第三层交换分析
部署
第三层交换正迅速发展成可作为下一代应用启动平台的最适合的网络技术。本文将具体介绍此项技术以及如何部署第三层交换才能获得最大效率。
第三层交换是局域网许多区域(包括核心和服务器集中点)的要害组件,因为该项技术能解决许多在性能、安全和控制等方面的问题。然而,在一些网络区域,该项技术的使用效果并不十分显著,尤其是在桌面连接方面。本文将会重点讨论这种网络性能较低的情况,非凡是在新一代高级第四层桌面交换技术已经能够提供高性能和控制能力的今天。本文也将具体阐述第二(四)层交换机是如何提供成本更低、更加简单、更易于治理的桌面解决方案。
概述
任何一种新技术进入市场时,都要经历业界专业人员对伴随这种技术的新术语和“技术行话”进行筛选的阶段。这些新的技术术语往往会造成迷惑,甚至自相矛盾,具体情况取决于供给商使用它们的方式。“第三层交换”和有关的技术也不例外,随着越来越多交换机和路由器技术的推出,有关它们技术术语的迷惑只会增多。
比如,第三层交换、第四层交换、多层交换、多层数据包分类和路由交换机等新术语就令交换机和路由器之间的传统区别变得模糊起来。此外,由于许多供给商在原本用于布线室的第二层交换机平台上提供了第三层交换技术,从而让人更加迷惑不解。这些变化使网络设计人员很难了解如何部署高效的网络解决方案。因此,必须去伪存真,并专注于基础知识,才能真正了解何时、何地以及为什么采用第三层交换。
了解网络各层
为了充分熟悉第三层交换,在此有必要对目前使用的大多数网络体系结构的强大分层模型进行分析。
如图所示,网络基础架构设备(如网桥、路由器和交换机)在传统上一直按 OSI 分层模型分类。 这种 OSI 模型目前仍然是数据网络的参考分层典范,因为它简化了两台计算机进行通信所要执行的任务,每层都具有特定的功能。OSI 模型定义了这些层的交互方式,并依次定义了各个网络组件的角色,从而决定了这些组件如何实现与分层网络的集成。
网络组件
交换机(第二层)
交换机在每个端口提供一个独特的网络段,从而分离了冲突域。
路由器(第三层)
路由器可分离广播域,并能连接不同的网络。路由器是根据目标网络层的地址(第三层)而不是工作站数据链路层 MAC 地址来引导网络信息流。路由器通常基于软件,因此性能比第二层交换机相对迟缓。
第三层交换机(第三层)
第三层交换机可部署在使用传统路由器局域网的任何地方。第三层交换机中高级的 ASIC 技术可提供远远高于传统路由器的性能,使它们非常适合网络带宽密集的应用。另外,第三层交换机合并了典型路由器中相互分离的桥接(第二层)和路由(第三层)功能。这些技术的结合提供了一个能大大改进扩充能力的更加自然的网络体系结构。
第二层和第三层交换
为把握第三层交换的优点以及如何更加有效地使用第三层交换,首先必须了解目前可用于网络设计的两种交换方式: 第二层交换、第三层交换(路由)。
交换是从一个接口接收,然后通过另一个接口发出的过程。第二层与第三层交换之间的区别在于用以确定正确输出接口的帧内信息类型。
¨ 在第二层交换中,帧的交换基于 MAC 地址信息。
¨ 在第三层交换中,帧的交换基于网络层信息,如 IP 地址。
第二层交换
第二层交换是在前面所述的OSI 模型的数据链路层进行。它检查帧,并根据目标 MAC 地址转发帧。
假如知道目标地址,第二层交换机会将以太网帧转发到适当的接口。假如第二层交换机不知道将帧发送到何处,它会将该帧广播转发到所有端口,以了解正确的目标地址。第二层交换机利用这种技术来建立和维护一个跟踪帧目标地址的交换表。
对于规模较大的网络来说,这种广播转发操作会产生严重的问题,因为所有这些广播的处理会造成性能的大幅度降低。该问题的解决办法将在本白皮书的稍后部分进行讨论。
第二层交换的优点
由于第二层交换相对简单,网络治理员可以建立治理简便且能扩展到数百个节点的网络,而不会碰到太多的第二层广播问题。第二层交换机为网络提供了以下优点:
l 高带宽:第二层交换机通过将专用带宽分配到每一个端口,为各个用户提供优异的性能。每一个交换机端口表示一个不同的网段,因此每个用户可以获得特定数量的带宽。此外,每个专用网段还能与单项业务一起接收广播业务。
l VLAN:第二层交换机能够将各个端口组合到逻辑工作组(虚拟局域网或 VLAN)。
每个 VLAN 组在逻辑上与交换机的其它部分分离,可帮助将第二层广播业务控制在特定的VLAN组。这提供了以下两个主要优点:
1. 网络设计人员可以利用 VLAN 来建造能避免特大第二层广播域问题的大型第二层网络。
2. 网络四周的移动、添加和更改更加轻易,因为无论物理位置在哪里,用户始终在他们自己的 VLAN 中。
第三层交换机或路由器对 VLAN 通信不可缺少。
l 业务类别优先化:某些第二层交换机上的业务类别 (CoS) 优先化答应网络治理员根据协议、IP 地址和以太网类型等标准给不同类型的局域网业务分配优先权级别。这使网络治理员可以根据协议、应用或用户控制业务流,从而确保更加高效的网络运转。
l 用户安全:第二层交换机提供了基于用户的稳健安全机质,这种机质基于网络登录 (802.1x) 技术,可防止任何未经认证的用户接入网络。
第三层交换
第三层交换在网络层进行。它检查数据包信息,并根据网络层目标地址转发数据包。与固定的第二层寻址系统不同,第三层地址由网络治理员安装的网络分层确定。IP、IPX 和 AppleTalk 等协议都使用第三层寻址。
使用第三层寻址系统,网络治理员可以创建地址组(子网)。这些子网可使网络治理员以一个单元(子网)的形式轻松地治理子网成员,从而支持建立一个能够扩展的分层寻址系统。
第三层寻址系统还比第二层系统更加动态。假如用户移动到另一个位置,其终端站会收到一个新的第三层地址,但第二层 MAC 地址保持不变。这类似于某个人从一个城市搬到另一个城市: 邮政地址将会改变,但个人姓名和身份保持不变。因此,第三层路由网络能将逻辑寻址结构连接到物理基础架构,从而提供了一个比第二层网络更加灵活和更加可扩充的分层结构。
第三层交换的优点
第三层交换提供以下优点:
l 提高了网络效率:第三层交换机通过答应网络治理员在第二层 VLAN 进行路由业务,确保将第二层广播控制在一个 VLAN 内,降低了业务量负载。
l 可持续发展:由于 OSI 层模型的分层特点,第三层交换机能够创建更加易于扩展和维护的更大规模的网络。
l 更加广泛的拓扑选择:基于路由器的网络支持任何拓扑,并能更轻易超过类似第二层交换网络的更大规模和复杂程度。
l 工作组和服务器安全:第三层设备能根据第三层网络地址创建接入策略,这答应网络治理员控制和阻塞某些 VLAN 到 VLAN 通信,阻塞某些 IP 地址,甚至能防止某些子网访问特定的信息。
l 更加优异的性能:通过使用先进的 ASIC 技术,第三层交换机可提供远远高于基于软件的传统路由器的性能。比如,每秒 4000 万个数据包对每秒 30 万个数据包。第三层交换机为千兆网络这样的带宽密集型基础架构提供了所需的路由性能。因此,第三层交换机可以部署在网络中许多具有更高战略意义的位置。
第三层交换机的部署
了解了第二层和第三层交换机的相对优点之后,就可以知道每一种交换机能够在网络中的哪些地方产生最大的效应。
80/20 法则
九十年代早期,经验法则确立,它认为所有业务流的 80% 应在本地子网上,只有 20% 的业务流应传递到路由器。多年来,该法则一直准确无误,而且路由器能够相当轻松地处理各种业务量级别。随着更多的广播业务被控制在特定的本地网段上,在第二层交换机上使用 VLAN 有一定的效用。
20/80 法则
但是,过去几年,建立了大量服务器来帮助改善安全和治理,加之越来越多地使用内部网和客户机/服务器服务,导致了局域网业务流的巨大变化。现在,所有业务流的 80% 被传递到路由网络,只有大约 20% 的业务被控制在本地子网内。
这种新结构对路由网络提出了巨大的需求,因为用户每次访问位于不同子网上的服务器时,其通信业务都必须通过第三层设备(通常为每秒只能转发 30 万个数据包的路由器)
解决 20/80 法则问题
很明显,具有核心路由器的单层第二层网络不能扩充,而且其对当今的网络流性很差。因此,必须了解如何利用第三层交换机建立一个正确的分层设计。需要考虑以下三种网络组件: 网络核心、布线室集中点、桌面接入点
l 网络核心:核心网络组件在设计时应考虑性能和弹性。第三层交换机赋予了自己这种角色,因为它们通过分层寻址提供了自然的弹性,而且它们也提供了远远优于传统路由器的性能。l 布线室集合点:该层可帮助为核心提供一个边界,并为桌面接入设备提供重要的服务。这些服务包括 VLAN 路由、安全、部门接入和地址集中。对于规模更大的网络安装,之所以需要第三层交换机是因为它给桌面交换机提供了正确的服务,并提供了路由到核心交换机所必需的性能。
第三层交换部署示例
解决方案 1: 分支机构
在本例中,一个分支机构需要连接本地办公室和总部的服务器。第三层交换机被部署在网络主干,负责执行本地服务器、本地局域网业务以及到宽带路由器的第三层交换。
l 布线室集中点:分支机构的用户可以组合到不同的 VLAN 中,以增进安全和性能。第三层交换机不仅使部门间 VLAN 通信成为可能,同时也对本地服务器提供了广播流保护。这可以拦截这些链接的接入业务,因而改进了性能。
解决方案 2: 总部
根据网络基础架构和逻辑拓扑要求,第三层交换机可以部署在网络的某些或所有区域。
l 布线室集中点 (1):将第三层交换机进一步推进到桌面接入交换机,可将主干网从通常仅在终端站之间传送的实时电视会议和局域网电话业务中解脱出来。 该集中点的第三层交换机也可以作为 VLAN 路由设备,以帮助路由本地业务,而不必向核心交换机传播不必要的第二层广播业务。此外,该配置还有助于跨网络部署安全的部门服务器和 web 高速缓存,从而通过将信息路由到本地资源,帮助进一步减轻核心第三层交换机的负载。 为提供进一步的保护,可将第三层接入控制应用于每一个部门 IP 子网,从而在不影响总体性能的情况下提高安全性。
l 核心集中点 (2):将第三层交换机部署在核心,能使部门间 VLAN 通信不影响服务器库链接和其它主干网连接。这通过使用更加分层的第三层寻址系统,也有助于提高网络的扩充能力。
l 服务器集中点 (3):由于服务器被直接连接到第三层交换机,因此每台服务器都能在第二层(广播保护)和第三层(接入保护)隔离。
这提供了部门到服务器的完全隔离,因此可保护主干网和其它要害业务免受广播流和未授权连接的干扰。
将第三层交换机部署为桌面接入设备
网络治理员的另一个选项是将第三层交换机部署为桌面接入设备。
第三层交换从一开始就被设计用来支持分层网络结构,这种结构可促进网络扩展,并避免性能降低和控制丢失等问题。但是。第三层技术的这些优点与桌面接入设备毫不相干。性能在桌面接入点不是问题,而且广播业务的控制已采用 Virtual LAN 手段予以解决。
网络安全和业务过滤是值得考虑的其它两种第三层交换功能。但是,第二(四)层交换技术的最新补充基本上消除了对它们的需求。现在,许多第二(四)层交换机都能分类、优先化甚至阻塞局域网上的应用和协议。而且,由于第二(四)层交换机中使用了网络登录 802.1x 技术,甚至能在所有用户进入网络之前对他们进行认证,因此解决了安全问题。
决定因素可归结为治理和成本。
l 额外的治理:假如在桌面接入点部署第三层交换机,网络治理员就必须建立 VLAN、单目路由协议、组播路由协议和静态路由。这些额外配置给网络增加了不必要的复杂性,使安装成为治理上的噩梦。而第二(四)层交换机消除了这些额外配置步骤,因为它不关心第三层寻址。
l 额外的成本:每一个桌面接入点部署第三层交换机对许多企业都是无法承受的。第三层交换机的成本大约为同级别第二(四)层交换机的两到三倍,而且这还没有考虑安装所需的额外配置时间。
结论非常明显,作为桌面接入点,第三层交换机的配置更加复杂,总成本更高,而且不比第二(四)层交换机更加有效。
结束语
第三层交换技术是实现简单的网络发展和扩充、提供高性能和可靠性的明显要求。但是,任何企业都应认真考虑如何使用这项技术,因为其有效性主取决于它在整个网络结构中的部署。比如,第三层交换机作为桌面接入点反而会影响生产效率,因为它增加了复杂性、治理和总成本。
但是,第三层交换应用在网络核心和布线室集中点可以发挥其最大效用。在这里,它能够以远远优于传统路由器的方式降低复杂性,增进性能,最大程度地增加网络的带宽。