隨著當(dāng)今網(wǎng)絡(luò)業(yè)務(wù)流量呈幾何級(jí)數(shù)爆炸式增長(zhǎng),并且業(yè)務(wù)流模式改變?yōu)楦嗟臉I(yè)務(wù)流跨越子網(wǎng)邊界,穿越路由器的業(yè)務(wù)流也大大增加,傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸凸現(xiàn)出來(lái)。第三層交換技術(shù)的出現(xiàn),很好地解決了局域網(wǎng)中業(yè)務(wù)流跨網(wǎng)段引起的低轉(zhuǎn)發(fā)速率、高延時(shí)等網(wǎng)絡(luò)瓶頸問(wèn)題。第三層交換設(shè)備的應(yīng)用領(lǐng)域也從最初的骨干層、匯聚層一直滲透到邊緣的接入層。第三層交換設(shè)備在網(wǎng)絡(luò)互聯(lián)中的應(yīng)用日益普及。然而,人們對(duì)第三層交換技術(shù)及其設(shè)備的理解卻存在較大差異。一些專(zhuān)業(yè)雜志和科普文摘對(duì)第三層交換技術(shù)原理的不準(zhǔn)確介紹容易引起誤導(dǎo)。第三層交換作為新一代局域網(wǎng)路由和交換技術(shù),其產(chǎn)品在體系結(jié)構(gòu)、所實(shí)現(xiàn)的功能和性能上都有別于二層以太網(wǎng)交換機(jī)和傳統(tǒng)路由器。本文分析第三層交換技術(shù)的基本特征、分類(lèi)及實(shí)現(xiàn)原理,希望能對(duì)人們進(jìn)一步理解和使用第三層交換設(shè)備有所裨益。
1 第三層交換技術(shù)基本特征
第三層交換技術(shù)也稱(chēng)為IP交換技術(shù)。它將第二層交換機(jī)和第三層路由器兩者的優(yōu)勢(shì)結(jié)合成為一個(gè)有機(jī)的整體,是一種利用第三層協(xié)議中的信息來(lái)加強(qiáng)第二層交換功能的機(jī)制,是新一代局域網(wǎng)路由和交換技術(shù)。第三層交換技術(shù)具有以當(dāng)前系統(tǒng)1/10的代價(jià)獲得傳輸性能于過(guò)去10倍的能力。既然第三層交換機(jī)能夠代替路由器執(zhí)行傳統(tǒng)路由器的大多數(shù)功能,它應(yīng)該具有路由的基本特征。我們知道,路由的核心功能主要包括數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)和路由處理兩方面。數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)是路由器和第三層交換機(jī)最基本的功能,用來(lái)在子網(wǎng)間傳送數(shù)據(jù)報(bào)文;路由處理子功能包括創(chuàng)建和維護(hù)路由表,完成這一功能需要啟用路由協(xié)議如或OSPF來(lái)發(fā)現(xiàn)和建立網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)視圖,形成路由表。路由處理一旦完成,將數(shù)據(jù)報(bào)文發(fā)送至目的地就是報(bào)文轉(zhuǎn)發(fā)子功能的任務(wù)了。報(bào)文轉(zhuǎn)發(fā)子功能的工作包括檢查IP報(bào)文頭、IP數(shù)據(jù)包的分片和重組、修改存活時(shí)間(TTL)參數(shù)、重新計(jì)算IP頭校驗(yàn)和、MAC地址解析、IP包的數(shù)據(jù)鏈路封裝以及IP包的差錯(cuò)與控制處理(ICMP)等等。第三層交換也包括一系列特別服務(wù)功能,如數(shù)據(jù)包的格式轉(zhuǎn)換,信息流優(yōu)先級(jí)別劃分,用戶(hù)身份驗(yàn)證及報(bào)文過(guò)濾等安全服務(wù),IP地址管理,局域網(wǎng)協(xié)議和廣域網(wǎng)協(xié)議之間的轉(zhuǎn)換。當(dāng)?shù)谌龑咏粨Q機(jī)僅用于局域網(wǎng)中子網(wǎng)間或VLAN間轉(zhuǎn)發(fā)業(yè)務(wù)流時(shí)可以不執(zhí)行路由處理,只作第三層業(yè)務(wù)流轉(zhuǎn)發(fā),這種情況下設(shè)備可以不需要路由功能。
由于傳統(tǒng)路由器是一種軟件驅(qū)動(dòng)型設(shè)備,所有的數(shù)據(jù)包交換、路由和特殊服務(wù)功能,包括處理多種底層技術(shù)和多種第三層協(xié)議幾乎都由軟件來(lái)實(shí)現(xiàn),并可通過(guò)軟件升級(jí)增強(qiáng)設(shè)備功能,因而具有良好的擴(kuò)展性和靈活性。但它也具有配置復(fù)雜、價(jià)格高、相對(duì)較低的吞吐量和相對(duì)較高的吞吐量變化等缺點(diǎn)。第三層交換技術(shù)在很大程度上彌補(bǔ)了傳統(tǒng)路由器這些缺點(diǎn)。在設(shè)計(jì)第三層交換產(chǎn)品時(shí)通常使用下面一些方法:
·削減處理的協(xié)議數(shù),常常只對(duì)IP;
·只完成交換和路由功能,限制特殊服務(wù);
·使用專(zhuān)用集成電路(ASIC)構(gòu)造更多功能,而不是采用RSIC處理器之上的軟件運(yùn)行這些功能。
第三層交換產(chǎn)品采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)方法,體系結(jié)構(gòu)具有很好的層次感。軟件模塊和硬件模塊分工明確、配合協(xié)調(diào),信息可為整個(gè)設(shè)備集中保存、完全分布或高速緩存。例如,IP報(bào)文的第三層目的地址在幀中的位置是確定的,地址位就可被硬件提取,并由硬件完成路由計(jì)算或地址查找;另一方面,路由表構(gòu)造和維護(hù)則可繼續(xù)由RSIC芯片中的軟件完成。總之,第三層交換技術(shù)及產(chǎn)品的實(shí)現(xiàn)歸功于現(xiàn)代芯片技術(shù)特別是ASIC技術(shù)的迅速發(fā)展。
2 第三層交換技術(shù)分類(lèi)、原理及實(shí)現(xiàn)方法
目前主要存在兩類(lèi)第三層交換技術(shù):第一類(lèi)是報(bào)文到報(bào)文交換,每一個(gè)報(bào)文都要經(jīng)歷第三層處理(即至少是路由處理),并且數(shù)據(jù)流轉(zhuǎn)發(fā)是基于第三層地址的;第二類(lèi)是流交換,它不在第三層處理所有報(bào)文,而只分析流中的第一個(gè)報(bào)文,完成路由處理,并基于第三層地址轉(zhuǎn)發(fā)該報(bào)文,流中的后續(xù)報(bào)文使用一種或多種捷徑技術(shù)進(jìn)行處理,此類(lèi)技術(shù)的設(shè)計(jì)目的是方便線速路由。理解第三層交換技術(shù)的關(guān)鍵首先需要區(qū)分這兩類(lèi)報(bào)文的不同轉(zhuǎn)發(fā)方式。
報(bào)文到報(bào)文處理方法的一個(gè)顯著特征是其能夠適應(yīng)路由的拓?fù)渥兓Mㄟ^(guò)運(yùn)行標(biāo)準(zhǔn)協(xié)議并維護(hù)路由表,報(bào)文到報(bào)文交換設(shè)備可動(dòng)態(tài)地重新路由報(bào)文,繞過(guò)網(wǎng)絡(luò)故障點(diǎn)和擁塞點(diǎn)而無(wú)需等待高層的協(xié)議檢測(cè)報(bào)文丟失。流交換方法沒(méi)有這些特征,因?yàn)楹罄m(xù)報(bào)文走捷徑而無(wú)需第三層處理,這樣,它就不能識(shí)別標(biāo)準(zhǔn)協(xié)議對(duì)路由表的改變。因此,流交換方法可能需要另外的協(xié)議取得拓?fù)渥兓驌砣畔ⅲ员愕竭_(dá)交換系統(tǒng)正確的地方。 2.1 報(bào)文到報(bào)文交換技術(shù)原理及實(shí)現(xiàn)方法
報(bào)文到報(bào)文交換遵循這樣一個(gè)數(shù)據(jù)流過(guò)程:報(bào)文進(jìn)入系統(tǒng)中OSI參考模型的第一層,即物理接口,然后在第二層接受目的MAC檢查,若在第二層能交換則進(jìn)行二層交換,否則進(jìn)入到第三層,即網(wǎng)絡(luò)層。在第三層,報(bào)文要經(jīng)過(guò)路徑確定、地址解析及某些特殊服務(wù)。處理完畢后報(bào)文已更新,確定合適的輸出端口后,報(bào)文通過(guò)第一層傳送到物理介質(zhì)上。傳統(tǒng)路由器是一種典型的符合第三層報(bào)文到報(bào)文交換技術(shù)的設(shè)備,它的完全基于軟件的工作機(jī)制所產(chǎn)生的固有缺陷已被現(xiàn)代基于硬件的第三層交換設(shè)備所克服。
目前各個(gè)廠商所提供的第三層交換設(shè)備在體系結(jié)構(gòu)上幾乎具有相同的硬件結(jié)構(gòu)。
中央硅交換陣列通過(guò)CPU接口總線連接CPU模塊,通過(guò)I/O接口總線連接I/O接口模塊,是設(shè)備各端口流量匯聚和交換的集中點(diǎn),由它提供設(shè)備各進(jìn)出端口的并行交換路徑,所有跨I/O接口模塊的數(shù)據(jù)流都要通過(guò)硅交換陣列進(jìn)行轉(zhuǎn)發(fā)。每個(gè)I/O接口模塊包含一個(gè)或多個(gè)轉(zhuǎn)發(fā)引擎,其上的ASIC完成所有的報(bào)文*作,包括路由查找、報(bào)文分類(lèi)、第三層轉(zhuǎn)發(fā)和業(yè)務(wù)流決策,這一將報(bào)文轉(zhuǎn)發(fā)分布于每一個(gè)I/O端口的ASIC的方法是第三層交換設(shè)備能夠線速路由的關(guān)鍵部分。CPU模塊主要完成設(shè)備的背景*作,如運(yùn)行與路由處理相關(guān)的各種路由協(xié)議、創(chuàng)建和維護(hù)路由表、系統(tǒng)配置等,并把路由表信息導(dǎo)入每一個(gè)I/O接口模塊分布式轉(zhuǎn)發(fā)引擎的ASIC中。這樣,各接口模塊的分布式轉(zhuǎn)發(fā)引擎ASIC直接根據(jù)路由表做出報(bào)文的轉(zhuǎn)發(fā)策略,無(wú)需像傳統(tǒng)路由器那樣所有報(bào)文必須經(jīng)過(guò)CPU的處理。
流交換技術(shù)原理及實(shí)現(xiàn)方法
在流交換中,第一個(gè)報(bào)文被分析以確定其是否標(biāo)識(shí)一個(gè)“流”或者一組具有相同源地址或目的地址的報(bào)文。流交換節(jié)省了檢查每一個(gè)報(bào)文要花費(fèi)的處理時(shí)間。同一流中的后續(xù)報(bào)文被交換到基于第二層的目的地址。流交換需要兩個(gè)技巧,第一個(gè)技巧是要識(shí)別第一個(gè)報(bào)文的哪一個(gè)特征標(biāo)識(shí)一個(gè)流,這個(gè)流可以使其余報(bào)文走捷徑,即第二層路徑。第二個(gè)技巧是,一旦建立穿過(guò)網(wǎng)絡(luò)的路徑,就讓流足夠長(zhǎng)以便利用捷徑的優(yōu)點(diǎn)。怎樣檢測(cè)流、識(shí)別屬于特定流的報(bào)文以及建立通過(guò)網(wǎng)絡(luò)的流通路隨實(shí)現(xiàn)機(jī)制的變化而不同。目前出現(xiàn)了多種流交換技術(shù),如3Com公司的快速I(mǎi)P、由Cisco提交給IETF的多協(xié)議標(biāo)記交換(MPLS)、ATM論壇的多協(xié)議(MPOA)以及Ipsilon公司的IP交換。我們可將其劃分成兩個(gè)主要類(lèi)型:端系統(tǒng)驅(qū)動(dòng)流交換和網(wǎng)絡(luò)中心式流交換。限于篇幅,現(xiàn)只簡(jiǎn)單介紹3Com公司的快速I(mǎi)P工作原理。
3Com公司的快速I(mǎi)P屬于端系統(tǒng)驅(qū)動(dòng)流交換技術(shù),其工作原理基于NHRP標(biāo)準(zhǔn)(草案)。源端主機(jī)發(fā)送一個(gè)快速I(mǎi)P連接請(qǐng)求,該請(qǐng)求就像數(shù)據(jù)報(bào)文一樣被路由穿過(guò)網(wǎng)絡(luò),如果目的端主機(jī)也運(yùn)行快速I(mǎi)P,則它發(fā)送一個(gè)包含其MAC地址的NHRP應(yīng)答報(bào)文給源端主機(jī),如果源端主機(jī)和目的端主機(jī)存在二層交換通路,當(dāng)NHRP應(yīng)答報(bào)文到達(dá)源端主機(jī)時(shí)將在經(jīng)過(guò)的交換機(jī)中建立目的端主機(jī)MAC地址和端口的映射表,隨后源端主機(jī)可根據(jù)目的端主機(jī)MAC地址直接通過(guò)交換機(jī)二層通路交換數(shù)據(jù)報(bào)文,不再經(jīng)過(guò)路由器;如果兩端主機(jī)之間沒(méi)有交換路徑而無(wú)NHRP應(yīng)答返回,則報(bào)文如前進(jìn)行路由。
快速I(mǎi)P軟件主要運(yùn)行在源、目的端主機(jī)的網(wǎng)絡(luò)接口卡(NIC)的驅(qū)動(dòng)程序之上。它與主機(jī)的IP協(xié)議棧和NIC驅(qū)動(dòng)程序接口,以協(xié)調(diào)NHRP交換。總之,快速I(mǎi)P試圖改善在交換網(wǎng)絡(luò)上完成路由的轉(zhuǎn)發(fā)性能,但它沒(méi)有潛在的靈活性,也不能通過(guò)報(bào)文過(guò)濾提供任何安全保障,而且需要在參與快速I(mǎi)P交換的主機(jī)上安裝NHRP協(xié)議軟件。實(shí)際上增加了設(shè)備的維護(hù)工作量。
多種流交換技術(shù)最初是在路由選擇比較慢和代價(jià)比較大的前提下開(kāi)發(fā)的。報(bào)文到報(bào)文交換產(chǎn)品已經(jīng)證明了情況不再如此。與報(bào)文到報(bào)文交換產(chǎn)品相比,流交換方法顯得更復(fù)雜和難以理解。在動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境下,成功地標(biāo)識(shí)、建立、管理和撤消大量的流需要哪些措施,仍然是一個(gè)有待研究的問(wèn)題。目前應(yīng)用在局域網(wǎng)互聯(lián)的第三層交換設(shè)備多是基于報(bào)文到報(bào)文交換技術(shù)。流交換更可能在廣域網(wǎng)中找到其位置。
3 對(duì)第三層交換機(jī)“路由一次,處處交換”或“基于目的MAC地址的第二層交換”這一觀點(diǎn)提出質(zhì)疑
當(dāng)前,很多文章對(duì)三層交換機(jī)的工作原理進(jìn)行過(guò)介紹,在交換機(jī)對(duì)三層報(bào)文轉(zhuǎn)發(fā)機(jī)制上基本趨向一致觀點(diǎn),那就是“路由一次,處處交換”或“基于目的MAC地址的第二層交換”。
“第三層交換的原理是,假設(shè)兩個(gè)使用IP的主機(jī)A、B通過(guò)第三層交換機(jī)進(jìn)行通信。發(fā)送站點(diǎn)A在開(kāi)始發(fā)送時(shí),把自己的IP地址與B站的IP地址比較,判斷B站是否與自己在同一子網(wǎng)內(nèi)。若目的站B與發(fā)送站A在同一子網(wǎng)內(nèi),則進(jìn)行二層的轉(zhuǎn)發(fā)。若兩個(gè)站點(diǎn)不在同一子網(wǎng)內(nèi),如發(fā)送站A要與目的站B通信,發(fā)送站A要向“缺省網(wǎng)關(guān)”發(fā)出ARP請(qǐng)求(地址解析)封包,而“缺省網(wǎng)關(guān)”的IP地址其實(shí)是三層交換機(jī)的三層交換模塊。當(dāng)發(fā)送站A對(duì)“缺省網(wǎng)關(guān)”的IP地址廣播出一個(gè)ARP請(qǐng)求時(shí),如果三層交換模塊在以前的通信過(guò)程中已經(jīng)知道B站的MAC地址,則向發(fā)送站A回復(fù)B的MAC地址。否則三層交換模塊根據(jù)路由信息向B站廣播一個(gè)ARP請(qǐng)求,B站得到此ARP請(qǐng)求后向三層交換模塊回復(fù)其MAC地址,三層交換模塊保存此地址并回復(fù)給發(fā)送站A,同時(shí)將B站的MAC地址發(fā)送到二層交換引擎的MAC地址表中。從這以后,A向B發(fā)送的數(shù)據(jù)包便全部交給二層交換處理,信息得以高速交換。由于僅僅在路由過(guò)程中才需要三層處理,絕大部分?jǐn)?shù)據(jù)都通過(guò)二層交換轉(zhuǎn)發(fā),因此第三層交換機(jī)的速度很快,接近第二層交換機(jī)的速度,同時(shí)比相同路由器的價(jià)格低很多”。
分析上面這段文章,筆者認(rèn)為這種觀點(diǎn)違背了主機(jī)與缺省網(wǎng)關(guān)通信的基本原理。文章提到“當(dāng)發(fā)送站A對(duì)“缺省網(wǎng)關(guān)”的IP地址廣播出一個(gè)ARP請(qǐng)求時(shí),如果三層交換模塊在以前的通信過(guò)程中已經(jīng)知道B站的MAC地址,則向發(fā)送站A回復(fù)B的MAC地址。否則三層交換模塊根據(jù)路由信息向B站廣播一個(gè)ARP請(qǐng)求”。實(shí)際上,A站向三層交換模塊發(fā)送網(wǎng)關(guān)IP地址的ARP請(qǐng)求時(shí),ARP請(qǐng)求報(bào)文并不包含B站IP地址,三層交換模塊只會(huì)把自己IP地址對(duì)應(yīng)的MAC地址回復(fù)給A站,根本不會(huì)向發(fā)送站A回復(fù)B的MAC地址。這是錯(cuò)誤之一。
退一步說(shuō),即便三層交換模塊回復(fù)B站的MAC地址,由于B站和A站不在同一子網(wǎng),A站也不會(huì)把B站的目的MAC地址封裝在A站要發(fā)送的以太網(wǎng)幀中。這是錯(cuò)誤之二。
再者,三層交換模塊接收A站發(fā)送到B站的以太網(wǎng)幀,三層交換模塊從以太網(wǎng)幀的IP包中提取B站的IP地址,通過(guò)查找路由表,尋找到B站的下一跳,若B站與第三層交換機(jī)某一接口在同一網(wǎng)段,第三層交換機(jī)向B站IP地址廣播ARP請(qǐng)求,從B站的ARP應(yīng)答中可得知B站的MAC地址;若B站與三層交換機(jī)某一接口不在同一網(wǎng)段,中間相隔了好幾跳,三層交換模塊只會(huì)向下一跳IP地址廣播ARP請(qǐng)求,下一跳ARP應(yīng)答的應(yīng)是下一跳IP地址的MAC地址,三層交換模塊無(wú)從得知B站的MAC地址。這是錯(cuò)誤之三。
要達(dá)到“路由一次,處處交換”或“基于目的MAC地址的第二層交換”的目的,必須改變現(xiàn)存主機(jī)與缺省網(wǎng)關(guān)的通信機(jī)制或第三層交換機(jī)的路由規(guī)則,換句話說(shuō),以一種新的主機(jī)與缺省網(wǎng)關(guān)的通信機(jī)制替代現(xiàn)有的通信機(jī)制。就像前面描述的3Com公司的快速I(mǎi)P技術(shù)一樣。實(shí)際網(wǎng)絡(luò)中主機(jī)和第三層交換機(jī)都工作得很好,無(wú)需主機(jī)做任何改變,也無(wú)需改變?cè)械木W(wǎng)絡(luò)設(shè)施。在第三層交換機(jī)替代傳統(tǒng)路由器的場(chǎng)合,子網(wǎng)間的流量轉(zhuǎn)發(fā)性能卻得到了空前的提高。這并不是改變了交換機(jī)對(duì)三層報(bào)文轉(zhuǎn)發(fā)機(jī)制的結(jié)果,即“路由一次,處處交換”或“基于目的MAC地址的第二層交換”的結(jié)果,而是第三層交換機(jī)基于硬件快速轉(zhuǎn)發(fā)三層報(bào)文的結(jié)果。
