以太网交换的好处
传统的共享的以太网是一种基带介质。这就意味着在任何一个时间只能有一个站点能够向这个介质发送数据。多个信号不能像在宽带网介质中那样成为多路复用的信号。在一个共享的以太网集线器,各个站点通过监听一对儿接收的线路来检查是否有其它站点在发送数据,用这种方法来解决访问冲突问题。以太网交换的应用取代了共享的以太网,从而产生了如下改善的运行功能:
专用的冲突域
交换机的每一个端口都在自己的冲突域中,因此,一个站点通过一台交换机的端口连接到这个局域网,而不是通过一个集线器的端口。这样,这个站点就不需要在发送数据之前通过监听是否有冲突来竞争接入到线路的权限。这将提高局域网的有效带宽。
通信过滤和转发
一台交换机像一个多口网桥一样工作,并且通过监听实况通信来了解每一个站点的MAC地址的位置。对于交换机交换的每一帧,交换机仅把通信转发到目的地MAC地址所在的端口。这台交换机据说要过滤所有其它端口的帧。这将显著减少局域网中不必要的通信,提高带宽的利用率。然而,广播帧将涌向所有的端口,这样,一个交换机据说要创建多个冲突域,但是,所有的端口仍在同一个广播域中。这通常是一种理想工作方式,因为广播时必要的,通常是局域网中的一种有效的通信手段。这与广域网有些不同。微软的Windows就使用严重依赖广播的NetBios。另一个例子是地址解析协议(ARP)。根据地址解析协议,一个地址解析协议广播必须要达到IP子网的每一个站点以便把一个目的地的IP地址解析为MAC地址。
全双工传输
传统共享的以太网以半双工的模式工作。换句话说,各个站点不能同时发送和接收数据。由于以太网基带的性质,只有一个站点能够访问这个介质并且在任何一个时间发送数据。一个共享的以太网介质上的各个站点通过监听冲突来解决通信冲突。全双工传输意味着所有的站点都能够同时发送和接收数据。在以太网中,这并不是通过监视冲突来实现的。如果这个站点附加到自己专用的交换机端口,它只是合法地关闭了冲突检测功能。这就意味着在冲突域只有两个站点:这个站点本身和这台交换机的端口。然后,每个站点都可以相互收发数据,而不必监听冲突。这种方式称作点对点的以太网。同许多网络词汇一样,全双工一直被滥用而且有些说法是不真实的。交换机厂商之间的市场营销大战促使这些厂商声称全双工作业能够使数据吞吐量提高一倍。全双工作业确实能够显著改善数据吞吐量,但是,还不能说把数据吞吐量提高了一倍,因为同一个站点不可能以线速的速度同时发送和接收应用程序的通信。
理解客户机-服务器通信流
当实施一个交换的局域网设计时,获得对客户机-服务器通信流的详细了解大概是一项最大的挑战。一个网络正在进行重新设计,要把一个共享的局域网环境转变为一个交换的局域网,以满足日益增长的带宽需求。在这种情况下,有可能收集到详细的大量有关通信状况的信息。在一个全新的网络,在网络推出之前收集这些信息是不容易的。然而,没有严格数量的通信状况分析,对通信状况进行合理的质量分析也是应该达到的。获得下列信息的合理的预测是非常重要的:什么用户在与什么服务器进行通话,通话的时间有多长,现在消耗的带宽是多少,将来消耗的带宽是多少?所有的客户机和服务器的物理位置和逻辑位置是什么。换句话说,要清楚地了解每个应用程序的客户机与服务器之间数据通道。服务器之间的通信水平是什么?再次说明一下,这与了解整个网络的全部主要通信流的需求是一致的。如果不充分理解这些通信流,介绍局域网交换机的作用也是很有限的。举一个极端的例子,假设一台服务器在远方并且必须通过一个56K的广域网线路访问这台服务器。在这种情况下,一台局域网交换机将不能显著提高性能,因为瓶颈是在广域网而不是在局域网。
高速内核
一些专有的方法与802.3ad标准的存在允许把多个连接集成为一个逻辑的高速连接。两台交换机之间的多个物理连接必须被当作一个逻辑连接对待,否则,生成树将封锁多余的连接。这种功能可以用来提供核心交换机之间的高速连接并且向高带宽服务器提供高速连接。即使在应用万兆以太网之前,就存在最多把8个以太网端口集成在一起提供高速园区干线的功能。
虚拟局域网的概念
广播封闭
一台交换机中的每一个端口代表一个单独的冲突域。然而,一台交换机的全部端口都在同一个广播域。园区局域网中的任何一个站点发出的任何广播都必须经过完全是交换网络的那个局域网中的每一个站点的处理。在局域网环境中,每一台设备中的CPU的中断所引起的问题比这个广播消耗的带宽还要严重。虚拟局域网为在交换的网络中创建多个广播域提供了一种机制。一个特定站点发出的一个广播将只发送给同一个虚拟局域网中站点。需要一台路由器实现虚拟局域网中的通信,就像用一台路由器实现物理局域网之间的通信一样。这个问题是很容易理解的,因为一个虚拟局域网与一个IP子网是同义词。在一个交换的环境中,如果两个站点在同一个虚拟局域网中,它们一定是在同一个IP子网中。
安全
通过过滤广播,虚拟局域网提供了一般与路由子网的安全水平相同的安全功能。考虑一下插入到一个交换机端口的网络分析器的情况。如果这个端口分配给一个特定的虚拟局域网,那么,这个网络分析器仅检测与那个虚拟局域网有关的广播,而不检查整个局域网。可以在路由器上设置安全政策,就像在传统的局域网网段上一样管理虚拟局域网之间的通信。
IP地址计划
IP地址计划也许还部分规定了虚拟局域网策略。例如,如果一个26位子网掩码用于局域网子网,那么,每个子网的最多主机数量是60个。这就意味着整个局域网不能与超过60个的主机保持“持平”。如果在一个交换的局域网中有大量的主机,虚拟局域网的创建必须是每个虚拟局域网最多有60台主机。
灵活型
虚拟局域网正在向把一个路由网络的智能与交换网络的灵活性结合在一起的方向发展。例如,在一个特定的虚拟局域网中的用户在移动到园区内不同物理位置之后仍能够保留在那里虚拟局域网中。所有这一切需要在相关的交换机设置中做一些修改。这不需要改变硬件或者重新铺设电缆。虚拟局域网能够扩展到使用虚拟局域网集群协议的多台交换机。这将进一步提高灵活性。一般来说,虚拟局域网在使用3层处理的局域网环境中帮助简化了移动、增加和改变等管理功能。
虚拟局域网规划
当规划在一个大型园区局域网中部署虚拟局域网的时候,有许多问题需要考虑。部署虚拟局域网的数量必须与每个虚拟局域网应该支持的主机数量一起确定。虚拟局域网的架构和这个虚拟局域网数据吞吐量覆盖园区的范围是另一个重要的设计问题。
虚拟局域网的范围
虚拟局域网对于配线柜来说应该是本地的。例如,一栋大楼的每一层代表一个不同的虚拟局域网,而不管用户的工作职能是什么。这就意味着广播是在本的封闭的。这个缺点是发到另一个配线柜(里面可能配置服务器)的通信必须使用路由器。企业在服务器群等集中的地方共享资源的趋势在日益增长。日益突出的基于网络的计算和共享的办公室应用程序进一步推动了这种趋势的发展。随着大多数资源集中起来,客户机与服务器之间的通信可能在任何情况下都能得到路由,除非这个局域网是一个不适合广播的大型IP子网。这个基本原理已经使所谓的“本地”虚拟局域网成为了一种流行的设计理念。这种替代的方法将允许虚拟局域网扩展整个局域网或者园区,以确保客户机至服务器的通信产生最少的路由延迟。在工程、市场营销和法律等各个工作组都实现相对自动化的情况下,这也许是可行的。现代的服务器平台将支持多个共享的应用程序,这些共享的应用程序可能会影响所谓的“端对端”的虚拟局域网。3层交换技术的改进也减少了与路由和3层处理有关的延迟。部署本地虚拟局域网的一个更诱人的理由是它能阻止广播在整个园区干线上传播。
虚拟局域网的数量
不要仅仅为了建立虚拟局域网而建立虚拟局域网。网络设计师应该清楚建立虚拟局域网将带来的好处。记住这些好处,使用的虚拟局域网的数量就可以确定了。这个决定不能离开IP地址计划单独做出。在IP地址计划中,局域网子网的数量通常与使用的虚拟局域网的数量相关联的。根据这个机构的人员编制结构,把一群人用同一个虚拟局域网中的通用工作职能组合在一起也许是可能的,也许是不可能的。
每个虚拟局域网的用户数量
有一个每个虚拟局域网最多用户数量的预测是一种很好的做法。这种预测没有必要与整个企业保持一致。例如,虚拟局域网封闭使用高带宽的用户,或者广播密集型应用程序应该有较少的用户。这个IP地址计划也将对每个子网的主机数量提出限制,从而限制每个虚拟局域网的主机数量。
优化生成树域
802.1d生成树协议在桥接或者交换的网络中是必要的,以便允许冗余的交换机之间的连接,同时防止广播环路(loops)。生成树协议可能减缓融合这种情况将提出协议挑战。这些挑战应该在设计阶段加以解决。
大多数交换机厂商都提供一些专有的方法加快生成树的融合。例如,思科的“PortFast”功能把没有连接到另一台交换机的一个端口的发送延迟定时器设置为零。这就防止了PC在启动之后出现连接问题,因为PC端口进入发送状态比较缓慢。这是一项很有用的功能,因为只在连接到另一台交换机的端口需要生成树协议。
然而,还有一种新的标注化的增强功能的协议RSTP(快速生成树协议)。正如这个协议的名称所说的那样,这个协议将解决与802.1d协议有关的融合问题。RSTP是一个以802.1w的形式制定的标准。这个协议增加了计算并且获得了有关网络的更多的结构信息。这个协议与作为维持生计机制的BPDU(桥接协议数据单元)一起使用使其本地融合时间达到了6秒,而在802.1d协议中,这个时间需要50秒。802.1w协议向下兼容802.1d协议并且推荐在现代局域网中应用。
根网桥启动这个生成树协议BPDU信息。这个信息每2秒钟向整个网络传播一次。这是根网桥应该位于接近网络干线的中心点位置的原因之一。这样将保证所有的下行交换机在接收和处理BPDU信息时出现同样的延迟,从而提高生成树协议计算机的稳定性。根交换机上的所有的端口为了生成树协议都处在发送状态,并且一般要比其它交换机用有更高的处理工作量。这就意味着那台交换机应该是网络上功能更强大的交换机之一。显然,根交换机应该认真挑选。生成树协议根据最低的桥ID选择一台根交换机。由于所有的参数都是默认值,选择具有最低的MAC地址ID的交换机变成了一种很偶然的事情。然而,通过降低指定根设备的桥优先等级,这种根选择是允许有偏差的。这样做是合理的,不仅是由于上述理由,而且还因为这样可以阻止新安装的交换机由于其MAC ID低于当前的根交换机而启动根选择的竞争。
具有生成树功能的一个端口在进入发送状态之前必须要经过封锁、监听和学习阶段。这是在生成树的缓慢融合的中心,但是,对于确保不会产生环路的布局是很必要的。所有主要的交换机厂商都有以安全的方式加快生成树融合的专有方法。例如,生成树协议能够根据每个端口的情况关闭,以便直接移动这个端口到发送状态。这将会防止在启动之后出现工作站DHCP请求超时等故障,因为那时端口还没有进入发送状态。每次关闭生成树都应该特别注意,这个时候千万不要关闭可能连接到其它交换机的端口。
在设计阶段必须解决的最后一个问题是在一个虚拟局域网环境中如何处理生成树。在整个园区可以使用建立一个生成树域。替代的方法是在每一个虚拟局域网中建立一个单独的生成树实例。这意味着每一个虚拟局域网可能有一个不同的(或者完全相同的)根交换机。重要的是清楚随后的安装工作和相应地做出计划。例如,拥有多个生成树域,阻止一台交换机成为整个虚拟局域网的根也许是谨慎的措施。如果那台交换机出现故障,这会减少通信的中断。有多个生成树域的好处是,它们很小,因此能够更快地融合起来,允许为每一个虚拟局域网优化选择根交换机。另一方面,一个单独的生成树可减少BPTU通信以及交换机必须处理的生成树的数量。同以前一样,在做出任何决策时前,了解你的环境是一个重要的问题。
IP电话
随着IP电话的出现,有许多要解决的设计问题。由于性能和安全的原因,这种语音通信应该在自己的虚拟局域网中实施。因此,一个新的IP子网必须增加IP电话的任务。理想的是这种IP地址应该很容易分辨,例如10.99.99.0/24,以便使排除故障和管理更方便。
IP电话服务器的数量和位置必须要确定下来。服务器的容量必须要根据其能够支持的注册电话用户数量以及在繁忙时间能够支持的电话数量来进行评估。这种评估再加上预算分析有助于决定服务器的位置是采取集中的模式还是分布式模式。
电源可以通过多种方式提供,如通过每个电话机的单独的电源部分、一个电源接插板、或者使用支持线内供电的以太网交换机。最后一种方法一般被认为是最可靠的和最省钱的。然而,在处理IP电话的问题时,你永远不要忘记标准化的问题。如果IP电话机来自不同的厂商,其厂商的数量比以太网交换机的厂商还多,线内供电能起作用吗?虽然有很多标准,但是,这些标准并不总是滴水不漏的。因此,惟一的方法是通过实际测试确切地了解这个情况。
服务质量总是语音通信的问题。局域网的带宽通常是很充足的,因此,阻塞管理通常不能保证特殊的配置。来自IP电话的通信一般标记为“IP优先等级5”和“802.1q COS 5”。这个分类和标记能够在本地交换机设置。许多IP电话预先标记这种通信。如果是这种情况,交换机应该设置为来自IP电话的“可信赖”数据包(也就是说,不是重新标记的)。来自PC的数据包一般应该标记为“优先等级0”,以防止数据帧在路由器广域网接口上以高优先等级队列发送。