Archive for category 网络和安全

二层交换技术是发展比较成熟，二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下：

1.      当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的；

2.      再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；

3.      如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；

4.      如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。  

不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。从二层交换机的工作原理可以推知以下三点：

1.      由于交换机对多数端口的数据进行同时交换，这就要求具有很宽的交换总线带宽，如果二层交换机有N个端口，每个端口的带宽是M，交换机总线带宽超过N×M，那么这交换机就可以实现线速交换；

2.      学习端口连接的机器的MAC地址，写入地址表，地址表的大小（一般两种表示方式：一为BEFFER RAM，一为MAC表项数值），地址表大小影响交换机的接入容量；

3.      还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC （Application specific Integrated Circuit）芯片，因此转发速度可以做到非常快。由于各个厂家采用ASIC不同，直接影响产品性能。以上三点也是评判二三层交换机性能优劣的主要技术参数，这一点请大家在考虑设备选型时注意比较。

（二）路由技术

路由器工作在OSI模型的第三层—网络层操作，其工作模式与二层交换相似，但路由器工作在第三层，这个区别决定了路由和交换在传递包时使用不同的控制信息，实现功能的方式就不同。工作原理是在路由器的内部也有一个表，这个表所标示的是如果要去某一个地方，下一步应该向那里走，如果能从路由表中找到数据包下一步往那里走，把链路层信息加上转发出去；如果不能知道下一步走向那里，则将此包丢弃，然后返回一个信息交给源地址。路由技术实质上来说不过两种功能：决定最优路由和转发数据包。路由表中写入各种信息，由路由算法计算出到达目的地址的最佳路径，然后由相对简单直接的转发机制发送数据包。接受数据的下一台路由器依照相同的工作方式继续转发，依次类推，直到数据包到达目的路由器。而路由表的维护，也有两种不同的方式。一种是路由信息的更新，将部分或者全部的路由信息公布出去，路由器通过互相学习路由信息，就掌握了全网的拓扑结构，这一类的路由协议称为距离矢量路由协议；另一种是路由器将自己的链路状态信息进行广播，通过互相学习掌握全网的路由信息，进而计算出最佳的转发路径，这类路由协议称为链路状态路由协议。由于路由器需要做大量的路径计算工作，一般处理器的工作能力直接决定其性能的优劣。当然这一判断还是对中低端路由器而言，因为高端路由器往往采用分布式处理系统体系设计。

（三）三层交换技术

近年来的对三层技术的宣传，耳朵都能起茧子，到处都在喊三层技术，有人说这是个非常新的技术，也有人说，三层交换嘛，不就是路由器和二层交换机的堆叠，也没有什么新的玩意，事实果真如此吗？下面先来通过一个简单的网络来看看三层交换机的工作过程。组网比较简单

使用IP的设备A————————三层交换机————————使用IP的设备B

比如A要给B发送数据，已知目的IP，那么A就用子网掩码取得网络地址，判断目的IP是否与自己在同一网段。如果在同一网段，但不知道转发数据所需的MAC地址，A就发送一个ARP请求，B返回其MAC地址，A用此MAC封装数据包并发送给交换机，交换机起用二层交换模块，查找MAC地址表，将数据包转发到相应的端口。

如果目的IP地址显示不是同一网段的，那么A要实现和B的通讯，在流缓存条目中没有对应MAC地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先在MAC表中放的是缺省网关的MAC地址；然后就由三层模块接收到此数据包，查询路由表以确定到达B的路由，将构造一个新的帧头，其中以缺省网关的MAC地址为源MAC地址，以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制，确立主机A与B的MAC地址及转发端口的对应关系，并记录进流缓存条目表，以后的A到B的数据，就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。

以上就是三层交换机工作过程的简单概括，可以看出三层交换的特点：

由硬件结合实现数据的高速转发。

这就不是简单的二层交换机和路由器的叠加，三层路由模块直接叠加在二层交换的高速背板总线上，突破了传统路由器的接口速率限制，速率可达几十Gbit/s。算上背板带宽，这些是三层交换机性能的两个重要参数。简洁的路由软件使路由过程简化。大部分的数据转发，除了必要的路由选择交由路由软件处理，都是又二层模块高速转发，路由软件大多都是经过处理的高效优化软件，并不是简单照搬路由器中的软件。

结论

二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由 功能的快速转发的三层交换机就成为首选。

一般来说，在内网数据流量大，要求快速转发响应的网络中，如全部由三层交换机来做这个工作，会造成三层交换机负担过重，响应速度受影响，将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是客户的腰包很鼓，不然就退而求其次，让三层交换机也兼为网际互连。

第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址（VIP），每组服务器支持某种应用。在域名服务器（DNS）中存储的每个应用服务器地址是VIP，而不是真实的服务器地址。

　 当某用户申请应用时，一个带有目标服务器组的VIP连接请求（例如一个TCP SYN包）发给服务器交换机。服务器交换机在组中选取最好的服务器，将终端地址中的VIP用实际服务器的IP取代，并将连接请求传给服务器。这样，同一区间所有的包由服务器交换机进行映射，在用户和同一服务器间进行传输。

第四层交换的原理

　 OSI模型的第四层是传输层。传输层负责端对端通信，即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP（一种传输协议）和UDP（用户数据包协议）所在的协议层。

　 在第四层中，TCP和UDP标题包含端口号（portnumber），它们可以唯一区分每个数据包

包含哪些应用协议（例如HTTP、FTP等）。端点系统利用这种信息来区分包中的数据，尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型，并把它交给合适的高层软件。端口号和设备IP地址的组合通常称作“插口（socket）”。

　 1和255之间的端口号被保留，他们称为“熟知”端口，也就是说，在所有主机TCP/IP协议栈实现中，这些端口号是相同的。除了“熟知”端口外，标准UNIX服务分配在256到1024端口范围，定制的应用一般在1024以上分配端口号.　

分配端口号的最近清单可以在RFc1700”Assigned Numbers”上找到。TCP／UDP端口号提供的附加信息可以为网络交换机所利用，这是第4层交换的基础。

　　"熟知"端口号举例:

　　　　　　应用协议　　　　 端口号

　　　　　　 FTP　　　　　　20（数据）

　　　　　　　　　　　　　　21（控制）

　　　　　　 TELNET　　　　 23

　　　　　　 SMTP　　　　　 25

　　　　　　 HTTP　　　　　 80

　　　　　　 NNTP　　　　　 119

　　　　　　 NNMP　　　　　 16

　　　　　　　　　　　　　　162（SNMP traps）

　 TCP/UDP端口号提供的附加信息可以为网络交换机所利用，这是第四层交换的基础。

　 具有第四层功能的交换机能够起到与服务器相连接的“虚拟IP”(VIP)前端的作用。每台服务器和支持单一或通用应用的服务器组都配置一个VIP地址。这个VIP地址被发送出去并在域名系统上注册。在发出一个服务请求时，第四层交换机通过判定TCP开始，来识别一次会话的开始。然后它利用复杂的算法来确定处理这个请求的最佳服务器。一旦做出这种决定，交换机就将会话与一个具体的IP地址联系在一起，并用该服务器真正的IP地址来代替服务器上的VIP地址。　 每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP 端口相关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服务器之间重新影射和转发，直到交换机发现会话为止。

　 在使用第四层交换的情况下，接入可以与真正的服务器连接在一起来满足用户制定的规则，诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。

如何选用合适的第四层交换

　　a,速度

　 为了在企业网中行之有效，第四层交换必须提供与第三层线速路由器可比拟的性能。也就是说，第四层交换必须在所有端口以全介质速度操作，即使在多个千兆以太网连接上亦如此。千兆以太网速度等于以每秒1488000 个数据包的最大速度路由(假定最坏的情形,即所有包为以及网定义的最小尺寸,长64字节)。

　　b,服务器容量平衡算法

　　依据所希望的容量平衡间隔尺寸，第四层交换机将应用分配给服务器的算法有很多种，有简单的检测环路最近的连接、检测环路时延或检测服务器本身的闭环反馈。在所有的预测中，闭环反馈提供反映服务器现有业务量的最精确的检测。

　　c,表容量

　 应注意的是，进行第四层交换的交换机需要有区分和存贮大量发送表项的能力。交换机在一个企业网的核心时尤其如此。许多第二/ 三层交换机倾向发送表的大小与网络设备的数量成正比。对第四层交换机，这个数量必须乘以网络中使用的不同应用协议和会话的数量。因而发送表的大小随端点设备和应用类型数量的增长而迅速增长。第四层交换机设计者在设计其产品时需要考虑表的这种增长。大的表容量对制造支持线速发送第四层流量的高性能交换机至关重要.

　　d,冗余

　 第四层交换机内部有支持冗余拓扑结构的功能。在具有双链路的网卡容错连接时，就可能建立从一个服务器到网卡，链路和服务器交换器的完全冗余系统。

令狐冲十四岁那年进入华山，那年岳灵珊八岁，岳不群白天给两人指点剑法，晚上令狐冲给小师妹讲故事哄她入睡。后来，岳不群陆续收了劳德诺，陆大有等徒弟， 又忙于修炼紫霞神功，就没有时间指点徒弟。于是他做了一个hub，从此华山派实现教育电子化，岳不群在网上同时给每个徒弟授课，这种方法很快在五岳剑派内 部推广。为了在五岳剑派之间互连，嵩山派掌门左冷禅研制出路由器，使得五岳剑派之间可以互联互通。
令狐冲晚上就通过网络给小师妹讲故事。

很快，岳灵珊已经十六岁，变成了一个亭亭玉立的小姑娘了。令狐冲发现自己的目光总是不由自主的在小师妹身上停留，每次和小师妹在一起的时候，总能听到自己 强烈的心跳声，经过了一段时间的茶饭不思后，终于有一天晚上，令狐冲在网上给小师妹发了一首情意绵绵的诗：你是风儿我是沙，你是蜜蜂我是花，你是梳子我是 头发，你是牙膏我是牙刷。

第二天，华山派开例会，令狐冲怀着忐率不按的心情来到了会议室，发现小师妹红着脸躲在师父后面，而其它的师弟都在偷偷朝自己笑，开完会，一个调皮的师弟就 过来叫牙刷师兄，赶紧蒙面逃走。问陆大有，才知道是劳德诺用一个叫netxray的工具把自己在网上的大作全抓了出来。令狐冲悔恨万分，于是，闭门研究 rfc，成功的研制出lanswitch。它能够识别设备mac地址，这样，令狐冲发送给小师妹的数据只有她一个人能够收到。令狐冲晚上可以在网上放心的 给小师妹讲故事，偶尔手痒还能敲几句平时心里想又说不出口的话来过瘾，然后，红着脸想象小师妹看到后的表情。

lanswitch是二层交换设备，它可以理解二层网络协议地址mac地址。二层交换机在*作过程中不断的收集资料去建立它本身的地址表，这个表相当简 单，主要标明某个mac地址是在哪个端口上被发现的，所以当交换机接收到一个数据封包时，它会检查该封包的目的mac地址，核对一下自己的地址表以决定从 哪个端口发送出去。而不是象hub那样，任何一个发方数据都会出现在hub的所有端口上(不管是否为你所需)。这样，lanswitch在提高效率的同 时，也提高了系统的安全性。

接下来的一年，岳不群大量招收门徒，华山派得以极大的壮大，所使用的lanswitch也多次级连。但门徒中难免鱼龙混杂，当时华山派一批三、四代弟子崇 拜万里独行田伯光，成立了一个田协，经常广播争论比赛八百米还是一千米很合理的问题；第三代弟子中有一个叫李洪至的，每天在华山派内部广播发轮大法；更让 令狐冲受不了的是，随着师父年龄的增大，变得越来越罗嗦，每句话都要重复二十遍，然后在网上广播。令狐冲想和小师妹，陆大有等人专门使用一个广播域，但如 果另外使用一个lanswitch的话，师父肯定不会同意，于是，他修改了lanswitch的软件，把小师妹，陆大有等人和自己划成一个虚拟网 (vlan)，其它人使用另外的vlan，广播包只在vlan内发送，vlan间通过路由器连接。岳不群也深受田协，李洪至其害，但为与左冷禅抗争，用人 之际，只能隐忍，知道了这件事，大为高兴，但仍为令狐冲私自修改软件一事，罚他到思过崖面壁一年，一年之内不得下山。在华山派内重新使用vlan进行子网 划分，分为五个子网，师父和师娘，小师妹还有林平之在一个vlan，发轮功弟子用一个vlan；田协弟子用一个 vlan，其它弟子用一个vlan，而思过崖上也有单独的一个vlan。令狐冲到了思过崖，并不难过，终于，世界安静了，依靠左冷禅的路由器，令狐冲还可 以每天在网上给小师妹讲故事，聊天。

局域网交换机的引入，使得网络节点间可独享带宽，但是，对于二层广播报文，二层交换机会在各网络节点上进行广播；同时，对于二层交换机无法识别的 mac地址，也必须在广播域内进行广播。当多个二层交换机级连时，二层交换网络上的所有设备都会收到广播消息。在一个大型的二层广播域内，大量的广播使二 层转发的效率大大减低，为了避免在大型交换机上进行的广播所引起的广播风暴，需要在一个二层交换网络内进一步划分为多个虚拟网(vlan)。在一个虚拟网 (vlan)内，由一个工作站发出的信息只能发送到具有相同虚拟网号(vlanid)的其他站点，其它虚拟网(vlan)的成员收不到这些信息或广播帧。 采用虚拟网(vlan)可以控制网络上的广播风暴和增加网络的安全性。不同虚拟网(vlan)之间的通信必须通过路由器进行。

但是幸福永远是短暂的，接下来总是无尽的烦恼。随着整个五岳剑派势力的增大，路由器的速度越来越慢。令狐冲发现每次给小师妹讲故事时，小师妹的回答总是珊 珊来吃，而且话也很少，总是"嗯"，"噢"或者"我听着呢"。终于有一天，路由器再也ping不通的，令狐冲三天没有得到小师妹的消息，对着空空的显示 屏，再也忍不住，在一个下着雪的晚上，偷偷下山找小师妹，到了小师妹窗前，发现小师妹正在网上和小林子热烈的聊天，全没注意一边的自己，内心一阵酸痛，回 到思过崖，大病一场。病好后潜心研究，终于有一天，做出来一个路由器，这时，令狐冲发现，此时华山派已经有了三十个vlan，路由器必须为每个 vlan分配一个接口，接口不够用，而且，两个子网内通过路由器的交换速度远远低于二层交换的速度。二层交换机划分虚拟子网后，就出现了一个问题：不同虚 拟子网之间的转发需要通过其它路由器来实现。二层交换机的不同vlan节点间的转发需要通过路由器设备来实现大大浪费了端口，而路由器的高成本，低效率又 使它无法满足大量子网情况下的三层转发需求，三层交换的概念就在这种情况下被提了出来。

这天晚上，令狐冲心灰意懒，借酒消愁，这时，一个黑影出现在他的面前，原来是一个道风仙骨的老人，正是风清扬。风清扬听了令狐冲的疑惑，说：路由器接口不 够，把路由器做在lanswitch内部不就可以了；交换速度慢，是因为路由器查找的是网段路由，而lanswitch直接查mac对应出端口，当然速度 快。为什么不能直接根据ip地址查到出端口呢？令狐冲一听，大为仰慕，但还是不明白，ip地址那么多，而且经常变化，如何能够直接查到出端口呢？风清扬 说：

"你先坐下，让我来问你，华山派有多少弟子？"
"一万六千左右。"
"你全知道他们住哪里吗？"
"不知道。"
"岳不群要你找一个不知道住哪里的人，如何去找？"
"查华山派电话号码查询系统，找到他的地址，然后去找他。"
"如果你回来后再让你找这个人，又如何去找？"
"如何…. ，查华山派电话号码查询系统，找到他的地址，然后去找他。"
"你不知道到这个人的地址吗？"
"知道，但师父说，华山派的地址那么多，而且经常变化，不用知道地址。"
"岳不群这小子，把徒弟都教成木头了！我问你，你自己认为应该如何找？"
"直接去找！"
"好！你这人还不算太苯。那你知道了一个人的地址后，是不是永远记住了？"
"有的人记住了。其它的都忘了。"
"为什么忘了？"
"因为我记不了那么多人，而且一段时间没有去找他。"
"华山派电话号码查询系统里的地址是如何获得的？"
"我在空旷处大喊一声他的名字，他听到后就会来找我，告诉我他的地址。"

风清扬又问了大把类似脑筋急转弯的问题，然后风清扬说："现在你明白根据ip地址直接查出端口的道理了吗？等到你明白这个道理，你自然会做出三层交换机来 "，令狐冲仔细回忆了今天的话，终于明白了和二层转发由mac地址对应到出端口的道理一样，三层转发也可以直接由ip地址对应到出端口，ip地址的路由可 以通过arp来学习，同样需要老化。这样，vlan间转发除第一个包需要通过arp获得主机路由外，其它的报文直接根据ip地址就能够查找到出端口，转发 速度远远高于路由器转发的速度。抬头看时，风清扬已经走了。

一年后，令狐冲下思过崖，成功的推出quidway s8016路由交换机。实现了vlan间的互通，并且与嵩山，黑木崖等路由器实现互通。三层交换机是在二层交换机的基础上增加三层交换功能，但它不是简单 的二层交换机加路由器，二而是采用了不同的转发机制。路由器的转发采用最长匹配的方式，实现复杂，通常使用软件来实现，。而三层交换机的路由查找是针对流 的，它利用cache技术，很容易采用asic实现，因此，可以大大的节约成本，并实现快速转发。很多文章会提及三层交换机和路由器的区别，一般的比较是 三层交换机又快又便宜。这些话没有错，但场合是汇聚层。我们看到，在汇聚层，面向三层交换机直接下挂的主机，因为能够获得其主机路由，所以三层交换机能够 实现快速查找；而对于通过其它路由器连接多个子网后到达的主机，三层交换机和路由器的处理是一样的，同样采用最长匹配的方法查找到下一跳，由下一跳路由器 进行转发。

因此，通常的组网方式是在骨干层使用gsr，汇聚层使用三层交换机。当然，对于一个小型的城域网，也可以直接拿三层交换机组网，不需要gsr。