2.2 交换机技术

交换机作为网络的核心，决定着网络的性能和效率，也决定着网络的安全性和稳定性。随着交换机技术的不断发展，交换机变得越来越成熟、越来越智能化。

>>>2.2.1 高速链路技术

1.千兆以太网技术

千兆以太网技术是在100Base-TX和100Base-FX基础上发展起来的超高速网络技术，提供高达1000Mbps的连接速率。该技术一经提出就得到了网络界人士的普遍关注，使得被业界一致公认的网络主干升级技术ATM失去了原有的吸引力。

（1）千兆以太网的主要特点

千兆以太网具有以下主要特点：

➢ 简易性

千兆以太网继承了以太网和快速以太网简易性的特征，因此其技术原理、安装实施和管理维护均十分简单。

➢ 扩展性

由于千兆以太网采用了以太网、快速以太网的基本技术，因此由10Base-T、100Base-TX升级到千兆以太网非常容易。

➢ 可靠性

由于千兆以太网保持了以太网、快速以太网的安装维护方法，采用星型网络结构，因此网络具有很高的可靠性。

➢ 经济性

由于千兆以太网是10Base-T和100Base-T的继承和发展，一方面降低了研究成本，另一方面由于10Base-T和100Base-TX的广泛应用，作为其升级产品，千兆以太网的大量应用只是时间问题。为了争夺千兆以太网这个巨大市场，几乎所有著名的网络公司都生产千兆以太网产品，因此其价格将会逐步下降。千兆以太网与ATM等宽带网络技术相比，其价格优势非常明显。

➢ 可管理维护性

千兆以太网采用基于简单网络管理协议（SNMP）和远程网络监视（RMON）等网络管理技术，许多厂商开发了大量的网络管理软件，使千兆以太网的集中管理和维护非常简便。

➢ 广泛应用性

千兆以太网位于局域主干网和城域主干网（借助单模光纤和光收发器）提供了一种高性能价格比的宽带传输交换平台，使得许多宽带应用能施展其魅力。例如，在千兆以太网上开展视频点播业务和虚拟电子商务等。

（2）千兆以太网应用方案

千兆以太网联盟（GEA）为千兆位以太网的应用提出以下几种具体方案：

➢ 网络主干升级

在不对原有传输光缆作任何改变的情况下，只需将网络中心交换机由原来的快速以太网交换机更换为千兆以太网交换机，即可将校园网络的主干提升至千兆，从而全面改善原有的网络性能，不仅简单易行投资小，而且网络从此将变得畅通无阻。

➢ 服务器链路升级

将安装有千兆以太网卡的服务器直接与千兆以太网交换机进行连接，全面升级服务器至交换机的通信链路，为服务器提供无阻塞的千兆线速交换能力，为实现网络的多媒体应用奠定基础。无论采用光缆连接还是非屏蔽双绞线连接，都不会有太大的投入，但都将使局域网络的服务质量迈上一个新的台阶，并为校园网络的多媒体应用奠定坚实的基础。

➢ 升级交换机之间的连接

一旦主干传输速度提高到了1Gbps，其他网络设备自然成为下个升级的目标。将在原有的快速以太网交换机中直接增加1000Mbps模块或索性更换1000Mbps交换机都是快捷的升级方法。

➢ 桌面交换机连接升级

千兆到桌面。高性能工作站安装千兆位以太网卡，直接与千兆位以太网相连，从而实现桌面台式机的千兆位网络连接。

千兆以太网支持新的全双工操作模式，在一对线上可以同时用于发送和接收信息，因此，无须采用CSMA/CD机制。各工作站传输的数据在不同的线对进行，传输之前无须再等待，也没有了冲突的发生，从而在点对点交换链路中可以提供更宽的带宽。图2-9所示的全部连接均为千兆。

2.万兆以太网技术

目前万兆以太网（10 Gigabit Ethernet）技术已经十分成熟，并且是过去以太网技术的延伸，因此，在既有的网络市场上，其将会有较大的发挥空间。不过，由于10Gbps设备的价格非常昂贵，因此，目前只被应用于网络高速骨干链路。

（1）10Gbps网络技术特点

万兆以太网相对于以往代表最高适用度的千兆以太网拥有着绝对的优势和特点。

➢ 结构简单

万兆以太网结构简单，管理方便，价格低廉，是一种只采用全双工与光纤的技术，其物理层（PHY）和OSI模型的第一层（物理层）一致，它负责建立传输介质（光纤或铜线）和MAC层的连接，此处MAC层相当于OSI模型的第二层（数据链路层）。在网络的结构模型中，把PHY进一步划分为物理介质关联层（PMD）和物理代码子层（PCS）。光学转换器属于PMD层。PCS层由信息的编码方式（如64B/66B）、串行或多路复用等功能组成。由于没有采用访问优先控制技术，简化了访问控制的算法，从而简化了网络的管理，并降低了部署的成本，因而得到了广泛的应用。

➢ 技术兼容

万兆以太网技术基本承袭了以太网、快速以太网及千兆以太网技术，因此，在用户普及率、使用方便性、网络互操作性及简易性上皆占有极大的引进优势。在升级到万兆以太网解决方案时，用户不必担心既有的程序或服务是否会受到影响，升级的风险非常低，同时在未来升级到40Gbps甚至100Gbps都将是很明显的优势。

以太网的可平滑升级保护了用户的投资，它的改进始终保持向前兼容，使得用户能够实现无缝的升级，同时既不需要额外的投资升级上层应用系统，也不影响原来的业务部署和应用。

➢ 宽带更高

万兆标准意味着以太网将具有更高的带宽（10Gbps）和更远的传输距离（最长传输距离可达40 km）。过去有时需采用数个千兆捆绑以满足交换机互连所需的高带宽，因而浪费了更多的光纤资源，现在可以采用万兆互联，甚至4个万兆捆绑互联，达到40Gbps的宽带水平。

随着网络应用的深入，WAN/MAN与LAN融和已经成为大势所趋，各自的应用领域也将获得新的突破，而万兆以太网技术让工业界找到了一条能够同时提高以太网的速度、可操作距离和连通性的途径，万兆以太网技术的应用必将为三网发展与融和提供新的动力。

➢ 易于管理

万兆以太网技术提供了更多的更新功能，大大提升了QoS功能，具有革命性意义，因此，能更好地满足网络安全、服务质量、链路保护等多个方面需求。采用万兆以太网，网络管理者可以用实时方式，也可以用历史累积方式轻松地看到第2层到第7层的网络流量。允许“永远在线”监视，能够鉴别干扰或入侵监测，发现网络性能瓶颈，获取计费信息或呼叫数据记录，从网络中获取商业智能。

（2）10Gbps应用领域

10Gbps应用领域主要包括：

➢ 交换机之间互联

过去，必须采用数个千兆捆绑，以满足交换机互联所需的高带宽，因此浪费了更多的光纤链路资源。现在，可以采用万兆实现核心交换机与汇聚交换机的互联（如图2-10所示），甚至实现4个万兆链路的捆绑互联，从而达到40Gbps的宽带水平。

➢ 数据中心或服务器群组网络中作为宽带汇聚

文件和数据服务器所需要的数据带宽是非常可观的，在越来越多的服务器改用千兆以太网作为上连技术后，升级到万兆以太网在服务质量及成本上都将占有相对的优势。

➢ 城域网宽带汇聚与骨干更新

在宽带城域网的大量建设中，接入层会有越来越多的万兆或千兆以太网上连到城域网的汇聚层，而汇聚层也会有越来越多的千兆以太网上连到城域网的骨干层，这使得像万兆或万兆捆绑这样的宽带需求在城域网中的汇聚层及骨干层有极大的市场需求。

➢ 宽带广域网

由于以太网的价格优势，且万兆以太网又支持与SONET/SDH基础架构的无缝连接，这使得万兆以太网方案将在广域网市场取得一定的发展。

➢ 存储网络

万兆以太网不仅可以满足存储设备的高速互联，还可以实现存储设备的备份及灾难恢复。出于成本的考虑，万兆以太网可以在这个新兴的应用上得到发挥。

➢ 高性能计算应用

研究机构可以将很多独立的高速CPU连接到一起，利用万兆以太网或万兆以太网通道连接传输大量的处理器间通信，这对于确保一个大规模的分布式超级计算机集群的最佳性能至关重要。

从国内市场来看，教育科研网络、电信及存储网络将率先采用万兆以太网技术。

>>>2.2.2 冗余链路技术

由于物理链路和网络模块的损坏都将导致网络链路的失败，因此，两个设备之间，特别是核心交换机与汇聚交换机之间的单链路，是影响网络可用性的重要因素。借助于链路冗余技术，可以在网络设备之间创建两条以上的链路，从而提高网络的可用性。

1.扩展树技术

当前和STP相关的协议有：IEEE 802.1D（STP）、802.1W（RSTP）、802.1（MSTP）。其中，802.1D是最早关于STP的标准；RSTP（Rapid Spanning Tree Protocol）是STP的扩展，其主要特点是增加了端口状态快速切换的机制，能够实现网络拓扑的快速转换；MSTP（Multiple Spanning Tree Protocol）提出了多生成树的概念，可以把不同的VLAN映射到不同的生成树，从而达到网络负载均衡的目的。

（1）STP

扩展树（Spanning Tree），也称生成树，它的产生源于链路的冗余连接。扩展树协议指通过一定算法使任意两个节点间有且只有一条路径连接。这就好像是一棵树，从树根开始长起，然后是树干、树枝，最后到树叶，需要注意的是，必须保证任意两片树叶间只有一条路。

在大中型的局域网络中，由于与中心交换机和服务器的连接非常重要，而端口或交换机却不可避免地存在着发生故障的可能性。那么，如何保证在一条链路发生损坏之后，还能通过其他链路保持连接不断呢？这自然就要采用冗余链接（如图2-11所示）。然而，冗余的链接虽然增加了系统的安全性，但同时也带来了另外一个问题，那就是网桥循环（拓扑环），使得数据在交换机之间循环传递，并最终导致网络瘫痪。

既然冗余备份是必需的，而又不能让两条以上的链路同时工作，那么，唯一途径就是让两个链路中一条处于工作状态，而另一条处于待命状态。处于待命状态的备份链路必须同时具有监视主链路工作状况的能力，并在主链路发生故障时，立即投入使用。这样，既起到了备份的作用，又保证网络不会陷入死循环。于是，扩展树的思路诞生了。

另外，借助于扩展树技术，即使由于网络管理员的错误连接而导致了网络的拓扑环路，网络仍然可以正常运行，从而保证网络的连接稳定。

（2）RSTP

RSTP（Rapid Spanning Tree Protocol）是快速生成树协议的英文缩写，该协议通过快速生成树算法在交换网络中阻断部分冗余路径，建立起无环路的树状网络。RSTP所采用的快速生成树算法是一个分布式算法，它运行在一个bridged-lan中的所有网桥上，负责为该bridged-lan计算出简单连通的树形活动拓扑（active topology），计算时选择一个网桥作为树根（即根网桥），同时为所有网桥的所有端口指定角色。RSTP是STP扩展，其主要特点增加了端口状态的快速切换机制，能够实现网络拓扑的快速转换。

RSTP算法基本和IEEE 802.1d标准中定义的STP算法一致，唯一不同的是RSTP解决了STP算法对任何端口只要从blocking状态迁移到forwarding状态必须经过2*forward-delay时间的缺点，它针对各种端口在拓扑结构中角色的不同，对某些端口实现了从blocking状态到forwarding状态的瞬间迁移或快速迁移。

RSTP根据端口在活动拓扑中的作用，定义了5种端口角色：非活动端口（disabled port）、根端口（root port）、指定端口（designated port）以及为支持RSTP的快速特性规定的替代端口（alternate port）和备份端口（backup port）。下面简单介绍各种端口角色在活动拓扑中的作用：

➢ 非活动端口不参与RSTP的运算。

➢ 根端口其所在网桥连接到根网桥，并且网桥通过根端口到达根网桥的路径代价最低。

➢ 指定端口通过其所在网桥将连接在其上的一个局域网连接到根网桥。

➢ 替代端口提供网桥到根网桥除了根端口到根网桥的路径外的替代路径。

➢ 备份端口为处在网桥下游的（远离树根方向的）局域网提供到根网桥的替代路径。

其中，根端口和指定端口是活动拓扑的一部分，它们进行地址学习并且正常地转发数据。替代端口、备份端口和非活动端口则不是活动拓扑的组成部分，它们不进行地址学习和数据转发。

（3）MSTP

MSTP（Multiple Spanning Tree Protocol，多生成树协议）将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。MSTP兼容STP和RSTP，并且可以弥补STP和RSTP的缺陷。它既可以快速收敛，也能使不同VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。STP分为CST、MST两种模式，用户可以根据需要选择合理的模式：

➢ CST模式

CST（Common Spanning Tree）整个网络形成一颗生成树，STP基于端口设置状态。如STP设置端口阻塞，则所有VLAN在该端口上都处于阻塞状态。该模式的特点是配置、实现简单，适合小型网络。缺点是没有VLAN的概念，当用户VLAN的拓扑配置不相同时，可能造成部分VLAN不能正常通信。

➢ MST模式

MST（Multiple Spanning Tree）是对CST的扩展，其有如下特点：

● 可以把多台交换机虚拟成一个MST域，该MST域类似CST的一个桥，和CST桥互通。

● 在MST域内，可以把具有相同拓扑的多个VLAN映射到一个生成树实例，即MSTI（Multiple Spanning Tree Instance）。每个MSTI在域内可以有不同的拓扑，以实现流量均衡的目的。

2.链路汇聚技术

链路汇聚（Multi Link Trunk，MLT）是指将多个交换机之间、交换机和路由器之间，以及交换机和服务器之间的并行链路同时使用，以增加设备间传输带宽的技术，如图2-12所示。3Com产品中称之为链路聚集，Cisco产品中称之链路汇聚（EtherChannel）。

使用端口聚合协议（Port Aggregation Protocol，PAgP）或链路汇聚控制协议（Link Aggregation Control Protocol，LACP）可以将交换机之间、交换机和路由器之间以及交换机和服务器之间的最多8条链路绑定在一起，叠加其传输带宽，消除骨干网络的传输瓶颈，从而使快速以太网（Fast Ethernet）、千兆以太网（Gigabit Ethernet）和万兆以太网（10 Gigabit Ethernet）分别实现最高800Mbps、8Gbps和80Gbps的连接带宽。

EtherChannel的作用有以下几点：

➢ 扩展网络带宽。对于10/100Mbps端口而言，Fast EtherChannel（FEC）无疑是一种廉价的千兆以太网解决方案；对于1000Mbps端口而言，Gigabit EtherChannel（GEC）则成倍地增加了网络带宽，消除了交换机之间由于级联而产生的瓶颈，满足交换机之间以及交换机与服务器之间的大量数据交换；对于10Gbps端口而言，10Gigabit EtherChannel提供了无与伦比的网络带宽，完全可以实现任何网络应用的无阻塞传输。

➢ 负载分担均衡。所谓负载分担，是指当交换机之间或交换机与服务器之间在进行通信时，端口聚合的所有链路将同时参与数据的传输，从而使所有的传输任务都能在极短的时间内完成。线路占用的时间更短，网络传输的效率更高。

➢ 线路冗余备份。所谓线路备份，是指当部分端口聚合链路出现故障时，并不会导致连接的中断，其他链路将能够不受影响的正常工作，从而增强了网络的稳定性和安全性。

>>>2.2.3 虚拟局域网技术

随着网络内计算机数量的增多，广播包的数量也会急剧增加。当广播包的数量占到通信总量的30%时，网络的传输效率将会明显下降。所以，当局域网内的计算机达到一定数量后（通常限制在200台以内），通常采用划分虚拟局域网（Virtual Local Area Network，VLAN）的方式将网络分隔开来，将一个大的广播域划分为若干个小的广播域，以减小广播风暴对网络的影响，此时子网之间进行通信也必须通过路由设备。

1.VLAN的意义和作用

在局域网络中使用VLAN技术，具有以下重要意义和作用：

➢ 降低移动和变更的管理成本。VLAN中的成员与其物理位置无关，既可连接至同一台交换机，也可连接至不同交换机。当需要把一台计算机从一个子网转移到另一个子网时，迁移工作将只是由网络管理员在用作网络管理的计算机上重新定义一下VLAN成员即可。

➢ 控制广播。由于所有的广播都只在本VLAN内进行，而不再扩散到其他VLAN上，所以将大大减少广播对网络带宽的占用，提高带宽传输效率，并可有效地避免广播风暴的产生。

➢ 增强安全性。VLAN的一个重要好处就是提高了网络安全性。由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接相互访问。因此，通过划分VLAN，就可以在物理上防止某些非授权用户访问敏感数据。

➢ 网络监督和管理的自动化。由于网络管理员可以通过网管软件，查到VLAN间和VLAN内通信的数据报的细目分类信息，以及应用数据报的细目分类信息，而这些信息对于确定路由系统和经常遭到访问的服务器的最佳配置十分有用。通过划分VLAN，可以使网络管理变得更简单、更轻松、更有效。

2.VLAN的类型及适用

当VLAN在交换机上划分后，不同VLAN间的设备就如同是被物理的分割。也就是说，连接到同一交换机但处于不同VLAN的设备，就如同被物理的连接到两个位于不同网段的交换机上—样，彼此之间的通信一定要经过路由设备。常见的VLAN划分方式包括：基于端口、基于MAC地址、基于IP地址和基于组播等几种。

（1）基于端口的VLAN

基于端口的VLAN是最常使用的VLAN划分方式，几乎被所有的交换机所支持。所谓基于端口的VLAN，是指由网络管理员使用网管软件或直接设置交换机，将某些端口直接强制性地分配给某个VLAN（如图2-13所示）。除非网管人员重新设置，否则这些端口将一直保持对该VLAN的从属性，即属于该VLAN。因此，这种划分方式也称为静态VLAN。这种方法虽然在网络管理员进行VLAN划分操作时会比较麻烦，但相对安全，并且容易配置和维护。同时，由于不同VLAN间的端口不能直接相互通信，因此，每个VLAN都有自己独立的生成树。此外，交换机之间在不同VLAN中可以有多个并行链路，以提高VLAN内部的交换速率，增加交换机之间的带宽。

需要注意的是，不仅可以将同一交换机的不同端口划分为同一VLAN，而且还可以设置跨越交换机的VLAN（如图2-14所示），即将不同交换机的不同端口划分至同一VLAN，这就完全解决了位于不同物理位置和连接至不同交换机中的用户如何使之处于同一VLAN的难题。例如，在一个拥有数百台计算机的校园网中，为了提高网络传输效率，可以将所有用户划分为行政、教学和教辅3个VLAN。虽然各学院、系、教研室位于不同的建筑物内，连接至不同的交换机，但仍然能够根据其连接的端口将其划分至同一VLAN。

不同交换机上具有相同ID的VLAN，可借助一条链路实现彼此之间的连接。用于连接VLAN的链路，称之为VLAN中继（VLAN Trunk）。

（2）基于MAC的VLAN

所谓基于MAC的VLAN，是指借助智能管理软件根据MAC地址来划分VLAN。该划分方式一般用在每一交换机端口只连接一个终端的情况。当端口连接至集线器或傻瓜交换机时，该种划分方式并不适用。端口借助网络包的MAC地址、逻辑地址或协议类型来确定其VLAN的从属，从而将端口划分至不同的VLAN。

当一个网络节点刚连接到交换机时，此时交换机端口尚未分配，于是，交换机通过读取网络节点的MAC地址，动态地将该端口划入某个VLAN。一旦动态VLAN配置完成，用户的计算机就可以随意改变其连接的交换机端口，而不会由此而改变自己的VLAN。当网络中出现未定义的MAC地址，交换机可以按照预先设定的方式向网管人员报警，再由网管人员作相应的处理。

例如，网络管理员有一台笔记本电脑，由于工作性质的关系，需要经常到各部门联机工作。当该笔记本电脑从端口A移动到端口B时，交换机能够自动识别经过端口B的源MAC地址，自动把端口A从当前VLAN中删除，而把端口B定义到当前VLAN中（如图2-15所示）。这种定义方法的优点是当终端在交换式网络中移动时，不必重新定义VLAN，交换机能够自动进行识别和定义。因此，基于MAC的VLAN也称为动态VLAN。由于MAC地址具有世界唯一性，因此，该VLAN划分方式的安全性也较高。

（3）基于IP的VLAN

所谓基于IP的VALN，是指根据IP地址来划分的VLAN。交换机属OSI第二层，因此，普通交换机不能识别帧中的网络层报文，但随着第三层交换机的出现，将第二层的交换功能和第三层的路由功能结合在一起，从而使交换机也能够识别网络层报文，可以使用报文中的IP地址来定义VLAN。因此，当某一用户设置有多个IP地址时，或该端口连接到的集线器中拥有多个TCP/IP用户时，通过基于IP的VLAN，该用户或该端口就可以同时访问多个VLAN。

在该模式下，位于不同VLAN的多个业务部门（每种业务设置成一个VLAN）均可同时访问同一台网络服务器，也可以同时访问多个VLAN的资源，还可让多个VLAN间的连接只需一个路由端口即可完成。这种定义方法的优点是当某一终端使用的网络层协议或IP地址改变时，交换机能够自动识别，重新定义VLAN，不需要管理员干预。但由于IP地址可以人为地不受约束地自由设置，因此，使用该方式划分VLAN也会带来安全上的隐患。

（4）基于组播的VLAN

基于组播的VLAN，就是动态地把那些需要同时通信的端口定义到一个VLAN中，并在VLAN中用广播的方法解决点对多点通信的问题。这种划分的方法将VLAN扩大到了广域网，具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，但由于效率不高，所以不适合局域网。

>>>2.2.4 多层交换技术

多层交换技术主要是指三层交换技术和四层交换技术。三层交换技术主要用于实现VLAN之间数据的线速转发，实现VLAN之间的无阻塞通信；而四层交换技术则被大量应用于网络服务的负载均衡。因此，多层交换技术被广泛用于大中型网络中。

1.三层交换技术

在计算机数量众多的局域网络中，为了提高网络安全性和通信效率必须划分VLAN，而不同VLAN间的通信只有通过路由设备才能实现。

如果使用传统路由器作为VLAN间的路由设备，将由于其吞吐量太小而很难适应大规模、高速率网络传输的需要，无疑将成为网络传输的瓶颈。于是，专门用于解决VLAN间通信的，集第三层转发与第二层交换于一身的第三层交换技术产生了。第三层交换机实际上是使用了集成电路的路由器，但比传统的路由器提供了更高的速度和更低的成本，也比传统的路由器更易于管理。正因为第三层交换机集成了路由器的功能，所以，第三层交换机也被称为路由交换机（Routing Switch）。

由此可见，划分VLAN的网络必须使用拥有三层交换机，否则，VLAN之间将无法实现彼此之间的通信，如图2-16所示。

第三层交换机根据OSI模型网络层（即第三层）的IP地址完成端到端的数据交换，主要应用于不同VLAN子网间的路由。当某一信息源的第一个数据流进行第三层交换（路由）后，交换机会产生一个MAC地址与IP地址的映射表，并将该表存储起来，如同一信息源的后续数据流再次进入交换机，交换机将根据第一次产生并保存的地址映射表，直接从第二层由源地址传输到目的地址，不再经过第三路由系统处理，提高了数据包的转发效率，解决了VLAN子网间传输信息时传统路由器产生的速率瓶颈。

第三层交换技术的强大功能表现在以下几个方面：

➢ 根据第三层协议对路由进行计算，其支持路由协议包括RIP（Routing Information Protocol，路由选择信息协议）和OSPF（Open Shortest Path First，开放最短路径优先）等。

➢ 支持IGMP（Internet Group Management Protocol，Internet组管理协议）、DVMRP（Distance Vector Multicast Routing Protocol，距离矢量组播路由选择协议）等各种常用的IP组播协议，当交换式路由器收到组播报文后，首先将报文转发到包含组播组成员的VLAN上，继而再把报文转发到组播组成员的端口上。

➢ 支持服务质量（QoS），将报文赋予特定的优先级，不同优先级的报文送到不同的队列按先后顺序转发。

➢ 支持标准的SNMP（Simple Network Management Protocol，简单网络管理协议）协议，支持传统的命令行接口（Command Line Interface，CLI）。

➢ 对VLAN的多种划分策略，尤其是它不仅支持传统的基于端口的VLAN划分，而且还支持基于IP地址、子网号和协议类型的VLAN划分，便于实现园区网络的统一管理。

2.第四层交换技术

OSI网络参考模型的第四层是传输层。传输层负责端到端通信，即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP（传输控制协议）和UDP（用户数据报协议）所在的协议层。TCP和UDP包含端口号，用于区分每个数据包所包含的应用协议（如HTTP、FTP、E-mail等）。第四层交换技术正是利用TCP/UDP端口号所提供的信息来区分包中的数据。

第四层交换技术不仅可以完成端到端交换，还能根据端口主机的应用特点确定或限制其交换流量。简单地说，第四层交换技术是基于传输层数据包的交换过程的，是一类基于TCP/IP协议应用层的应用交换需求的新型局域网交换机，可以根据TCP/UDP端口号区分数据包的应用类型，从而实现应用层的访问控制和服务质量保证。通过查看第三层数据包头源地址和目的地址的信息，采取相应的动作，实现带宽分配、故障诊断和对TCP/IP应用程序数据流进行访问控制等功能。通过任务分配和负载均衡优化网络，提供详细的流量统计信息和记账信息等方式，在应用的层级上解决网络拥塞、网络安全和网络管理等问题，使网络具有智能和可管理性。

图2-17所示为四层交换机将不同的访问请求直接转发到提供相应服务的端口上，从而实现对网络服务的高速访问。

第四层交换技术的主要功能如下：

➢ 数据包过滤。采用第四层信息端口号定义访问控制列表过滤规则，并借助ASIC专用高速芯片实现线速过滤控制。

➢ 服务质量。借助TCP/UDP第四层的端口号（即网络应用）信息区分优先级，设置优先级队列，确保重要的流量（如VoIP、视频会议等对实时性要求较高的应用）得到最快的处理，使紧急应用获得网络的高级别服务。

➢ 负载均衡。按照IP地址和TCP端口进行虚拟连接的交换，直接将数据包发送到目的计算机的相应端口中，从而实现完美的服务器负载均衡。由于第四层交换基于硬件芯片，因此性能非常优秀，尤其是网络传输及交换的速度远远超过普通的数据包转发速度。采用第四层交换机设备，所有的集群主机通过第四层交换机与外部Internet相连，外部客户访问服务器时通过第四层交换机动态分配服务器，实现动态负载均衡，当其中一台服务器出现故障时，由交换机动态将所有流量分配到集群中的其他主机上。

➢ 主机备用连接。主机备用连接为端口设备提供了冗余连接，从而在交换机发生故障时有效保护系统，这种服务允许定义主、备交换机，同虚拟服务器定义一样，它们有相同的配置参数。由于第四层交换机共享相同的MAC地址，备份交换机接收和主单元全部一样的数据。这使得备份交换机能够监视主交换机服务的通信内容。主交换机持续地通知备份交换机第四层的有关数据、MAC数据以及它的电源状况。当主交换机出现故障时，备份交换机就会自动接管，但不会中断对话或连接。

➢ 统计与报告。通过查询第四层数据包，第四层交换机能够提供更详细的统计记录。因为管理员可以收集到更详细的具体某个IP地址在进行通信的信息，甚至可根据通信中涉及哪一个应用层服务来收集通信信息。当服务器支持多个服务时，这些统计对于考察服务器上每个应用的负载尤其有效。增加的统计服务对于使用交换机的服务器负载均衡服务连接同样十分有用，它包含详尽的实时报告和历史记录报告，全面的报告功能使管理员可以充分掌握带宽资源的信息，从而使企业可以做出更合适的业务决策。

>>>2.2.5 路由冗余技术

中心交换机是整个网络的核心，如果其发生致命性的故障，将导致本地网络的瘫痪，所造成的损失也是难以估计的。因此，对三层路由采用热备份是提高网络可靠性的必然选择。利用HSRP、VRRP、GLBP协议保证核心设备的负荷分担和热备份，在中心交换机和双汇聚交换机中的某台交换机出现故障时，应迅速切换三层路由设备和虚拟网关，实现双线路的冗余备份，保证整个网络的稳定性。

1.热备份路由器协议

热备份路由器协议（Hot Standby Router Protocol，HSRP）的设计目标是支持特定情况下IP流量失败转移而不会引起混乱，并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情况下，仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。

负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP将激活备份路由器（Standby Routers）取代主动路由器（如图2-18所示）。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的默认网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）将承接主动路由器的所有任务，并且不会导致主机连通中断。

2.虚拟路由冗余协议

在网络中，一般为终端设备指定一个或者多个默认网关（Default Gateway）。如果作为默认网关的3层设备损坏，那么，所有使用该网关主机的通信必然要中断。即便配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。采用虚拟路由冗余协议（Virtual Router Redundancy Protocol，VRRP）可以很好地避免静态指定网关的缺陷。

一组VRRP路由器协同工作，共同构成一台虚拟路由器（如图2-19所示）。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。同一VRRP组的路由器有两种角色，即主控路由器和备份路由器。一个VRRP组中有且只有一台主控路由器，一台或多台备份路由器。VRRP协议使用选择策略选出一台作为主控，负责ARP相应和转发IP数据包，组中的其他路由器作为备份的角色处于待命状态。当主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主控路由器，由于切换迅速且无须改变IP地址和MAC地址，所以，对网络用户而言在使用上不会有任何影响。

3.网关负载均衡协议

网关负载均衡协议（Gateway Load Balancing Protocol，GLBP）不仅提供冗余网关，还在各网关之间提供负载均衡，而HRSP、VRRP都必须选定一个活动路由器，而备用路由器则处于闲置状态。

GLBP可以绑定多个MAC地址到虚拟IP，从而允许客户端选择不同的路由器作为其默认网关，而网关地址仍使用相同的虚拟IP，从而实现一定的冗余。

优先级最高的路由器成为活动路由器，称作Active Virtual Gateway，其他非AVG路由器提供冗余。当某路由器被推举为AVG后，其工作内容与HRSP即产生不同，AVG分配虚拟的MAC地址给其他GLBP组成员。所有的GLBP组中的路由器都转发包，但是，各路由器只负责转发与自己的虚拟MAC地址的相关的数据包，如图2-20所示。

每个GLBP组中最多有4个虚拟MAC地址，非AVG路由器由AVG按序分配虚拟MAC地址，非AVG路由器也被称作Active Virtual Forwarder（AVF）。

AVF分为两类，即Primary Virtual Forwarder和Secondary Virtual Forwarder。直接由AVG分配虚拟MAC地址的路由器被称作Primary Virtual Forwarder，后续不知道AVG真实IP地址的组成员，只能使用Hellos包来识别其身份，然后被分配虚拟MAC地址，此类被称作Secondary Virtual Forwarder。

如果AVG失效，则推举就会发生，决定哪个AVF替代AVG来分配MAC地址，推举机制依赖于优先级。最多可以配置1024个GLBP组，不同的用户组可以配置成使用不同的组AVG作为其网关。

>>>2.2.6 端口传输控制技术

交换机端口通常用于直接连接计算机或其他网络设备，基于端口的管理是网络管理的常用方式之一。另外，为了有效地保障网络传输安全，交换机内置了许多基于端口的传输控制功能，包括广播风暴控制、端口保护、端口安全等。

1.广播风暴控制

当端口接收到大量的广播、单播或多播包时，就会发生广播风暴。转发这些包将导致网络速度变慢或超时。借助于对端口的广播风暴控制，可以有效地避免硬件损坏或链路故障而导致的网络瘫痪。默认状态下，广播、多播和单播风暴控制被禁用。

2.保护端口

保护端口可以确保同一交换机上的端口之间不进行通信。保护端口不向其他保护端口转发任何传输，包括单播、多播和广播包。传输不能在第二层保护端口间进行，所有保护端口间的传输都必须通过第三层设备转发。保护端口与非保护端口间的传输不受任何影响。借助PVLAN可以设置保护端口。

3.端口安全

端口安全可以使用端口安全特性来约束进入一个端口的访问，为接口指定安全MAC地址，或者指定所允许的最大安全MAC地址数。当将MAC地址绑定至某个端口后，该端口将不会转发源自其他MAC地址的包。如果限制安全MAC地址的数目为1，并且绑定了唯一的源地址，那么，连接在这个接口的主机将独自占有该端口的全部带宽，如图2-21所示。

>>>2.2.7 VoIP技术

IP语音技术（Voice over IP，VoIP），又称为IP电话或IP网络电话。IP语音技术通过对语音信号进行编码数字化、压缩处理成压缩帧，然后转换为IP数据包在IP网络上进行传输，从而达到了在IP网络上进行语音通信的目的。IP电话极大地改进了网络带宽的利用率，大大降低了通信的费用。

VoIP可以在IP网络上廉价地传送语音、传真、视频和数据等业务，如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、Internet呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等，甚至不必借助传统的语音电话链路。由于Internet就是一个最大的IP网络，因此，VoIP最大的优势就是可以广泛地采用Internet和全球IP互联的环境，提供比传统业务更多、更好、更廉价的服务。图2-22所示为支持VoIP技术的交换机与IP电话。

由于IP语音设备的价格较高，因此很少单纯应用于局域网络，而更多地被应用于远程网络间（如总部与分支机构之间，尤其是跨地域甚至是跨国的大型公司）的实时通信，如图2-23所示。