第三層交換技術(shù)及在VLAN子網(wǎng)規(guī)劃中的應(yīng)用

在傳統(tǒng)的校園網(wǎng)模式中，網(wǎng)絡(luò)互連一般是一個(gè)或多個(gè)主干交換機(jī)下連多級(jí)交換機(jī)，交換機(jī)間通過(guò)路由器來(lái)進(jìn)行通信的結(jié)構(gòu)，傳統(tǒng)路由器工作在OSI模型的網(wǎng)絡(luò)層，并且基于軟件進(jìn)行路由的計(jì)算和包的轉(zhuǎn)發(fā)。
 
　　隨著校園網(wǎng)規(guī)模的擴(kuò)大，用戶的增加，各種基于IP協(xié)議的應(yīng)用（如視頻會(huì)議，遠(yuǎn)程教育）的迅猛發(fā)展，傳統(tǒng)路由在校園網(wǎng)的安全管理和流量控制方面益發(fā)成為一個(gè)瓶頸問(wèn)題，而傳統(tǒng)交換機(jī)雖是有快速處理能力。但它本質(zhì)是一種多端口網(wǎng)橋，不可避免會(huì)產(chǎn)生廣播，無(wú)法實(shí)現(xiàn)路由，為解決這個(gè)矛盾，網(wǎng)絡(luò)廠商提出了第三層交換的思想。

第三層交換技術(shù)工作原理和功能

傳統(tǒng)路由器工作在OSI七層模型的網(wǎng)絡(luò)層,它在網(wǎng)絡(luò)中收到任何一個(gè)數(shù)據(jù)包（包括廣播包），就將該包第二層（數(shù)據(jù)鏈路層）的信息去掉，查看第三層的信息。再根據(jù)路由表確定數(shù)據(jù)包的路由，進(jìn)行第二層信息的封裝，最后將該數(shù)據(jù)包轉(zhuǎn)發(fā)。路由器的瓶頸表現(xiàn)在：它是一個(gè)無(wú)連接設(shè)備，其工作機(jī)制使其成為一個(gè)轉(zhuǎn)發(fā)并遺忘的網(wǎng)絡(luò)設(shè)備。即使是同一源地址向同一目的地址發(fā)出的所有數(shù)據(jù)包，也要重復(fù)相同的路由過(guò)程，這導(dǎo)致路由器不可能具有很高的吞吐量，另外，路由器的復(fù)雜的處理和強(qiáng)大的功能主要是由軟件來(lái)實(shí)現(xiàn)，這必然使得它成為網(wǎng)絡(luò)瓶頸。

在路由技術(shù)發(fā)展的同時(shí)，作為解決網(wǎng)絡(luò)傳輸帶寬的方案之一的交換技術(shù)得到很快的發(fā)展，交換網(wǎng)絡(luò)是以交換器為中心構(gòu)造的網(wǎng)絡(luò)體系。網(wǎng)絡(luò)交換機(jī)與多端口網(wǎng)橋非常相似，因?yàn)樗鼈兌脊ぷ髟跀?shù)據(jù)鏈路層，網(wǎng)絡(luò)交換機(jī)在不同端口間傳遞數(shù)據(jù)時(shí)也是基于數(shù)據(jù)包的目的MAC地址。交換機(jī)的實(shí)現(xiàn)通常采用全硬件結(jié)構(gòu)實(shí)現(xiàn)，速度快，但它和網(wǎng)橋一樣不具有隔離廣播數(shù)據(jù)包的能力。

L3交換技術(shù)（LAYER３SWITCHING）就是綜合以上兩種技術(shù)的優(yōu)點(diǎn)揚(yáng)長(zhǎng)避短而出現(xiàn)的一種新興的網(wǎng)絡(luò)互連技術(shù)，也稱第三層交換技術(shù)。如果僅考慮ＩＰ，就稱為ＩＰ交換技術(shù)。第三層交換式路由器采用了在專門處理數(shù)據(jù)包轉(zhuǎn)發(fā)功能的基礎(chǔ)上又住集成了路由處理功能的ASIC蕊片，將傳統(tǒng)二層交換機(jī)的高速轉(zhuǎn)發(fā)和路由器的路由功能結(jié)合起來(lái)，實(shí)現(xiàn)線速路由，解決了路由器的瓶頸問(wèn)題。Ｌ３交換技術(shù)的解決方案一般有兩類：基于核心模型和基于邊緣多層混合交換模型。前者的代表有cisco公司的netflow交換和tagswitching交換，強(qiáng)調(diào)交換機(jī)核心層的速度，完全用ASIC硬件以線速實(shí)現(xiàn)路由和交換，后者的代表有３com公司的fastip,cabletron公司的虛擬快速安全網(wǎng)絡(luò)，所采用的方法是在第三層路由一次，然后在第二層交換端到端的網(wǎng)絡(luò)流數(shù)據(jù)分組，這就是“一次路由，隨后交換”的策略。

第三層交換式路由器的強(qiáng)大功能體現(xiàn)在：

（1）根據(jù)L3協(xié)議對(duì)路由進(jìn)行計(jì)算，其支持路由協(xié)議有：RIPV1、V2和OSPF等。

（2）支持IGMP，DVMRP等各種常用的IP組播協(xié)議，當(dāng)交換式路由器收到組播報(bào)文后，首先將報(bào)文轉(zhuǎn)發(fā)到包含組播組成員的VLAN上，繼而再把報(bào)文轉(zhuǎn)發(fā)到組播組成員的端口上。

（3）服務(wù)質(zhì)量QoS，將報(bào)文賦予特定的優(yōu)先級(jí)，不同優(yōu)先級(jí)的報(bào)文送到不同的隊(duì)列按先后轉(zhuǎn)發(fā)。

（4）支持標(biāo)準(zhǔn)的SNMP網(wǎng)管協(xié)議，支持傳統(tǒng)的命令行接口（CLI）。

（5）對(duì)虛擬網(wǎng)的多種劃分策略，尤其是它不僅支持傳統(tǒng)的基于端口的VLAN劃分，而且還支持基于IP地址，子網(wǎng)號(hào)和協(xié)議類型的VLAN劃分，這對(duì)園區(qū)網(wǎng)的管理帶來(lái)及大的方便。

因此新型的第三層交換式路由器典型應(yīng)用在園區(qū)和大樓的局域網(wǎng)中，用它做為主干設(shè)備，除了提供報(bào)文轉(zhuǎn)發(fā)的高帶寬外和以上所述功能外，還提供安全，監(jiān)控以及管理和配置等服務(wù)。

三層交換路由器在虛網(wǎng)規(guī)劃中的應(yīng)用

一、VLAN及規(guī)劃策略

虛擬局域網(wǎng)VLAN（VirtualLocalAreaNetwork）又稱虛擬網(wǎng)，從網(wǎng)絡(luò)管理上被定義為一個(gè)位置無(wú)關(guān)的局域網(wǎng)廣播域。VLAN技術(shù)是隨著交換技術(shù)的出現(xiàn)而產(chǎn)生的，在一個(gè)校園網(wǎng)內(nèi)劃分若干虛擬子網(wǎng)有以下好處：

1．隔離廣播。劃分虛擬子網(wǎng)后，所有廣播將局限在本VLAN子網(wǎng)內(nèi)，從而有效的提高了網(wǎng)絡(luò)整體的有效帶寬，隔絕了網(wǎng)絡(luò)的廣播風(fēng)暴。

2．方便的工作組劃分和管理。劃分虛網(wǎng)后，對(duì)工作組的劃分不再局限于他們的物理位置，而可根據(jù)他們的功能進(jìn)行劃分，從而實(shí)現(xiàn)網(wǎng)絡(luò)物理結(jié)構(gòu)和虛擬子網(wǎng)的無(wú)關(guān)性。

3．增強(qiáng)網(wǎng)絡(luò)安全性。由于各VLAN子網(wǎng)在邏輯上的獨(dú)立性，可對(duì)各虛網(wǎng)按實(shí)際情況分別定義安全策略，有效的避免非法入侵，提高各虛網(wǎng)的安全性。

在第三層交換機(jī)面世之前，交換機(jī)所提供的VLAN劃分方式只有兩種。第一是基于端口。即提供把某個(gè)或某幾個(gè)端口上的機(jī)器劃分為一個(gè)VLAN的方法，這和物理網(wǎng)段較為類似，無(wú)法實(shí)現(xiàn)位置無(wú)關(guān)的虛擬網(wǎng)配置。第二是基于MAC地址的。即將子網(wǎng)以MAC地址來(lái)劃分，這種策略實(shí)現(xiàn)了位置無(wú)關(guān)的虛擬網(wǎng)。但子網(wǎng)中結(jié)點(diǎn)的增刪非常不方便。

第三層交換技術(shù)提供了一種全新的VLAN劃分法：

基于IP及策略的VLAN。即不管結(jié)點(diǎn)處于哪一個(gè)物理網(wǎng)段，我們都可以以它們的IP地址為基礎(chǔ)或根據(jù)報(bào)文協(xié)議不同來(lái)劃分子網(wǎng)，這使得網(wǎng)絡(luò)管理和應(yīng)用變得更加方便。

二、第三層交換在校園網(wǎng)VLAN規(guī)劃中的應(yīng)用

第三層交換在劃分虛網(wǎng)時(shí)基于IP策略，這就得在同一端口的物理網(wǎng)段可被劃分為不同的邏輯子網(wǎng)；不同物理網(wǎng)段的結(jié)點(diǎn)被劃分為相同邏輯子網(wǎng)，子網(wǎng)子點(diǎn)信息流量不需路由。充分利用第三層交換所提供的各種VLAN劃分方法，對(duì)網(wǎng)管人員能起到事半功倍的效果。具體在校園網(wǎng)虛網(wǎng)的劃分中：

使得校園網(wǎng)的劃分很容易和校內(nèi)各部門的劃分一致起來(lái)，盡管校內(nèi)某一部門站點(diǎn)分布在不同物理位置，但基于IP地址劃分子網(wǎng)，能使得同一部門在不同物理網(wǎng)段的結(jié)點(diǎn)可被設(shè)為同一邏輯子網(wǎng)，實(shí)現(xiàn)與物理位置的無(wú)關(guān)性。

對(duì)于網(wǎng)絡(luò)中心，財(cái)務(wù)部門等要害部門可采用基于傳統(tǒng)的MAC地址的VLAN劃分技術(shù)，以防止非授權(quán)結(jié)點(diǎn)在該子網(wǎng)中的出現(xiàn)。

對(duì)于學(xué)生宿舍等比較分散、物理子網(wǎng)比較多，難以有效管理的地方可采用混合策略，如在同一端口細(xì)分不同的邏輯虛擬子網(wǎng)或基于MAC地址劃分子網(wǎng)，以盡量減少IP地址盜用和其它安全問(wèn)題。

結(jié)語(yǔ)

第三層交換技術(shù)是一種比較新的技術(shù)，它的體系結(jié)構(gòu)不僅對(duì)提高園區(qū)內(nèi)部網(wǎng)性能有重大影響，而且，影響未來(lái)園區(qū)網(wǎng)路由的設(shè)計(jì)思想。它提供的新的虛網(wǎng)規(guī)劃策略將極大的方便用戶對(duì)網(wǎng)絡(luò)的管理和應(yīng)用。