2.2.4 私有虚拟网技术
通过私有虚拟网技术( Private Virtual Local Area Network, PVLAN)可以实现端口之间相互隔离,满足网络接入用户的安全性要求,避免用户信息和数据的泄露,防止非法攻击和窃取。在使用私有 VLAN 时,各接入端口间不可以相互通信,仅可通过上连端口访问网络资源。需要注意的是,第二层交换机和第三层交换机都可以创建 PVLAN。
1. VLAN 的局限性
随着局域网络应用的不断丰富,对网络数据通信的安全性将提出更高要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性。传统的解决方法是给每个客户分配一个 VLAN 和相关的 IP 子网,通过使用 VLAN,每个用户被从第二层隔离开,可以防止任何恶意的行为和网络信息探听。然而,这种为每个客户分配单一 VLAN 和 IP 子网的模型造成了可扩展的局限。主要表现在以下几个方面。
VLAN 的限制。交换机固有的 VLAN 总数支持的限制(例如, Cisco Catalyst 2960 最多支持 255 个 VLAN),导致局域网络不能划分太多数量的 VLAN,从而限制了网络应用。
复杂的 STP。对于每个 VLAN,每个相关的 Spanning Tree 的拓扑都需要管理,管理复杂繁琐。
IP 地址的紧缺。 IP 子网的大量划分势必造成大量 IP 地址的浪费,加之 IP 地址资源紧张,使 IP 地址的分配变得更加困难。
路由的限制。每个子网都需要相应的默认网关的配置,管理起来非常麻烦,而且增加了路由设备的负担,影响网络传输效率。
2. PVLAN 技术
同一 PVLAN 内连接到各端口的计算机彼此相互隔离,即使它们位于同一 IP 地址段,拥有相同的子网掩码和默认网关,也无法实现彼此之间的通信。若欲实现不同端口间的通信,只能经过默认网关,在第三层交换机中实现。
PVLAN 的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个 PVLAN 不需要多个 VLAN 和 IP 子网就提供了具备第二层数据通信安全性的连接。所有用户都接入 PVLAN,从而实现了所有用户与默认网关的连接,而与 PVLAN内的其他用户没有任何访问。 PVLAN 功能可以保证同一个 VLAN 中的各个端口相互之间不能通信,但可以穿过 Trunk 端口。这样,即使同一 VLAN 中的用户,相互之间也不会受到广播的影响,如图 2-9 所示。
由此可见, PVLAN 技术在解决通信安全、防止广播风暴和浪费 IP 地址方面的优势是显而易见的,而且采用 PVLAN 技术有助于网络的优化。另外, PVLAN 的配置也相对简单,不必占用 VLAN 资源。
2.3 多层交换技术
交换机是典型的 OSI 二层设备,借助源和目的 MAC 地址实现端口间的快速转发。然而,随着虚拟网技术的推出,为了实现虚拟网络之间的快速路由转发,三层技术应运而生。而为了实现对各种网络服务的快速访问,四层技术也成为核心层交换机的必备。
2.3.1 第三层交换技术
在计算机数量众多的局域网络中,为了提高网络安全性和通信效率必须划分 VLAN,而不同 VLAN 间的通信只有通过路由设备才能实现。
如果使用传统路由器作为 VLAN 间的路由设备,将由于其吞吐量太小而很难适应大规模、高速率网络传输的需要,这无疑将成为千兆位以太网或万兆位以太网网络传输的瓶颈。于是,专门用于解决 VLAN 间通信的、集第三层转发与第二层交换于一身的第三层交换技术产生了。第三层交换机实际上是使用了集成电路的路由器,但比传统的路由器提供了更高的速度和更低的成本,也比传统的路由器更易于管理。正因为第三层交换机集成了路由器的功能,所以第三层交换机也被称为路由交换机( Routing Switch)。
由此可见,划分 VLAN 的网络必须使用三层交换机,否则 VLAN 之间将无法实现彼此之间的通信,如图 2-10 所示。
第三层交换机根据 OSI 参考模型网络层(即第三层)的 IP 地址完成端到端的数据交换,主要应用于不同 VLAN 子网间的路由。当某一信息源的第一个数据流进行第三层交换(路由)后,交换机会产生一个 MAC 地址与 IP 地址的映射表,并将该表存储起来,如同一信息源的后续数据流再次进入交换机,交换机将根据第一次产生并保存的地址映射表,直接从第二层由源地址传输到目的地址,不再经过第三层路由系统处理,提高了数据包的转发效率,解决了VLAN 子网间传输信息时传统路由器产生的速率瓶颈。
第三层交换技术的强大功能表现在:
根据第三层协议对路由进行计算,其支持的路由协议包括 RIP( Routing Information
Protocol,路由选择信息协议)和 OSPF( Open Shortest Path First,开放最短路径优先)等常用路由协议。
支持 IGMP( Internet Group Management Protocol, Internet 组管理协议)、 DVMRP
( Distance Vector Multicast Routing Protocol,距离矢量组播路由选择协议)等各种常用的 IP 组播协议,当交换式路由器收到组播报文后,首先将报文转发到包含组播组成员的 VLAN 上,继而再把报文转发到组播组成员的端口上。
支持服务质量( QoS),将报文赋予特定的优先级,不同优先级的报文送到不同的队列按先后转发。
支持标准的 SNMP( Simple Network Management Protocol,简单网络管理协议)协议,支持传统的命令行界面( Command Line Interface, CLI)。
对虚拟网的多种划分策略,尤其是它不仅支持传统的基于端口的 VLAN 划分,而且还支持基于 IP 地址,子网号和协议类型的 VLAN 划分,这给园区网的管理带来极大的方便。
2.3.2 第四层交换技术
OSI 参考模型的第四层是传输层。传输层负责端到端通信,即在网络源和目标系统之间协调通信,是 IP 协议栈中 TCP(传输控制协议)和 UDP(用户数据报协议)所在的协议层。 TCP和 UDP 包含端口号,用于区分数据包所包含的应用协议(如 HTTP、 FTP、 E-mail 等)。第四层交换技术正是利用 TCP/UDP 端口号所提供的信息来区分包中的数据。
第四层交换技术不仅可以完成端到端交换,还能根据端口主机的应用特点,确定或限制其交换流量。简单地说,第四层交换技术是基于传输层数据包的交换过程的,是一类基于TCP/IP 协议应用层的应用交换需求的新型局域网交换机,可以根据 TCP/UDP 端口号区分数据包的应用类型,从而实现应用层的访问控制和服务质量保证。通过查看第三层数据包头源地址和目的地址的信息,采取相应的动作,实现带宽分配、故障诊断和对 TCP/IP 应用程序数据流进行访问控制等功能。通过任务分配和负载均衡优化网络,提供详细的流量统计信息和记账信息等方式,在应用的层级上解决网络拥塞、网络安全和网络管理等问题,使网络具有智能和可管理等特性。
图 2-11 所示为四层交换机将不同的访问请求直接转发到提供相应服务的端口,从而实现对网络服务的高速访问。
第四层交换技术的主要功能如下:
数据包过滤。采用第四层信息端口号定义访问控制列表过滤规则,并借助 ASIC 专用
高速芯片实现线速过滤控制。
服务质量。借助 TCP/UDP 第四层的端口号(即网络应用)信息区分优先级,设置优
先级队列,确保重要的流量(如 VoIP、视频会议等对实时性要求较高的应用)得到
最快的处理,使紧急应用获得网络的高级别服务。
负载均衡。按照 IP 地址和 TCP 端口进行虚拟连接的交换,直接将数据包发送到目的
计算机的相应端口中,从而实现完美的服务器负载均衡。由于第四层交换基于硬件芯
片,因此性能非常优秀。采用第四层交换机设备,所有的群集主机通过第四层交换机
与外部网络相连,外部客户访问服务器时通过第四层交换机动态分配服务器,实现动
态负载均衡,当其中一台服务器出现故障时,由交换机动态将所有流量分配到群集中
的其他主机上。
主机备用连接。主机备用连接为端口设备提供了冗余连接,从而在交换机发生故障时
有效保护系统,这种服务允许定义主交换机和备用交换机,同虚拟服务器定义一样,
它们有相同的配置参数。由于第四层交换机共享相同的 MAC 地址,备份交换机接收
和主单元全部一样的数据,使得备份交换机能够监视主交换机服务的通信内容。主交
换机持续地通知备份交换机第四层数据、 MAC 数据,以及电源状况。主交换机失败
时,备份交换机就会自动接管,不会中断对话或连接。
统计与报告。通过查询第四层数据包,第四层交换机能够提供更详细的统计记录。因
为管理员可以收集更详细的、哪个 IP 地址在进行通信的信息,甚至可根据通信中涉
及到哪个应用层服务来收集通信信息。当服务器支持多个服务时,这些统计对于考察
服务器上每个应用的负载尤其有效。增加的统计服务对于使用交换机的服务器负载均
衡服务连接同样十分有用。
2.4 链路冗余技术
冗余是达成高可用性目的的根本手段。也就是说,若欲打造高可用性网络,那么,除了
网络设备的冗余之外,链路冗余也是必不可少的。甚至可以说,没有链路冗余就不可能真正实
现网络的高可用性。
2.4.1 扩展树技术
扩展树( Spanning Tree),也称生成树,它的产生源于链路的冗余连接。扩展树协议指通
过一定算法,使任意两个节点间有且只有一条路径连接。这就好像是一棵树,从树根开始长起,
然后是树干、树枝,最后到树叶,从而保证任意两片树叶间只有一条路径。
1. 扩展树的作用
在大中型的局域网络中,与中心交换机和服务器的连接非常重要,而端口或交换机却不
可避免地存在着发生故障的可能性。那么,如何保证在一条链路发生故障之后,还能通过其他
链路保持连接不被中断呢?这自然就要采用冗余链接(如图 2-12 所示)。然而,冗余的链接虽然增加了系统的安全性,但同时也带来了另外一个问题,那就是链路循环(拓扑环),使得数据在交换机之间循环传递,并最终导致网络瘫痪。
既然冗余备份是必需的,而又不能让两条以上的链路同时工作,那么唯一途径就是让两条链路中的一条处于工作状态,而另一条处于待命状态。处于待命状态的备份链路必须同时具有监视主链路工作状况的能力,并在主链路发生故障时,立即投入使用。这样既起到了备份的作用,又保证网络不会陷入死循环。于是,扩展树的思路诞生了。
另外,借助于扩展树技术,即使由于网络管理员的错误连接而导致了网络的拓扑环路,网络仍然可以正常运行,从而保证网络的连接稳定。
2. STP
通过一定算法, STP 使任意两个节点间有且只有一条路径连接,而其他的冗余链路则被自动阻塞,作为备份链路。只有当活动链路失败时,备份链路才会被激活,从而恢复设备之间的连接,保证网络的畅通。
STP 简介
STP 协议是用来避免链路环路产生的广播风暴、并提供链路冗余备份的协议。
对二层以太网而言,交换机之间只能有一条活动着的通路,否则就会产生广播风暴。但是,为了提高局域网的可靠性,建立冗余链路又是必要的,其中的一些链路必须处于备份状态,如果当网络发生故障,另一条链路失效时,冗余链路就必须被提升为活动状态。手工控制这样的过程显然是一项非常艰苦的工作, STP 协议就自动地完成这项工作,使交换机起到以下作用。
发现并启动局域网的一个最佳树型拓朴结构。
发现故障并随之进行恢复,自动更新网络拓扑结构,使在任何时候都选择了可能的最佳树型结构。
这就好像是一棵树,从树根开始长起,然后是树干、树枝,最后到树叶,从而保证任意两片树叶间只有一条路(如图 2-13 所示)。而链路选举的标准就是优先级值( Priority)和端口开销( Cost)。不过, Spanning-Tree 的优点是可以在任何端口实现,而不一定是固定的双绞线端口或光纤端口。
与 EtherChannel 不同,STP 只能保证在两台设备间拥有一条活动链路,因此,也就无法实现带宽加倍和负载均衡。
STP 算法
IEEE 802.1D 标准定义了 STP 的生成树算法。该算法依赖于 BID、路径开销和端口 ID 参数来做出决定。
BID(网桥 ID)
决定了桥接网络的中心,称为根网桥或根交换机。 BID 参数是一个 8 字节域,前 2 个字节(十进制数)称为“网桥优先级”,后 6 个字节(十六进制数)是交换机的一个 MAC 地址。网桥优先级小的 BID 优先,当网桥优先级相同时, BID 中的后 6 个字节的 MAC 小的则 BID优先。
路径开销
决定到根网桥(根交换机)的路径。路径开销是用来衡量网桥之间的距离的远近的,路径开销与跳数无关,其值是两个网桥之间某条路径上所有链路开销的总和。最小的路径开销是到根交换机的最佳路径。带宽越大, STP 开销越小。
端口 ID
也决定到根交换机的路径。由 2 个字节组成,包括“端口优先级”和“端口号”,各占 8位。端口 ID 大小的判定与 BID 相同。
STP 通过发送 BPDU( Bridge Protocol Data Unit,网桥协议数据单元)传递生成树协议,并执行判别过程,以生成无拓扑环的网络拓扑。 BPDU 是网桥之间用来交换生成树信息的特殊帧,包括根 BID、根路径开销、发送者 BID 和端口 ID 信息。 BPDU 在网桥之间传播,包括交换机和所有配置来进行桥接的路由器。
判别过程如下:
( 1) 确定根交换机。
( 2) 计算到根交换机的最小路径开销。
( 3) 确定最小的发送者 BID。
( 4) 确定最小的端口 ID。
网桥为每个端口存储一个其收到的最佳 BPDU,当有其他 BPDU 到达交换机的端口时,将依据上述顺序判断此 BPDU 是否比原来存储的 BPDU 更好。如果新收到的 BPDU(或者本地生成的 BPDU)更好,则替换原有值。
当一个网桥第一次被激活时,其上所有端口每隔一个 HELLO 时间(默认 2 s)发送一次BPDU;如果一个端口发现从其他网桥收到的 BPDU 比自己发送的好,则本地端口就停止发送BPDU;如果在最大老化时间(默认 20 s)内没有从邻居网桥收到更好的 BPDU,则本地端口重新开始发送 BPDU,即最大老化时间是最佳 BPDU 的超时时间。
暂无评论内容