交換式局域網

大型局域網總是由多個局域網通過多種網絡互連設備，如網橋、路由器或交換機等連接而成的。由於對局域網帶寬不斷增長的要求必須在以太網或令牌環網固定的10Mbps或16Mbps的帶寬限制下，所以在一個典型的局域網設計中不同局域網段的數目正迅速性地增長着。但是這種趨勢會持續多久呢？是否有可能局域網中不再需要路由器呢？毫無疑問，廣域網中互連的交換式局域網之間需要路由器提供物理連接和協議的轉換。但當我們尋求對下列問題的答案時，分歧就產生了：

在開始討論在局域網中交換和路由選擇各自的作用之前，首先應該明白這兩種技術的差別。局域網交換機有點像網橋，通常它們互連同種類型的局域網段，如都是以太網段或都是令牌環網段的情形。它們在端口之間透明地傳送信息，以令牌環網為例，就是用源路由選擇的方法。透明交換機對端站是不可見的 ，它們通過檢查傳送到它們端口的局域網段中的所有信息包來進行學習，從而得知各站點的位置，並根據在每個信息包中的目的網絡地址把信息包送往適當的端口。這也意味着它們的運作獨立於與端站之間互相通信的協議，不管是TCP/IP協議，還是Novell IPX，NETBIOS或者IBM的SNA協議。令牌環網的源路由選擇交換機與透明交換機不同之處僅在於，源路由選擇交換機是根據由端站往每個信息包中插入的信息來把信息包送往相應的端口，同樣這也是獨立於下層網絡協議的。

但在一些情況中，交換機可用來互連不同類型的局域網，例如，一些交換機可互連FDDI主幹網和以太網段。在這種情形下，交換機只是在以太網和FDDI幀之間作些簡單的轉換工作，這樣就遵循了對端站的透明性原則。

另一方面，路由器被設計成具有把任何類型的網絡信息包傳送到任何其他類型網絡的能力，它們對端站是不透明的：事實上，當一個以太網的端站想要路由器另一端的站點進行通信時，它只是對相應的路由器進行尋址，而不是目的站點。當一個路由器從一個以太網段收到一個要發往另一個網段的信息包時，路由器取出報文的頭部，檢查報頭中的目的地址，然後根據這些信息查詢相應的表，確定這個目的站點是否位於它的一個直接相連的局域網段中，否則，該信息包應被送往另一個路由器，在作出相應的決定後，這個路由器將為這個信息包添加新的報頭並將它發送出去。

為了確定信息包往哪一個端口轉發，路由器要維護複雜的查找表，這些表是由每個路由器與網絡中的其它路由器相互合作而構造的，這些路由器相互傳遞經過這個網絡的路由狀態信息，在路由選擇中涉及到的協議和過程是複雜的，需要進行大量的計算，並且佔用內存。

總而言之，在局域網中交換與路由選擇最顯著的差異在於：信息包經過路由器要比經過交換機需要複雜得多的處理。因此，在取得同一性能水平的前提下，路由器的花費比交換機的花費多許多，而且，一個包經過交換機比要經過路由器花的時間少一些，從而交換機提供了更短的延遲；但另一方面，可以用路由器的處理能力來提供比交換機更大程度的控制。

在明白網絡設計的目標之前，我們不可能有效地討論如何使用交換技術和路由選擇技術的最優組合來建造交換式局域網，下面是交換式局域網的一些常見的設計目標：

●以合理的成本取得較高的處理能力

●更低的端到端的遲延

●具有對通信模式進行調節的彈性

●容易配置和安裝

●最小化的管理負擔

●對網絡資源訪問的有效控制

在下面的討論中你將明白，交換技術作為主導技術，而路由選擇技術扮演重要但較小角色的局域網設計能最好地符合上述大部分的設計目標。在這個混合中高比例的交換技術通常是令人滿意的，因為交換技術比路由選擇技術更能以較低的成本提供更大的通信處理能力，而且交換機更易於安裝、配置和管理。

在交換式局域網中，由路由器完成的基本功能主要有四種，對它們有清楚的瞭解有助於我們明白路由選擇在交換式局域網中擔任的角色，這四個功能為:

●把交換式局域網分割成多個廣播域，並且把這些域連接在一起

●在不同子網間進行信息包的傳送

●作為互連不同局域網的技術

●提供對從屬在局域網上的資源進行安全訪問的機制

當然，路由器完成的功能不止這些。當將局域網連接到廣域網上時，路由器承擔了許多協議的轉換工作，如從局域網的協議到針對專用線路或電話線路連接的點到點協議（PPP），或者幀中繼。但這些功能因所連接的廣域網的不同而有所差異，這裏我們只關心在交換式局域網中的情形，因此，我們的焦點就放在上述四個基本功能上。

一些局域網技術（如以太網和令牌環網）提供讓任一個站點可發送一信息包給局域網中的所有其它站點的能力，這也就是所謂廣播。幾乎所有局域網的網絡協議都是用廣播來實現操作和管理的機制的。例如，使客户機能定位服務器，允許散播有關可利用的網絡資源的信息等等。

一般而言，越多的站點連接到同一個局域網上，產生的廣播通信量就越大。對於通過網橋或交換機連接多個局域網段而形成的大型局域網而言，這種情況仍成立。

在一個局域網中的廣播通信量不僅僅取決於連接到局域網上的站點數目，還有許多其他因素的影響，如在局域網上的服務器和路由器的數目，所用的協議類型、用户啓動和終止網絡應用程序的頻率等等。同時，令牌環網中可觀察到的廣播特徵不同於以太網，因為令牌環網用一種稱為源路由探測幀（Source Route Explore Frames），這種幀在經過橋接的網絡時如果面臨多個路由選擇就會複製自己。

由於影響局域網廣播通信量的因素很多，因此很難給出一個通用的衡量指標。然而，實際的網絡測定表明，即使用一般的網橋或交換機連接有幾百個甚至幾千個結點的局域網 ，平均的廣播通信量一般不會超過每秒10-30個信息包，在偶爾發生的高峯期每秒也最多隻有 100-150個信息包。而每秒30個廣播包意味佔用大約以太網信道的千分之二點五，（這裏假定廣播信息包平均長度為100字節）。因此廣播流對整個網絡性能的影響是可以忽略的。

儘管局域網上的廣播流對網絡性能的影響甚微，但同樣的情況卻不適用於廣域網的連接。在這種情形下，廣播通信流將佔用寶貴的廣域網帶寬的相當一部分，而路由器在這種環境中起着最小化廣播通信的影響的作用。

當前對網絡協議和軟件的類型和用法的趨勢是：傾向於減少在局域網中的廣播通信流量。例如，對NetBIOS協議（一個大量使用廣播的協議）的使用正日益減少。同時，新的特性不斷地被Novell公司吸收入NetWare 4.X 版本，包括NetWare 目錄服務（NetWare Directory Services）和對NetWare連接狀態協議（NetWare Link State Protocol）的支持，從而減少SAP（Service Advertising Protocol）和RIP（Routing Information Protocol）協議的通信流。

具有多年網絡管理經驗的系統管理員可能知道廣播風暴。在一個大型網絡中，一個高等級的廣播通信流可能暫時轟炸網絡的某一部分，造成站點失去與服務器的連接，於是當這些站點試圖重建它們的連接時引發了更多的廣播通信流，因此引起的連鎖反應就是廣播風暴。最終迅速增長的廣播通信流會淹沒整個網絡，使整個網絡陷入癱瘓 。

路由器能很好地解決廣播風暴問題。 客户機發出用來尋找服務器的廣播包在路由器處被截獲。由路由器進行向前轉發。因此路由器提供了一類針對廣播包的防火牆。從而抑制了可能引發廣播風暴的連鎖反應。對廣播風暴的恐懼，造成了局域網設計時常常以路由器為中心。後面我們將説明以路由器為中心的網絡結構。

毫無疑問，在今天通過網橋互連的大型局域網中，廣播風暴會導致十分嚴重的網絡服務丟失問題。然而，該問題的出現主要源於迄今為止仍缺乏足夠重視的三個事實：

使用遠程網橋通過低速專用線路連接外部網點。這種原始的遠程局域網網橋具有很少的或者沒有廣播包的過濾能力。因此原本在10Mbps的以太網中佔用微不足道帶寬的廣播通信流量可能很快轟炸64Kbps的線路。站點間失去連接的結果很容易引發廣播風暴。實踐中往往採用路由器支持低速線路連接遠程網點，利用路由器來防止遠程線路被廣播包轟炸。

端站實現IP協議棧時的特性也容易引發廣播風暴。在有關IP的資料中記述了許多早期實現IP協議棧的方式，它們都可能引發廣播風暴。如在早期的Berkeley UNIX版本中站點在收到一個錯誤IP的信息包會繼續轉發它，以及站點可能會對特定的廣播包發出ICMP錯誤信息。當前的IP實現的版本已經消除了這個問題

端站的網絡接口和協議棧的糟糕的實現。由於歷史的原因，不足的處理能力，不足的緩衝內存，以及對協議棧的不成熟的軟件實現，造成了對局域網中的廣播通信流的過度的敏感。若在相對較低等級的廣播通信流的情況下，局域網的接口變得擁塞，則連接可能會失去，站點試圖重建連接的努力又形成了引發廣播風暴的條件。經歷了十多年的技術發展，局域網的接口能處理很高的廣播流了。可能引發廣播風暴的通信流的下限也提高很多了。

總而言之，今天的交換式局域網中廣播風暴的風險被極大地誇大了。如果把適度的注意點移到如何更好的配置交換式局域網上，那沒有理由不能構建擁有數千個結點的大型局域網，而且仍具有良好的性價比和可擴展性等好處。

大量應用的網絡協議如IP和IPX以及NetBIOS等提供了一個獨立於下層局域網傳輸的網絡層尋址結構。IP和IPX都是可尋址的協議。也就是説它們實現了分層次的尋址方案，用如<網絡標識號 主機標識號>來標識所有的網絡主機。NetBIOS是一個不可尋址的協議，因為網絡主機只是簡單的用一個名字標識它，而沒有層次結構。

網絡協議的尋址結構對交換式局域網的設計具有重要的意義。因為網絡地址的層次特性需要把網絡主機分成許多的組，每組中的主機具有相同的網絡標識號。在某一組中的一個主機想和另一組中的主機進行通信的唯一辦法是把信息包送往路由器，由路由器進行轉發。在這裏，我們將詳細地討論尋址方案。稍後，我們將討論在這些方案的限制下進行有效工作的策略。

IP 尋址

IP協議用四個字節（32位）來進行網絡尋址。網絡標識號和主機標識號在其中的分割是具有一定靈活性的。任一組織可以用專用的尋址方案來管理IP，這樣它們擁有極大的靈活性，或者它們也可利用公共的尋址方案。這些方案是由負責全球唯一分配IP地址的IANA（Internet Assigned Numbers Authority）制定的。

大多數組織選用公共的尋址方案。但問題在於地址僅有四個字節，地址空間極其有限。結果，許多的組織被迫選用具有諸多限制的尋址方案。如限制在一個局域網中不用經過路由器而可直接相互通信的站點數目。

對於可尋址的協議，每個端站可以有一個由網絡標識號和主機標識號組成的網絡地址，對IP而言，每個端站的地址通常是由網絡管理員手工配置的。當一個端站想和它已知道其IP的另一個端站進行通信時，它首先把自己的網絡標識號與目的站點的網絡標識號進行比較。如果它們是相同的，則表明目的站點是位於同一個局域網中的。於是我們僅僅需要找到該站點所對應的局域網地址。這裏我們利用ARP協議。如果它們的網絡標識號不一樣，則源站點將不得不和一個或多個路由器進行通信。路由器中包含有如何到達不同網絡的路由信息。這也意味着在交換式局域網中，路由器能使具有不同網絡號的端站進行通信。當前最流行的尋址方案是C類地址，這裏我們必須把局域網用户分成組，每組中不能有超過254個站點具有相同的網絡標識號。在同一組中的站點的通信可直接通過交換式局域網進行。而不同組間要通過路由器。

IP尋址: 子網化

對於最常用的C類IP尋址方案，在一個子網的站點數目不得超過254的限制給我們帶來了諸多的不便。其他的IP尋址方案沒有這樣的限制。

許多大型的組織很幸運地申請（通過IANA）到了一個B類地址甚至一個A類地址。B類地址支持在一個子網中多達65534個站點。而A類地址甚至允許在一個子網中可有1600萬個站點。IANA極不樂意再分配新的A類地址或B類地址，因為剩下的已經不多了。如果要想申請得一個A類或B類地址，則必須給出非常充分的理由。

實際上，沒有真正的網絡在一個子網中包含有65000個站點，更不要説1600萬個站點了。為了更好地利用已經分配的IP地址空間。通常再為它配置一個子網屏蔽碼。對於一個A類地址而言,IP地址中的網絡標識號通常位於IP地址的頭8位，而對B類地址，網絡標識號佔用了頭16位。但如果我們在附加6個位給網絡標識號的話，則我們就有效地把一個B類地址分割成了62個更小的子網，每個子網中最多可有1022個站點。

擁有A類地址或B類地址的組織應明智地利用這個很有價值的資產。設置好子網屏蔽碼的大小對於充分地利用這個地址空間而言是極其關鍵的。子網屏蔽碼大得應能支持所需要的子網的最大數目（例如，人們可能在每個分支辦公處都需要一個子網）。同時，又要考慮在主要場所大型交換式局域網帶來的良好的性價比。

許多組織只可能向IANA申請C類地址，在C類地址的限制下有效工作的策略後面我們會討論到。

IPX 尋址

Novell IPX 協議很少碰到象上面IP尋址具有的限制。在IPX協議中，網絡層地址佔用十個字節，其中頭四個字節是網絡標識號，後六個字節是主機標識號，主機標識號其實就是在局域網適配卡（即網卡）中內置的地址。這個地址是由IEEE全球唯一分配的，網絡標識號是在每個站點啓動時，通過向局域網中的服務器廣播一個請求而得到。

因此，對於IPX而言，對具有同一網絡標識號的站點數目沒有限制。在一個正確設計的交換式局域網中，所有的IPX站點可以自由地通過局域網交換機進行相互通信，根本不需要經過任何路由器。

NetBIOS 尋址

NetBIOS站點的地址是一個由數字和字母組成的名字標誌着。這個名字沒有層次意義，因此，NetBIOS站點可以在一個平坦型網絡中直接進行通信，也可通過一個橋接局域網進行。如果一定要經過路由器的話，則或者NetBIOS是通過路由器連接的，或者NetBIOS是被包含在另一個協議中（如IP協議）。

網絡的現實: 多種協議的局域網

在大型組織中，大多數局域網需要支持多種局域網協議。然而，每種協議都各具有不同的特徵。每種協議都有它的最優設計方案。但很幸運的是，我們可以設計一個交換式局域網來提供IP，IPX 和其他非可尋址協議的最優性能組合。

傳統的局域網設計方法是以IP為中心的。焦點也就放在根據IP尋址方案把局域網分割成多個子網。許多的組織認為: 如果他們將在每個子網最多254站點的限制下工作的話，那他們也可很好地設計僅有一個物理網段的局域網。每個網段接到一個路由器端口上。

這種方法的問題在於，任意兩個網段之間的通信流，不管它們的協議，都必須經過一個或多個路由器。事實上，他們已經採取了接受IP地址限制的網絡結構，並且強加這種限制於其他的網絡協議之上，也不管IPX協議能在一個子網內能支持多少個站點。所有的相互通信都需要經過路由器。同時也意味着所有的非可尋址的協議如NETBIOS都必須接到路由器上，這種基於路由器的結構為了達到較好的性能，必須耗費大量的路由器的資源。

總之，在交換式局域網中，如果必須在多個子網間進行信息包的傳送的話，則必須接受IP尋址方案的限制。同時，也不能應用於IPX和其它非尋址協議。但對於一個正確設計的交換式局域網而言，尋址能力的限制僅僅對不同網絡的站點間的IP通信流發生作用。在大多數情況下，我們可能把所有局部的IPX通信流和所有的非可尋址通信流放在一個交換式局域網內，而不用經過任何路由器。這將在後面的交換式局域網部分加以詳細闡述。

路由器被大量地應用於大型局域網內，用來互連不同類型的局域網。如連接以太網或者令牌環網到FDDI主幹網上，或連接位於同一地點的以太網和令牌環網。路由器在支持連接到FDDI主幹網的市場上的地位遭到局域網交換機的嚴重挑戰。局域網交換機可以在以太網或令牌環網與FDDI主幹網之間起着網橋的作用，專注於簡單的幀格式的轉換而避開了所有網絡層複雜的處理。交換機僅以路由器一小部分的代價達到與FDDI主幹網連接的目的。而且當在高速主幹網技術上FDDI讓位於ATM的時候，通過交換機把以太網或令牌環網連接到主幹網上將變得更容易。因為ATM能模擬局域網支持直接傳輸以太網或令牌環網幀，不需要轉換工作。

連接以太網與令牌環網的網橋存在互操作性問題已經很久了。而路由器能較好地滿足這種需要。當以太網和令牌環網的用户相共享對公用資源的訪問時，則在每個服務器上安裝兩種類型的網卡。使兩類用户都可直接訪問服務器。這樣將能提供更好的性能，並且減少對昂貴路由器的需求。

除了在不同局域網和廣域網的連接間轉發信息包之外。路由器一般也提供一定範圍的包過濾能力，從而提供對網絡資源更安全的訪問。對廣域網來説安全訪問是必需的，但許多的組織也在路由器中提供包過濾的能力來實現局域網內的安全訪問。路由器對通常由網絡應用程序提供的有關安全性的功能提出了有用的增補，以及能對沒有權限訪問的用户進行網絡資源屏蔽。大多數路由器提供一系列的邏輯規則，可用來創建適當的過濾器。如根據網絡地址，套接字號，協議類型等等，這些規則使用户能很有彈性實現他們的安全功能。但是，應該説明的是，路由器在接受到每個包後在軟件中運用過濾規則進行處理，因此可能對路由器的吞吐率和包遲延有較嚴重的影響。