多層交換：讓路由器“智能”起來(lái)

當今世界，網(wǎng)絡(luò )化程度越來(lái)越高，人與設備之間的通信方式日新月異、種類(lèi)繁多。其中的一些通信類(lèi)型已經(jīng)為大家所熟知，如IP語(yǔ)音（VoIP）、數字圖像、組播、視頻點(diǎn)播、對等文件共享、遠程視頻會(huì )議等等。不過(guò)，所有這些應用都有一個(gè)共同的特點(diǎn)，即對網(wǎng)絡(luò )帶寬的需求可以用“貪得無(wú)厭”一詞來(lái)形容。 

從長(cháng)遠來(lái)看，帶寬本身總是不夠用的。因此，網(wǎng)絡(luò )基礎設施背后的智能“設備”，即交換機和路由器必須承擔起以智能化的方式跟上帶寬需求腳步的艱難任務(wù)。像視頻和數字X-光這樣的應用總是要求更大、更智能化的“傳輸管道”，而VoIP應用則要求低延遲或響應時(shí)間以及一致的傳送速率。上世紀90年代中期，隨著(zhù)傳統交換機的沒(méi)落，人們開(kāi)始競相發(fā)展速度更快、智能化程度更高的交換機和路由器。硅谷的一群天才們看到了這一市場(chǎng)機會(huì )，由此，在一種稱(chēng)為“多層交換路由”新概念的基礎上發(fā)明了網(wǎng)絡(luò )硬件及其相關(guān)的軟件。與當時(shí)僅基于軟件的路由器相比，這些新的“智能”交換機/路由器能夠提供更快的速度和更短的延遲，同時(shí)能夠將多種網(wǎng)絡(luò )設備的功能結合在一起。 

原來(lái)，當需要增加網(wǎng)絡(luò )帶寬時(shí)，網(wǎng)絡(luò )管理員往往通過(guò)對網(wǎng)絡(luò )進(jìn)行重新設計來(lái)避免路由器發(fā)生瓶頸。服務(wù)器經(jīng)常不通過(guò)路由器，重新安裝在離用戶(hù)更近的地方。在大型企業(yè)中，用戶(hù)通常被劃分為通過(guò)路由器實(shí)現互連的一些較小的網(wǎng)絡(luò )（子網(wǎng)）。這種劃分通常是按照地域、運行的應用類(lèi)型、需要的數據量和安全方面的因素來(lái)進(jìn)行。例如，財務(wù)部門(mén)經(jīng)常被全部布置在自己的群組中，這樣做的原因在于為了有效地保護公司的財務(wù)記錄，而不是考慮到所使用的帶寬。而VoIP電話(huà)也經(jīng)常被放置在自己的網(wǎng)絡(luò )之中，其原因在于這樣可以繞過(guò)傳統路由器的瓶頸。 

當計算機需要與自己本地網(wǎng)絡(luò )之外的其他計算機進(jìn)行通信時(shí)，為了將數據包發(fā)送到群組外面，它們必須先將數據包發(fā)送到離自己最近的路由器。路由器提供公司與互聯(lián)網(wǎng)之間的連接和安全邊界，以及公司內部群組之間的連接（內部網(wǎng)）。 

傳統的路由器只有在絕對必要時(shí)才使用，如通過(guò)廣域網(wǎng)連接遠程辦公室、連接到互聯(lián)網(wǎng)或隔離公司中具有高帶寬要求的群組。傳統的路由器很貴，現在仍是如此，而且與最初的設計相比并沒(méi)有重大的進(jìn)展，使用的組件與一臺標準PC的類(lèi)似，并使用多個(gè)接口卡運行專(zhuān)用的軟件。 


 

　　問(wèn)題所在：核心路由器“瓶頸” 



 

　　解決方案：將網(wǎng)絡(luò )功能與多層交換路由器有機結合在一起


與之相比，多層交換路由器將傳統路由器的所有功能集中在一個(gè)專(zhuān)用集成電路（ASIC）上。ASIC比傳統路由器的CPU便宜，而且通常分布在多個(gè)網(wǎng)絡(luò )端口上?，F在，典型的交換機/路由器可能在一臺設備中包括50個(gè)ASIC，可以支持數以百計的接口。另外，新的ASIC允許智能交換機/路由器在所有的端口上以最快的速度轉發(fā)數據，而不管網(wǎng)絡(luò )流量是什么類(lèi)型，可以說(shuō)，它們是以實(shí)際接口速度（經(jīng)常稱(chēng)為線(xiàn)速）轉發(fā)數據。目前，市場(chǎng)上針對企業(yè)局域網(wǎng)（LAN）的新型交換機/路由器中可在單一個(gè)接口上以每秒鐘萬(wàn)兆位的帶寬（OC-192）轉發(fā)數據。 

走出舊時(shí)代，邁進(jìn)交換新天地 

由于使用一種集中式的架構，所以傳統路由器一般缺乏可擴展能力。對于傳統路由器，到達路由器的所有數據包必須被送到一個(gè)區域進(jìn)行處理，這樣，您擁有的接口數量越多，系統的負載越重，從而造成資源的過(guò)度占用。這大大限制了網(wǎng)絡(luò )所提供的服務(wù)，如VoIP。 

當一個(gè)使用集中式架構的路由器需要處理的流量超出自己的處理能力時(shí)，它就會(huì )開(kāi)始丟棄數據包。而當網(wǎng)絡(luò )應用或計算機收不到響應信息時(shí)，它們會(huì )發(fā)送更多的數據包，試圖恢復會(huì )話(huà)。這樣，情況變得更糟，因為很容易導致交叉會(huì )話(huà)過(guò)載。這種情況下，過(guò)載的路由器會(huì )根據應用、用戶(hù)的優(yōu)先級或網(wǎng)絡(luò )目的/源地址有選擇性地丟棄數據包。很明顯，我們需要一種新的方法來(lái)滿(mǎn)足流量增長(cháng)的要求。 

多年以來(lái)，傳統路由器的處理速度已經(jīng)出現了很大的增長(cháng)，但仍不足以跟上強大應用的腳步。例如，它們現在每秒鐘可以轉發(fā)將近100萬(wàn)個(gè)數據包。但考慮一個(gè)每秒鐘能夠發(fā)送1,488,000個(gè)數據包（pps），同時(shí)以1,488,000 pps的速度接收數據包的千兆以太網(wǎng)接口， 2千兆以太網(wǎng)端口就能夠輕易使系統過(guò)載。與此形成對比的是，多層交換機/路由器以線(xiàn)速轉發(fā)數據包，并且，交換ASIC以分布式的方式存在，允許整個(gè)系統高效地輸送流量。 

這些新交換機/路由器使用一種新的網(wǎng)絡(luò )設計和管理模式。在實(shí)現線(xiàn)速轉發(fā)的今天，阻塞點(diǎn)可以被有效地消除，用戶(hù)距數據的距離可以更遠，而且不必擔心性能的下降。我們前面例子中提到的股票交易商現在可以連接到與自己相距數個(gè)樓層或數百英里遠的服務(wù)器或網(wǎng)絡(luò )數據，具體距離取決于交換機/路由器所支持的接口類(lèi)型以及所使用的銅纜或光纖類(lèi)型。此外，新的IP和優(yōu)化的以太網(wǎng)路由器更易于管理，管理人員僅需花費很少的時(shí)間來(lái)使網(wǎng)絡(luò )與新的應用保持同步。像網(wǎng)捷網(wǎng)絡(luò )的BigIron機箱式系列產(chǎn)品，它們能夠簡(jiǎn)單地傳輸所有來(lái)自應用的流量，同時(shí)，可以添加更多的模塊來(lái)滿(mǎn)足容量和速度增加的要求。 

為確定網(wǎng)絡(luò )流量的類(lèi)型和容量，當今的ASIC中內置了新的數據包采樣技術(shù)，以提供對整個(gè)系統流量的監控。RFC 3176或sFlow現在已經(jīng)成為日益普及的方法，為企業(yè)和服務(wù)供應商提供對網(wǎng)絡(luò )中所有應用流量的實(shí)時(shí)監視——說(shuō)明流量所需的帶寬、流量的去向等等?？梢哉f(shuō)，sFlow允許大型企業(yè)更好地監控跨多個(gè)部門(mén)的網(wǎng)絡(luò )資源的使用狀況；在大學(xué)中可以識別網(wǎng)絡(luò )中非法的無(wú)線(xiàn)和有線(xiàn)應用，并在網(wǎng)絡(luò )性能受到影響之前發(fā)現和制止拒絕服務(wù)（DoS）攻擊?，F在，對于那些對安全性非常重視的企業(yè)來(lái)說(shuō)，RFC 3176正快速成為必備的要求。 

多層交換機/路由器的功能與傳統的路由器和交換機毫無(wú)差別，它們只是將分散的局域網(wǎng)（LAN）和城域網(wǎng)（WAN）功能集中在一個(gè)單一設備中。它們可在同組的用戶(hù)之間實(shí)現本地交換（即第2層交換），于不同組的用戶(hù)間實(shí)現路由（即第3層交換或路由），同時(shí)為應用提供安全特性和特殊服務(wù)（即第4層交換）。 

采用路由器來(lái)保護網(wǎng)絡(luò ) 

在路由器中使用安全過(guò)濾通常非常必要——甚至全世界的政府都建議這樣做。路由器之所以成為理想的安全“檢查點(diǎn)”，是因為它們是網(wǎng)絡(luò )的入口和出口。在路由器上創(chuàng )建被稱(chēng)為訪(fǎng)問(wèn)控制列表（ACL）的復雜規則以后，路由器將根據這套規則來(lái)檢查每一數據包。例如，這些規則可以只允許特殊的授權用戶(hù)訪(fǎng)問(wèn)公司的數據。 

對于傳統路由器，根據安全規則檢查數據包是一個(gè)費時(shí)的過(guò)程。當路由器找到每一數據包中的第3層和第4層信息以后，它必須將這些信息與規則進(jìn)行比較。而啟用安全過(guò)濾功能一直都是一場(chǎng)“惡夢(mèng)”，它會(huì )使路由器的速度變慢。因此，當對性能的影響太大時(shí)，就需要使用特殊的設備來(lái)分擔工作負載。 

即使是多層交換路由器，它們在執行這一功能（同時(shí)保持線(xiàn)速性能）時(shí)也會(huì )面臨挑戰。當啟用安全功能時(shí)，部分新型交換機/路由器的速度也會(huì )慢下來(lái)。不過(guò)，大多數新型的交換機/路由器已經(jīng)將這些安全策略集成到硬件上，因而，即使在啟用ACL的情況下，也能夠提供線(xiàn)速轉發(fā)性能。 

使用多層交換機/路由器進(jìn)行安全和流量分析正在變得日益流行，主要是因為設備廠(chǎng)商將這種技術(shù)內置于多層交換機/路由器中。越來(lái)越多的網(wǎng)絡(luò )設備被整合到同一設備中。您不再需要獨立的硬件來(lái)監視流量或安全的某些方面，這可以為我們的網(wǎng)絡(luò )用戶(hù)帶來(lái)極大的好處。