【文章內(nèi)容簡介】 果故障點(diǎn)發(fā)生在核心交換機(jī)附近，那么整個(gè)網(wǎng)絡(luò)就有可能癱瘓。這在各網(wǎng)絡(luò)拓?fù)鋵咏粨Q機(jī)的性能相差不多的情況下尤為嚴(yán)重。 三層共享有作用 由 VLAN 的性質(zhì)所決定，完全消除 VLAN 間的鏈路和設(shè)備的共享在理論上是不可能的。我們所做的努力只能盡量減少相互影響的范 圍、降低相互影響的程度。如何做到這一點(diǎn)呢 ?在實(shí)踐中我們總結(jié)出如下原則 :應(yīng)盡量避免在同一交換機(jī)中配置多個(gè) VLAN。不同物理位置上的交換機(jī)上的端口盡量不要?jiǎng)潥w到同一個(gè)VLAN。前者較好理解，也容易實(shí)現(xiàn)，我們重點(diǎn)討論后者，即如何做到 VLAN 不跨越核心交換機(jī)和拓?fù)浣Y(jié)構(gòu)的“層”。由于 VLAN1(VLAN2 也是這樣 )的范圍跨越了整個(gè)網(wǎng)絡(luò)，如果把所有 VLAN 的覆蓋面都限定在核心交換機(jī)的同一側(cè)，這些資源被共享的程度不就減輕了嗎 ? 由于在這種結(jié)構(gòu)中不存在跨越核心交換機(jī)的虛網(wǎng)，因此各 VLAN 的廣播包就不會(huì)穿過核心交換機(jī)，但這些 廣播包卻均能到達(dá)核心交換機(jī)，同時(shí)核心交換機(jī)上還會(huì)有 ACL 允許的 VLAN 間的正常數(shù)據(jù)流通過。很顯然，這時(shí)的核心交換機(jī)既阻擋了各 VLAN 的廣播包，又轉(zhuǎn)發(fā)了 VLAN 間的正常數(shù)據(jù)流，其被共享的形式由“廣播式”變成了“路由式”，受 VLAN 影響的程度變小。 有人可能會(huì)說，把核心交換機(jī)從二層提到了三層，性能會(huì)下降。這種說法無疑是正確的，但這點(diǎn)性能的降低對(duì)于當(dāng)今的三層交換機(jī)所能提供的性能來說已經(jīng)局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 7 算不得什么了。盡管受單個(gè) VLAN 影響的程度和范圍均變小，但共享鏈路的長度和強(qiáng)度并沒有本質(zhì)的變化。 三層結(jié)構(gòu)最有效 不 同物理位置上的計(jì)算機(jī)能像在同一物理網(wǎng)中一樣相互訪問。這個(gè)問題正是本文涉及的核心問題，也是針對(duì)規(guī)劃、部署 VLAN 提出的新觀點(diǎn) :在網(wǎng)絡(luò)中，特別是較大型網(wǎng)絡(luò)，不要企圖利用 VLAN 去實(shí)現(xiàn)不同物理位置上計(jì)算機(jī)的互聯(lián)互通，互通性要由路由策略去實(shí)現(xiàn)。這在以往會(huì)有些問題，但網(wǎng)絡(luò)技術(shù)發(fā)展到今天，交換機(jī)與路由器間的差別變得越來越小，原來用二層實(shí)現(xiàn)的方法很多都能夠用三層技術(shù)所代替。用三層技術(shù)代替二層的功能有很多優(yōu)點(diǎn)，主要表現(xiàn)在 :結(jié)構(gòu)更加清晰、控制更加豐富、擴(kuò)展更加靈活、網(wǎng)絡(luò)更加穩(wěn)定、實(shí)現(xiàn)更加容易。 盡管核心交換機(jī)被共享的形式改變 了，但仍存在受到各 VLAN 出現(xiàn)異常情況的影響。要想避免核心交換機(jī)受到各個(gè) VLAN 的影響、減小影響范圍、避免全網(wǎng)癱瘓的發(fā)生，很容易想到在核心交換機(jī)和劃有 VLAN 的交換機(jī)之間加上一層，以隔離核心交換機(jī)和各個(gè) VLAN。 在三層網(wǎng)絡(luò)結(jié)構(gòu)中，匯聚層與核心層之間的區(qū)域不再有 VLAN，匯聚層交換機(jī)的 VLAN 也僅限于部分端口，這時(shí)匯聚層交換機(jī)成為被“路由共享”的交換機(jī)，而且這種“路由共享”的情況更弱。 如果使匯聚層交換機(jī)的性能遠(yuǎn)高于接入層的交換機(jī)，那么由 VLAN 的廣播(多由病毒引起 )所引起的整網(wǎng)癱瘓問題就基本解決了。 任何 方案都具有利的一面和不利的一面，三層拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)也會(huì)帶來一些問題 :利用一般的手段較難實(shí)現(xiàn)對(duì)各個(gè) VLAN 進(jìn)行集中式的遠(yuǎn)程管理，對(duì)于這個(gè)問題的解決方案可充分利用網(wǎng)管軟件。由于 VLAN 數(shù)量的增多、路由協(xié)議等技術(shù)的引入，此時(shí)的網(wǎng)絡(luò)會(huì)比二層平面交換網(wǎng)絡(luò)要復(fù)雜，對(duì)網(wǎng)絡(luò)技術(shù)人員的要求更高，管理維護(hù)成本會(huì)有所增加。 這兩點(diǎn)是大型網(wǎng)絡(luò)管理本身的要求，大型網(wǎng)絡(luò)的管理不可能不使用網(wǎng)絡(luò)管理工具，技術(shù)人員的缺乏更是各個(gè)企業(yè)都面臨的問題，對(duì)此有的專家提出了“ IT物業(yè)”的理念，也許這就是將來解決這個(gè)問題的最終方案。 VLAN 技術(shù)小結(jié) 虛擬網(wǎng)技術(shù) (VLAN)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ ATM 和以太網(wǎng)交局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 8 換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和 VLAN 技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會(huì)存在監(jiān)聽和插入（改變）問題。 由以上運(yùn)行機(jī)制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬 網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。 Trunking Trunking 技術(shù)介紹 Trunking 是用來在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè) VLAN 的成員能夠相互通訊。其中交換機(jī)之間互聯(lián)用的端口就稱為 Trunk 端口。 trunk 這個(gè)詞是干線或者樹干的意思，不過一般不翻譯，直接用原文。 與一般的交換機(jī)的級(jí)聯(lián)不同， Trunking 是基于 OSI 第二層的。假設(shè)沒有Trunking 技術(shù)，如果你在 2 個(gè)交換機(jī)上分別劃分了多個(gè) VLAN（ VLAN 也是基于Layer2 的），那 么分別在兩個(gè)交換機(jī)上的 VLAN10 和 VLAN20 的各自的成員如果要互通，就需要在 A 交換機(jī)上設(shè)為 VLAN10 的端口中取一個(gè)和交換機(jī) B 上設(shè)為 VLAN10 的某個(gè)端口作級(jí)聯(lián)連接。 VLAN20 也是這樣。那么如果交換機(jī)上劃了 10 個(gè) VLAN 就需要分別連 10 條線作級(jí)聯(lián)，端口效率就太低了。 當(dāng)交換機(jī)支持 Trunking 的時(shí)候，事情就簡單了，只需要 2 個(gè)交換機(jī)之間有一條級(jí)聯(lián)線，并將對(duì)應(yīng)的端口設(shè)置為 Trunk，這條線路就可以承載交換機(jī)上所有VLAN 的信息。這樣的話，就算交換機(jī)上設(shè)了 1024 個(gè) VLAN 也只用 1 個(gè)端口就解決了。 在 Cisco 的交換機(jī)上，還同時(shí)支持在 EtherChannel 方式下使用 Trunking。例如當(dāng) 2 或 4 條線路綁定成 1 個(gè) FastEtherChannel 或者 GigaEtherChannel 時(shí)，只要將 Channel 中的某個(gè)端口設(shè)為 Trunk， Channel 涉及的所有端口即變?yōu)?Trunk模式。 打比喻來說，鏈路聚合就如同超市設(shè)置多個(gè)收銀臺(tái)以防止收銀臺(tái)過少而出現(xiàn)消費(fèi)者排隊(duì)等候過長的現(xiàn)象。通過配置，可通過 2 個(gè)、 3 個(gè)或 4 個(gè)端口進(jìn)行捆綁，分別負(fù)責(zé)特定端口的數(shù)據(jù)轉(zhuǎn)發(fā)，防止單條鏈路轉(zhuǎn)發(fā)速率過低而出現(xiàn)丟包的現(xiàn)象。 局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 9 Trunking 的優(yōu)點(diǎn) (1),價(jià)格便宜，性能接近千兆以太網(wǎng)。 (2),不需重新布線，也無須考慮千兆網(wǎng)令人頭疼的傳輸距離極限。 (3),Trunking 可以捆綁任何相關(guān)的端口，也可以隨時(shí)取消設(shè)置，這樣提供了很高的靈活性。 (4),Trunking 可以提供負(fù)載均衡能力以及系統(tǒng)容錯(cuò)。由于 Trunking 實(shí)時(shí)平衡各個(gè)交換機(jī)端口和服務(wù)器接口的流量，一旦某個(gè)端口出現(xiàn)故障，它會(huì)自動(dòng)把故障端口從 Trunking 組中撤消，進(jìn)而重新分配各個(gè) Trunking 端口的流量，從而實(shí)現(xiàn)系統(tǒng)容錯(cuò)。 以太通道技術(shù)是通過在兩點(diǎn)間并行多條物 理鏈路，邏輯上合并為一條鏈路，增加主干帶寬。采用這一技術(shù)，我們可以最多采用 4 條千兆線路，得到主干上的4Gbps（全雙工 8Gbps）高速通道。 第三層交換技術(shù) 第三層交換技術(shù)簡介 第三層交換技術(shù)是 1997 年前后才開始出現(xiàn)的一種交換技術(shù)，最初是為了解決廣播域的問題。經(jīng)過多年發(fā)展，第三層交換技術(shù)已經(jīng)成為構(gòu)建多業(yè)務(wù)融合網(wǎng)絡(luò)的主要力量。簡單地說，可以處理網(wǎng)絡(luò)第三層數(shù)據(jù)轉(zhuǎn)發(fā)的交換技術(shù)就是第三層交換技術(shù)。 所謂第三層交換技術(shù) ,簡單的理解就是利用交換技術(shù)實(shí)現(xiàn)了第三層的功能。而第三層的功能主要是利用第三層的 地址實(shí)現(xiàn)報(bào)文的路由功能。三層交換機(jī)采用硬件技術(shù)實(shí)現(xiàn)對(duì)報(bào)文的路由和轉(zhuǎn)發(fā) ,同時(shí)采用快速的背板交換技術(shù) ,使得三層交換機(jī)所提供的報(bào)文路由轉(zhuǎn)發(fā)的效率要比傳統(tǒng)的路由器高出許多倍?？梢哉f第三層交換機(jī)本質(zhì)上是用硬件實(shí)現(xiàn)的一種高速路由器。 在今天的網(wǎng)絡(luò)建設(shè)中，新出現(xiàn)的三層交換機(jī)已成為我們的首選。它以其高效的性能、優(yōu)良的性能價(jià)格比得到用戶的認(rèn)可和贊許。目前，三層交換機(jī)在企業(yè)網(wǎng)/校園網(wǎng)建設(shè)、智能社區(qū)接入等等許多場合中得到了大量的應(yīng)用，市場的需求和技術(shù)的更新推動(dòng)這種應(yīng)用向縱深發(fā)展。 實(shí)例 局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 10 假設(shè)兩個(gè)使用 IP 協(xié)議的站點(diǎn) A、 B 通過第三層交換機(jī)進(jìn)行通信，發(fā)送站點(diǎn)A 在開始發(fā)送時(shí)，會(huì)先拿自己的 IP 地址與 B 站的 IP 地址進(jìn)行比較，判斷 B 站是否與自己在同一子網(wǎng)內(nèi)。若目的站 B 與發(fā)送站 A 在同一子網(wǎng)內(nèi)，則進(jìn)行二層的轉(zhuǎn)發(fā)。具體步驟如下：為了得到站點(diǎn) B 的 MAC 地址，站點(diǎn) A 首先發(fā)一個(gè) ARP廣播報(bào)文，請(qǐng)求站點(diǎn) B 的 MAC 地址。該 ARP 請(qǐng)求報(bào)文進(jìn)入交換機(jī)后，首先進(jìn)行源 MAC 地址學(xué)習(xí)，芯片自動(dòng)把站點(diǎn) A 的 MAC 地址以及進(jìn)入交換機(jī)的端口號(hào)等信息填入到芯片的 MAC 地址表中，然后在 MAC 地址表中進(jìn)行目的地址查找。由于此時(shí)是一個(gè)廣播報(bào)文 ，交換機(jī)則會(huì)把這個(gè)廣播報(bào)文從進(jìn)入交換機(jī)端口所屬的VLAN 中進(jìn)行廣播。 B 站點(diǎn)收到這個(gè) ARP 請(qǐng)求報(bào)文之后，會(huì)立刻發(fā)送一個(gè) ARP回復(fù)報(bào)文，這個(gè)報(bào)文是一個(gè)單播報(bào)文，目的地址為站點(diǎn) A 的 MAC 地址。該包進(jìn)入交換機(jī)后，同樣，首先進(jìn)行源 MAC 地址學(xué)習(xí)，然后進(jìn)行目的地址查找，由于此時(shí) MAC 地址表中已經(jīng)存在了 A 站點(diǎn) MAC 地址的匹配條目，所以交換機(jī)直接把此報(bào)文從相應(yīng)的端口中轉(zhuǎn)發(fā)出去。通過以上一次 ARP 過程，交換芯片就把站點(diǎn) A 和 B 的信息保存在其 MAC 地址表中。以后 A、 B 之間進(jìn)行通信或者同一網(wǎng)段的其它站點(diǎn)想要與 A 或 B 通信，交換機(jī)就知 道該把報(bào)文從哪個(gè)端口送出。還必須說明的一點(diǎn)是，當(dāng)查找 MAC 地址表的時(shí)候發(fā)現(xiàn)找不到匹配表項(xiàng)，該報(bào)文又不是廣播或多播報(bào)文，此時(shí)此報(bào)文被稱為 DLF（ Destination Lookup Failure）報(bào)文 ,交換機(jī)對(duì)此類報(bào)文的處理就象對(duì)收到一個(gè)廣播報(bào)文處理一樣，將此報(bào)文從進(jìn)入端口所屬的 VLAN 中擴(kuò)散出去。從以上過程可以看出，所有二層轉(zhuǎn)發(fā)都是由硬件完成的，無論是 MAC 地址表的學(xué)習(xí)過程還是目的地址查找確定輸出端口過程都沒有軟件進(jìn)行干預(yù)。 過程 如上例，站點(diǎn) A、 B 通過三層交換機(jī)進(jìn)行通信。站點(diǎn) A 和 B 所在網(wǎng)段都 屬于交換機(jī)上的直連網(wǎng)段，若站點(diǎn) A 和站點(diǎn) B 不在同一子網(wǎng)內(nèi)，發(fā)送站 A 首先要向其“缺省網(wǎng)關(guān)”發(fā)出 ARP 請(qǐng)求報(bào)文，而“缺省網(wǎng)關(guān)”的 IP 地址其實(shí)就是三層交換機(jī)上站點(diǎn) A 所屬 VLAN 的 IP 地址。當(dāng)發(fā)送站 A 對(duì)“缺省網(wǎng)關(guān)”的 IP 地址廣播出一個(gè) ARP 請(qǐng)求時(shí)，交換機(jī)就向發(fā)送站 A 回一個(gè) ARP 回復(fù)報(bào)文，告訴站點(diǎn) A 交換機(jī)此 VLAN 的 MAC 地址，同時(shí)可以通過軟件把站點(diǎn) A 的 IP 地址、MAC 地址、與交換機(jī)直接相連的端口號(hào)等信息設(shè)置到交換芯片的三層硬件表項(xiàng)局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 11 中。站點(diǎn) A 收到這個(gè) ARP 回復(fù)報(bào)文之后，進(jìn)行目的 MAC 地址替換，把要發(fā)給B 的包首先發(fā)給交換 機(jī)。交換機(jī)收到這個(gè)包以后，同樣首先進(jìn)行源 MAC 地址學(xué)習(xí)，目的 MAC 地址查找，由于此時(shí)目的 MAC 地址為交換機(jī)的 MAC 地址，在這種情況下將會(huì)把該報(bào)文送到交換芯片的三層引擎處理。一般來說，三層引擎會(huì)有兩個(gè)表，一個(gè)是主機(jī)路由表，這個(gè)表是以 IP 地址為索引的，里面存放目的 IP地址、下一跳 MAC 地址、端口號(hào)等信息。若找到一條匹配表項(xiàng)，就會(huì)在對(duì)報(bào)文進(jìn)行一些操作（例如目的 MAC 與源 MAC 替換、 TTL 減 1 等）之后將報(bào)文從表中指定的端口轉(zhuǎn)發(fā)出去。若主機(jī)路由表中沒有找到匹配條目，則會(huì)繼續(xù)查找另一個(gè)表――網(wǎng)段路由表。這個(gè)表存放網(wǎng)段地 址、下一跳 MAC 地址、端口號(hào)等信息。一般來說這個(gè)表的條目要少得多，但覆蓋的范圍很大，只要設(shè)置得當(dāng)，基本上可以保證大部分進(jìn)入交換機(jī)的報(bào)文都走硬件轉(zhuǎn)發(fā)，這樣不僅大大提高轉(zhuǎn)發(fā)速度，同時(shí)也減輕了 CPU 的負(fù)荷。若查找網(wǎng)段路由表也沒有找到匹配表項(xiàng)，則交換芯片會(huì)把包送給 CPU 處理，進(jìn)行軟路由。由于站點(diǎn) B 屬于交換機(jī)的直連網(wǎng)段之一，CPU 收到這個(gè) IP 報(bào)文以后，會(huì)直接以 B 的 IP 為索引檢查 ARP 緩存，若沒有站點(diǎn) B 的 MAC 地址，則根據(jù)路由信息向 B 站廣播一個(gè) ARP 請(qǐng)求， B 站得到此 ARP請(qǐng)求后向交換機(jī)回復(fù)其 MAC 地址， CPU 在收到這個(gè) ARP 回復(fù)報(bào)文的同時(shí)，同樣可以通過軟件把站點(diǎn) B 的 IP 地址、 MAC 地址、進(jìn)入交換機(jī)的端口號(hào)等信息設(shè)置到交換芯片的三層硬件表項(xiàng)中，然后把由站點(diǎn) A 發(fā)來的 IP 報(bào)文轉(zhuǎn)發(fā)給站點(diǎn) B，這樣就完成了站點(diǎn) A 到站點(diǎn) B 的第一次單向通信。由于芯片內(nèi)部的三層引擎中已經(jīng)保存站點(diǎn) A、 B 的路由信息，以后站點(diǎn) A、 B 之間進(jìn)行通信或其它網(wǎng)段的站點(diǎn)想要與 A、 B 進(jìn)行通信，交換芯片則會(huì)直接把包從三層硬件表項(xiàng)中指定的端口轉(zhuǎn)發(fā)出去，而不必再把包交給 CPU 處理。這種通過“一