四层交换技术简介
OSI网络参考模型的第四层是传输层。传输层负责端到端通信,即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(传输控制协议)和UDP(用户数据报协议)所在的协议层。TCP和UDP包含端口号,它可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP、telnet等等)。TCP/UDP端口号提供的附加信息可以为网络交换机所利用,四层交换机利用这种信息来区分包中的数据,这是第四层交换的基础。
四层交换的主要功能如下:
1.数据包过滤:在传统路由器上,采用第四层信息端口号去定义访问控制列表过滤规则。四层交换也借用了控制列表的概念,但和基于软件的路由器不一样,第四层交换是在ASIC专用高速芯片中实现的,从而使过滤控制可以线速进行。
2.服务质量:TCP/UDP第四层信息还可以用于建立应用通信的优先级。第四层交换允许用基于端口号(应用)来区分优先级,设置优先级队列,确保重要的流量(如:VOIP、视频)在得到最快的处理,使紧急应用获得网络的高级别服务。
3.负载均衡:第四层交换负载均衡的原理,就是按照IP地址和TCP端口进行虚拟连接的交换,直接将数据包发送到目的计算机的相应端口中。具备第四层交换能力的交换机,能作为一个硬件负载均衡器,完成服务器的负载均衡。由于第四层交换基于硬件芯片,因此性能非常优秀,尤其是对于网络传输的速度,交换的速度远远超过普通的数据包转发。采用第四层交换机设备,所有的集群主机通过第四层交换机与外部Internet相连,外部客户防问服务器时通过第四层交换机动态分配服务器,实现动态负载均衡,当其中一台服务器出现故障时,由交换机动态将所有流量分配到集群中的其他主机上。
第四层交换机应用分析
第四层交换机在网络中的应用非常灵活,既可以是网络中心的汇接点设备,又可以应用在局域网分布层的边缘接入处,甚至于作为工作组级支持交换到桌面。特别是在性能和功能方面,被认为较弱的工作组级第四层交换机,不但能够在网络中实现端到端的服务质量,能应用于网络边缘识别,还能为数据包打上优先级标记,如运行IEEE802.1Q和IP DiffServ协议等。在拥塞控制、拥塞避免和数据整形方面,虽然,某些三层交换机也支持排队阻塞控制及IEEE802.3X协议等,第四层交换机还支持广泛应用于路由器而很少应用于第三层交换机上的WRR、WRED、RED、CAR等应用层协议。
第四层交换机在服务质量控制等方面,性能上较之第二层交换机有很大提高。如在优先级方面,原来千兆接入交换机,每个百兆端口仅仅支持2个队列,而新一代智能边缘第四层交换机则可以支持4个;在QoS所要做的分类与识别工作中,虽然第二层交换机也支持IEEE802.1P协议,可通过识别端口、MAC地址、VID确定数据的优先级技术等,第三层交换机可通过识别IP地址信息确定交换机优先级设置,可识别IP DiffServ字段,并能重写这一字段信息,然而第四层交换机,不仅可以识别端口号码,还可结合优先级策略提供相应的服务。
在传统的用户接入系统中,分布式结构邮件系统通常采用前端代理、DNS轮循或第四层交换等方法来实现复杂分担。其中采用第四层交换机方式的效率较高,特别是采用千兆以太网技术的第四层交换机,可以大大提高系统的效率。因些,在Internet、Intranet、Extranet系统中,邮件系统是第四层交换机的重要应用领域。
我们说在一个由服务器群组支持的企业网应用中,往往要考虑为紧急服务提供健壮连接,这其中第四层交换机便成为关键,使之成为必不可少的重要应用设备。因为支持服务器群组连接的第四层交换机,具有独特方式增强组网能力,且主要反映在如下几个方面。
⑴提高安全性:第四层交换机的包过滤器能够为自己所辖网络和服务器提供保护标准,利用这些保护标准可以对付来自某个IP地址或子网的面向特定应用的非授权访问。即包过滤器能够禁止特定的一组用户或子网访问服务器,或者反过来,可以赋予一组用户或子网访问的权利。
⑵改进对紧急任务的服务质量:为了向基于HTTP的应用提供比服务器群所支持的其它服务级别更高的服务,可以在应用层定义通信优先权(服务质量)。所有给这个服务器的、目标端口为HTTP口的数据可以得到一个比到该机其它端口的数据高的优先权。因为现在可以获得网络的边缘和核心都适用的第四层交换机,这类交换完全能够用于在整个网络上为哪些基于Web数据流的服务器提供高水平服务。
⑶优化可访问能力:服务器负载平衡能力用于根据用户的需要,公正地分配到每台服务器的Web流量,性能较高的服务器能够接收更多的对话,否则可以在特定的服务器上对提供服务的对话数进行限制。为了实现这一点,要定义包括多个服务器的虚拟服务器组,并在其上设置相应的负载均衡尺度,这些正是第四层交换机所特有的支持能力。
⑷增强网络的可伸缩性:采用第四层交换机来组建的热备用特性可提高服务器群的可伸缩性。因为服务器做为双宿主机与两个交换机分别连接后,这些交换机的地位是平等的,它们有通用的IP地址和MAC地址。如果主交换机发生故障,辅助交换机可以立即接管工作,因为它一直在镜像主交换机的操作。
⑸改进管理:管理员因使用第四层交换机支持的统计特性,是能够获得更加丰富的关于到服务器群的数据的管理信息的。管理员不仅可以跟踪服务器和客户机之间的数据,还可以很好地跟踪哪一个应用服务在工作、服务器上的活动和被打开对话数等重要信息,因而可增强网管性能。
第四层交换机支持的重要技术
如上所述,第二层交换设备是依赖于MAC地址和802.1Q协议的VLAN标签信息来完成链路层交换过程的,第三层交换/路由设备则是将IP地址信息用于网络路径选择来完成交换过程的,第四层交换设备则是用传输层数据包的包头信息来帮助信息交换和传输处理的。也就是说,第四层交换机的交换信息所描述的具体内容,实质上是一个包含在每个IP包中的所有协议或进程,如用于Web传输的HTTP,用于文件传输的FTP,用于终端通信的Telnet,用于安全通信的SSL等协议。这样,在一个IP网络里,普遍使用的第四层交换协议,其实就是TCP(用于基于连接的对话,例如FTP)和UDP(用基于无连接的通信,例如SNMP或SMTP)这两个协议。
由于TCP和UDP数据包的包头不仅包括了“端口号”这个域,它还指明了正在传输的数据包是什么类型的网络数据,使用这种与特定应用有关的信息(端口号),就可以完成大量与网络数据及信息传输和交换相关的质量服务,其中最值得说明的是如下五项重要应用技术,因为它们是第四层交换机普遍采用的主要技术。
⑴包过滤/安全控制:在大多数路由器上,采用第四层信息去定义过滤规则已经成为默认标准,所以有许多路由器被用作包过滤防火墙,在这种防火墙上不仅能够配置允许或禁止IP子网间的连接,还可以控制指定TCP/UDP端口的通信。和传统的基于软件的路由器不一样,第四层交换区别于第三层交换的主要不同之处,就是在于这种过滤能力是在ASIC专用高速芯片中实现的,从而使这种安全过滤控制机制可以全线速地进行,极大地提高了包过滤速率。
⑵服务质量:在网络系统的层次结构中,TCP/UDP第四层信息,往往用于建立应用级通信优先权限。如果没有第四层交换概念,服务质量/服务级别就必然受制于第二层和第三层提供的信息,例如MAC地址,交换端口,IP子网或VLAN等。显然,在信息通信中,因缺乏第四层信息而受到妨碍时,紧急应用的优先权就无从谈起,这将大大阻止紧急应用在网络上的迅速传输。第四层交换机允许用基于目的地址、目的端口号(应用服务)的组合来区分优先级,于是紧急应用就可以获得网络的高级别服务。
⑶服务器负载均衡:在相似服务内容的多台服务器间提供平衡流量负载支持时,第四层信息是至关重要的。因此,第四层交换机在核心网络系统中,担负服务器间负载均衡是一项非常重要的应用。第四层交换机所支持的服务器负载均衡方式,是将附加有负载均衡服务的IP地址,通过不同的物理服务器组成一个集,共同提供相同的服务,并将其定义为一个单独的虚拟服务器。这个虚拟服务器是一个有单独IP地址的逻辑服务器,用户数据流只需指向虚拟服务器的IP地址,而不直接和物理服务器的真实IP地址进行通信。只有通过交换机执行的网络地址转换(NAT)后,未被注册IP地址的服务器才能获得被访问的能力。这种定义虚拟服务器的另一好处是,在隐藏服务器的实际IP地址后,可以有效地防止非授权访问。
虚拟服务器是基于应用服务(第四层TCP/UDP端口号)定义的,这样,独立服务器便可以是虚拟服务器的成员。而使用第四层对话标志信息,第四层交换机则可以使用许多负载均衡方法,在虚拟服务器组里转换通信流量,其中OSPF、RIP和VRRP等协议与线速交换和负载均衡是一致的。第四层交换机还可以利用被称之为TRL(Transaction Rate Limiting)功能所提供的复杂机制,针对流量特性来遏制或拒绝不同应用类型服务。可以借助CRL(Connections Rate Limiting)功能,使网络管理员指定在给定的时间内所允许的连接数,保障QoS。或者借助SYN-Guard功能,确保那些满足TCP协议的合法连接才可查询网络服务。
⑷主机备用连接:主机备用连接为端口设备提供了冗余连接,从而在交换机发生故障时有效保护系统,这种服务允许定义主备交换机,同虚拟服务器定义一样,它们有相同的配置参数。由于第四层交换机共享相同的MAC地址,备份交换机接收和主单元全部一样的数据。这使得备份交换机能够监视主交换机服务的通信内容。主交换机持续地通知备份交换机第四层的有关数据、MAC数据以及它的电源状况。主交换机失败时,备份交换机就会自动接管,不会中断对话或连接。
⑸统计:通过查询第四层数据包,第四层交换机能够提供更详细的统计记录。因为管理员可以收集到更详细的哪一个IP地址在进行通信的信息,甚至可根据通信中涉及到哪一个应用层服务来收集通信信息。当服务器支持多个服务时,这些统计对于考察服务器上每个应用的负载尤其有效。增加的统计服务对于使用交换机的服务器负载平衡服务连接同样十分有用。
第四层交换机的优势和作用
优势
第四层交换使用第三层和第四层信息包的报头信息,根据应用区间识别业务流,将整个区间段的业务流分配到合适的应用服务器进行处理。
每个开放的区间与特定的服务器相关,为跟踪服务器,第四层交换使多个服务器支持的特殊应用,随服务器的增加而线性增强整体性能。同时,第四层交换通过减少对任何特定服务器的依赖性而提高应用的可靠性。
第四层交换也要求端到端QoS,提高第二层和第三层交换一包接一包QoS传输的能力。例如,从级别高的用户来的业务或重要应用的网络业务流,可以分配给最快的I/O系统和CPU,而普通的业务就分配给性能较差的机器。
作用
第四层交换的主要作用是提高服务器和服务器群的可靠性和可扩性。
如果服务器速度跟不上,即使是具有最快速交换的网络也不能完全确保端到端的性能。可以想见高优先权的业务在这种QoS使能的网络中会因服务器中低优先权的业务队列而阻塞。在更糟的情况下,服务器甚至会丧失循环处理业务的能力。
设计在服务器上的第四层交换的目的就是扩展过去服务器和应用中第二层和第三层交换的性能和业务流的管理功能。
高层交换机发展趋势
IT行业长期追寻的“以内容识别网络”,其实就是指在传输层到应用层的第四到七层中进行的网络管理。如果一台交换机能够逐层解开通过的每一个数据包的每层封装,并识别其中最深层的信息,那么它就具备了内容识别功能。显然,要解决区分应用、动态分配资源和用户计费等人们希望的高层应用问题,用网络识别设备分发业务流量,是高层交换机一个很有发展潜力的重要途径。最初出现在市场上的这类网管系统,是一些用软件来实现的内容识别设备,虽然这些设备没有达到人们的预期效果,但却为今天采用硅硬件技术支持的高层应用交换机提供了坚实的技术基础,虽然这项技术正处于发展中,但它真正解决了四~七层交换机在性能方面的技术困难。
目前,用软件来实现内容识别网络的设备有三种类型,即构筑在PC平台上的设备、加装通用CPU的第三层交换机,以及基于网络处理器的系统。如果只是完成简单的流量交换功能,这些产品的性能还是能够为用户所接受。但这些简单的网络管理功能,无论如何也不能让网管通过调整网络,得到有利润价值的应用管理。问题的关键在于,完成这些功能所需的信息是深埋在数据包的内部,而这些信息只有在网络会话建立时才出现一次。这就要求基于软件的内容识别设备,能够窥视到每个会话的每个数据包的内部,结果就造成了严重的延迟和性能恶化。所以,依靠通用CPU或者网络处理器实现的、基于软件的内容识别设备,不能以任何接近实时的方式调动运算能力来完成交换任务,它很快成为一个新的瓶颈。
在高层交换设备的发展方向上,还有另一项值得关注的应用技术,Extreme应用交换技术(Application Technology)。所谓Extreme应用交换技术,其实就是一项以PxSilicon为基础的新技术,而PxSilicon实际上就是一个独特的、性能卓越的芯片组,即前面所提到的硅技术。与传统的软件技术相比,PxSilicon的性能要高出几个数量级,因为用软件来实现内容识别的解决方案,只能依靠复杂的软件与通用CPU或者网络处理器配合,才能完成同样的负载均衡任务。利用Extreme应用交换技术,则可以全面实现网络功能,包括线速千兆比特的TCP会话分析、终结、发起、甚至修改,都可全部用硬件来实现,从而去掉了复杂的软件、通用CPU和网络处理器。
网络智能管理功能从软件向硬件硅技术的转移,这并非新思路。九十年代后期从基于软件的路由器,向今天正在推广的基于ASIC的第四层交换机的转移就是一个很好的证明。并且,在任何情况下,当网络技术被集成到硅片中去时,性能都会得到显着提高,而相应的总体拥有成本则会大幅度降低。硬件硅技术的应用,其结果是服务提供商和企业用户可以在不牺牲线速的千兆比特性能的前提下,就可以自由地设置网络应用和业务所要求的相关规则。
第一次应用硬件硅技术的平台,是Extreme的SummitPx1应用交换机。从结构和功能上讲,SummitPx1应用交换机是一类支持一种完全互补的第七层应用层交换功能的第七层交换机,该交换机具有支持包括对网页请求进行语法分析的能力,以及按照请求的内容和服务器能力向最合适的网页服务器进行连接重定向的能力。在SummitPx1第七层应用交换机上,无论你设置多少有关内容的转发规则,都能保持设备线速的千兆比特性能。另外,SummitPx1第七层应用交换机的服务器选择算法,还包括循环、加权循环、最少连接和加权的最少连接等,它还可以追踪客户机的IP记录、对客户机的状态设置(cookie)做运算、自动检测和追踪cookie、处理用于服务器识别的cookie,以及支持持续的安全套接层(SSL)会话标识(ID)等新技术。
总之,高层交换机的发展势头将会越来越猛,其结果是由专用的硬件新技术代替目前的高层软件交换技术,或是软硬件技术相结合的新技术。也就是说,在未来的高层交换机上,将会集中体现ISO的七层标准,将传统的网络分立设备统一起来,这不仅可以极大地提高网络系统的数据分发、传输和交换能力与速率,还能够降低设备成本、简化网络管理、优化组网过程,使高层交换机在管理与控制功能方面直接在第七层应用层上发挥重要作用。
二、三、四层交换的区别
第二层交换实现局域网内主机间的快速信息交流,第三层交换可以说是交换技术与路由技术的完美结合,而第四层交换技术则可以为网络应用资源提供最优分配,实现应用服务服务质量、负载均衡及安全控制。四层交换并不是要取代谁,其实现在径渭分明的二层交换和三层交换已融入四层交换技术。
第二层交换机,是根据第二层数据链路层的MAC地址和MAC地址表来完成端到端的数据交换的。第二层交换机只须识别数据帧中的MAC地址,而直接根据MAC地址转发,非常便于采用ASIC专用芯片实现。第二层交换的解决方案,是一个“处处交换”的方案,虽然该方案也能划分子网、限制广播、建立VLAN,但它的控制能力较小、灵活性不够,也无法控制流量,缺乏路由功能。
第三层交换机,是根据第三层的网络层IP地址来完成端到端的数据交换的,主要应用于不同VLAN子网间的路由。当某一信息源的第一个数据流进行第三层交换(路由)后,交换机会产生一个MAC地址与IP地址的映射表,并将该表存储起来,如同一信息源的后续数据流再次进入交换机,交换机将根据第一次产生并保存的地址映射表,直接从第二层由源地址传输到目的地址,不再经过第三路由系统处理,提高了数据包的转发效率,解决了VLAN子网间传输信息时传统路由器产生的速率瓶颈。
第四层交换机不仅可以完成端到端交换,还能根据端口主机的应用特点,确定或限制它的交换流量。简单地说,第四层交换机是基于传输层数据包的交换过程的,是一类基于TCP/IP协议应用层的用户应用交换需求的新型局域网交换机。第四层交换机支持TCP/UDP第四层以下的所有协议,可根据TCP/UDP端口号来区分数据包的应用类型,从而实现应用层的访问控制和服务质量保证。可以查看第三层数据包头源地址和目的地址的内容,可以通过基于观察到的信息采取相应的动作,实现带宽分配、故障诊断和对TCP/IP应用程序数据流进行访问控制的关键功能。第四层交换机通过任务分配和负载均衡优化网络,并提供详细的流量统计信息和记帐信息,从而在应用的层级上解决网络拥塞、网络安全和网络管理等问题,使网络具有智能和可管理。