Clrcuit)
硬件完成,因此,速度高,约需几十微秒,交换机便可决定一个IP包该往哪里送。一般来说,
第二层交换功能有限,故可提供价格便宜、高带宽的网络连接,但它无法对主干数据流提供必
要的控制能力。
相比之下,路由器位于OSI七层网络模型中的第三层(网络层),一旦收到一个数据包(包
括广播包在内),都要将该数据包第二层(数据链路层)的信息去掉,查看第三层信息(IP地
址)。然后,根据路由表确定数据包的路由,再检查安全访问表;若通过,则再进行第二层信
息的封装,最后将该数据包转发。如果在路由表中查不到相应的MAC网络地址,则路由器将向源
站点返回一个信息,并删除这个数据包。与交换机相比,路由器显然能够提供构成企业网安全
控制策略的一系列接入控制机制。由于路由器对任何数据包都要有一个处理过程,即使是同一
源地址向同一目的地址发出的所有数据包,也要重复相同的过程。这导致路由器的吞吐量下降,
也是路由器成为网络瓶颈的原因之一。提高路由器的硬件性能(采用高速、大容量内存)并不
足以改善它的性能。因为路由器除了硬件支撑外,其“复杂的处理与强大的功能”主要是通过
软件实现的,这必然导致网络瓶颈。将交换机和路由器结合起来,从功能上讲是可行的。然而,
尚有不足之处。从网络用户的角度看,整个网络被分为两种等级的性能:直接经过交换机处理
的数据包享受着高速公路快速、稳定的传递性能;但是那些必须经过路由器的数据包只能使用
慢速通路,在业务量大的情况下,便会产生延迟。另外,交换机和路由器是不同的设备,须分
别购买、设置和理,其花费必然要高于集成化的单一解决方案。
在第三层,数据流通过源和日的网络地址被识别,控制数据流的能力仅限于源和目的地址。
如果一台客户机正在同时使用同一服务器上的多个应用程序,则第三层信息就不会对每一应用
程序流作出详细描述,这样就无法识别不同的数据流,更无法为每个数据流逐一实施不同的控
制规则了。传统路由器具有阅读第四层报头信息的能力。实际上,传统路由器中的大部分高级
控制特性都是在第四层上实现的。
3第三层交换机和交换式路由器
第三层交换机能看懂三层信息,如IP地址、ARP等。因此,三层交换机便能洞悉某广播包
目的地何在,而在没有把他传播出上的情形下,满足了发出该厂插包的人的需要,(不管他们
在任何子网里)。例如,用户在第二层交换机上划分子网(VLAN),其子网之间的通信有赖于
路由器的沟通,这就是传统网络的做法。而第二层交换机可以避免上述情况的发生,第二层交
换机本身在可以进行一层转发的同时,还可以做到第三层——-VLAN之间数据包的转发。有些
第三层交换机具有辨别第四层协议端口的能力,有人就将其称为第四层交换机。从根本上来说,
第四层交换实际上就是种第三层交换,只不过增加了一些增值的软件。第四层交换实际上不在
传输层上工作,它还是个第三层上进行交换操作,只不过是对第三层交换更加敏感而已。
交换式路由器采用先进的ASIC技术,可以用硬件直接处理第四层的数据流。交换式路由器
允许对应用层流量设定服务质量策略,从而使网络管理人员能够对主干网的带宽使用进行控制。
在第二、三层交换中,服务质量策略仅可应用在基于信源或目标地址的网络流量。对第四层应
用程序流量使用服务质量策略意味着对个别主权的应用程序对话也可以设定优先组。另外,交
换式路由器消除了与安全特性有关的性能损失。当包括安全性在内的所有高级特性被激活时,
真正的交换式路由器应能提供线速性能。在交换式路由器中,数据包是在专用ASIC芯片中处理
的,由于捕捉到了源和目的端口信息,应用层安全和线速性能是可以同时实现的。
但是,需要注意的是,尽管交换或路由器通过硬件措施大幅度提高了性能和功能,路由处
理仍然由软件完成。
|