二层、三层、四层交换机之间的对比

还记得阳光通过棱镜的实验吗？白光通过棱镜后被分解成多种颜色逐渐过渡的色谱，颜色依次为红、橙、黄、绿、青、蓝、紫，而这就是可见光谱。很显然，棱镜把混合的事物给细分开来。

现在的无线网络就如同一束白色光，用户在使用端似乎感觉不到差异，但是，如果把这白色光通过三棱镜来分解，就会发现其中的不同。我们就从无线网络架构入手，来剖析一个多彩的世界。

事实上，无线网络架构的变革是一直在酝酿的事。去年，Motorola Solutions推出WiNG 5架构，今年三月，Aruba推出MOVE(Mobile Virtual Enterprise)架构，瞻博网络也正在把Smart Mobile架构整合进入最新的Simply Connected解决方案之中。针对云计算的浪潮，H3C的方案可以概括为“AC云和云AC”。傲天动联提出的网络架构被称为CUBE(Cloud Unify Broadband Evolution)。思科的FlexConnect架构在广域网链路中断或者AC不可用时仍提供可以工作的无线网。当然，运营商是无线网络份额非常大的一个部分，华为提出的SingleRAN解决方案就更多偏向运营商。还有一些公司并未提出个性化的名字，但是在无线架构的发展上也提出了有特色的解决方案或者技术。

无线网络火爆的背后

显然，无线网络已经深入渗透到我们的工作和生活之中。这在苹果新品发布会上被推向一个新高潮，乔布斯因为Wi-Fi接入点集中爆发而不得不要求现场观众关闭部分Wi-Fi。这从某个角度来看，正好印证了无线网络的火爆程度。当然，从数字来看，这种火爆显得似乎更为具体。最近GSM联盟的一份报告称全球移动连接将达60亿，而在Informa针对无线宽带联盟的一项研究中，更是预测到2015年，Wi-Fi热点将增长350%，达到580万个。

当大量应用通过无线接入终端接入网络，当安全性、可管理、抗干扰等多种需求逐步提高的时候，无线网络除了在传输速度上大幅提升之外，在网络架构方面面临调整也是自然的选择。但是，这种调整将走向哪里?调整的幅度会有多大?具体的推动力是在哪里?

“回顾历史，胖AP向瘦AP架构转变的过程中，最大的推动力来自于用户对于大规模无线网络的集中管理和运维的需求。” 锐捷网络无线产品总监蔡韡对当初胖瘦AP变革的原因解释是很多人的共识。但是，处于变革之后的时候，是很难给出这么确切的答案的。

目前看到的无线网络架构似乎并没用统一的方向。“无线网络架构将向多元化发展，WLAN会有更多的选择。”瞻博网络中国区无线网络系统工程师林涛认为未来WLAN会从单一向多元转化，而WLAN的多元主要是因为应用场景的丰富。比如，在简单的SOHO环境中，胖AP架构仍将占据主流，而在多分支机构统一管理中，云管理的体系架构将会发展。

探究无线网络架构细节

“云计算+无线接入+瘦终端是无线网络架构发展的必然趋势。” Aruba中国分公司总裁徐涌对未来的看法简单而明确。基于这样的看法，Aruba MOVE架构强调更多的是无线网络的安全方面。它将有线和无线统一到一个内聚网络接入解决方案中，访问权限与用户身份相关联。这意味着，在基于身份的基础上，企业员工可以一致地、安全地访问网络资源，而无需考虑他们在哪里，他们使用什么设备或者他们是如何连接的。

同样看好云计算，但是细节却有不同，在H3C无线产品线总工缪炎的表述中是这样的：“未来的无线网络架构，可以概括为AC云和云AC两个层面：AC云是面向部署运维的理解，云AC是面向用户业务的呈现。H3C即将推出基于云AC架构的MASTERTM新一代移动互联网解决方案，重点在智能业务感知、7层移动安全防御、实时频谱防护、射频优化、绿色节能等方面针对“泛载云接入”的普遍需求进行重点实现和优化。”

“WiNG 5的分布式架构可以带来更高容量与智能。” 摩托罗拉系统(中国)有限公司无线网络解决方案业务总经理蔡劼毫不吝惜对这一架构的赞美。他表示WiNG 5无线局域网解决方案让接入点实现了与控制器一样的智能，接入点之间可以相互直接通信，为网络业务提供更高效的路由。数据可从一个接入点直接被传送至下一个接入点，每一个接入点都了解网络的当前状态，并可在当前的网络负载条件下找到最佳路由路径。控制器虽然仍旧负责管理、指引和调节网络，但可以通过最短的路径完成单独的传输。让接入点拥有与控制器一样的智能，不仅能提高网络容量，还能提升网络的生存能力。当部分网段发生故障时，这种自愈能力的价值就凸显出来。WiNG 5无线局域网接入点具有网络感知能力，因此可以绕过发生故障或过载的组件传送业务。同时，WiNG 5无线局域网中的接入点和控制器还能根据用户需求智能检测射频环境。而这对射频干扰、覆盖缺口和过载通道的检测都有非常重要的作用。

思科FlexConnect架构允许AP承担分支备份Radius服务器的功能，通过本地身份验证/分布式客户端身份验证。同时使用802.1x和分布式密钥，使得密钥都缓存在无线接入点处。从而在AC不可用时，密钥仍然有效，无线客户端仍可以进行身份验证。在Miercom实验室今年4月的一份报告中曾被分析，这可以使该架构允许分支办事处在广域网链路中断或者AC不可用时继续工作。CCKM的快速漫游不需要交换密钥，即使是在AC故障的情况下。

瞻博网络的Simply Connected方案主打简化网络的旗帜，有两个概念被提及：独立于移动设备的品牌和类型并以用户为中心的安全和管理;以及在有线和无线网络混合接入环境发生改变的情况下重新设计和减少网络设备。控制器集成技术是其中非常关键的一点。它指的是企业部署的控制器在逻辑上分组形成集群，对无线网络的管理是通过集群来展开。这样做的优势是实现统一配置，减少单独配置在时间和一致度上的影响。另一个好处是在AC出现故障的时候，能够稳定失效切换，AP自动切换到集群中另外的控制器上，用户端不会感知异样。

针对运营商市场提出的华为SingleRAN解决方案采用统一的基站、统一的基站控制器、统一的运维管理、统一的站点方案，支持不同技术体制的融合和演进，使运营商能够真正从端到端的运维高度来考虑网络发展战略，实现五大核心资产“频谱、站点、管线、用户、员工”的价值最大化。

同样是运营商的解决方案，在傲天动联的架构中，AP作为CUBE支撑云中的网元，只负责网络数据的转发，而不去分析这些数据该采用何种策略转发，从而增加了AP的数据转发能力。数据转发策略由CUBE控制云中的控制器来决定，控制器会把数据转发的策略下发给支撑云里的网元，网元按照策略进行数据转发。

面向未来的无线网络特点

在这些独立的架构名称之外，有很多厂商也在尝试着对无线网络的调整。无线网络本身也在发展。

安全性问题一直困扰无线网络。但是，这种情况也正在变化。“IEEE制定的802.11i是采用128位或者更多位的AES加密机制，目前没有人攻破。第二，从用户认证角度来讲，现在很多都基于SIM卡或者802.1x认证，这是动态密钥认证，每次密钥都不一样，而且每个数据包的密钥都不一样。所以，从这个层面来讲，Wi-Fi已经非常安全了。” 美国优科无线(Ruckus Wireless)公司中国区技术总监宣文威在谈到安全性方面如是说，但是，他也提醒“用户不能忽略加密管理的重要性，在简单操作和安全性方面要做好衡量。”

高密度部署是这些年逐渐涌现出的问题。本地转发和集中转发的配合使用是目前解决这一问题的通用办法。本地转发是数据由AP独立处理，无需经过AC，而集中转发模式下，数据经过AC统一处理。“单独使用集中转发，流量全部通过AC的话有两个隐患，既形成性能瓶颈也容易造成单点故障。当然，选择哪种转发形式是依据业务特征来判断的。对浏览网页、收看视频的应用，用本地转发是合适的。但对一些需要严格控制的业务，比如说银行数据，是不允许本地转发的，必须流向数据中心，这时候要用集中转发的模式。” 宣文威这样解释。

显然，AP的密集部署会增加信号干扰和投入成本，“汉柏的WLAN技术完全采用稀疏的AP部署，实现精准的定位，并且达到高密度、大容量覆盖效果(目标)。” 汉柏技术中心无线产品经理姚磊给出汉柏在解决这个问题时的办法。

在神州数码网络无线产品线产品经理钱丽霞的表述中，无线网络架构不仅与端口数量、传输速度和安全性能有关，而且“与物联网的结合及应用，使IPv6地址分派及无线运营管理成为重要功能。而关于云计算在无线网络架构的应用，神州数码网络主要是通过云管理的方式实现AP的集中管理。”

“管理一体化，转发分布化”是蔡韡对无线网络架构的表述。“管理一体化”指的是，作为无线网核心的集中式控制器将慢慢融入到有线网络的各级设备中去。“转发分布化”指的是，AP将实现本地转发，AP的数据无需经过控独立制器或者一体机来集中式转发，从而解决在大规模AP部署和大流量应用下的控制器性能甁颈。

从三棱镜到一束光

无论是端口数量还是在安全、干扰和管理能力上，无线网络都在优化。每一个架构或者说方案都是三棱镜后的一个光谱，但是当把这许多的光谱整合在一起的时候，我们可以看到完整的一束光。

在这束“无线网络”的光中，需要提醒用户的是，信息在空气中传输，所以无可避免会遇到干扰和安全性的困扰。因为射频系统是不可预知的，随着人和物体的不断移动，它们的表现会发生变化。而802.11n的射频媒介是共享的，这就意味着无线的性能一定会受到所连接用户数量的影响。这些固有的特性似乎给无线网络的发展蒙上了阴影，但是，正是因为对未来有所期待，才形成了整个技术发展不竭的动力。同样，用户也需要在勘察和部署的时候，按照正确的流程来操作，才能把问题减少到最小。

(四)结论

二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。

路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访;如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

一般来说，在内网数据流量大，要求快速转发响应的网络中，如全部由三层交换机来做这个工作，会造成三层交换机负担过重，响应速度受影响，将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是客户的腰包很鼓，不然就退而求其次，让三层交换机也兼为网际互连。

第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。

在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP)，每组服务器支持某种应用。在域名服务器(DNS)中存储的每个应用服务器地址是VIP，而不是真实的服务器地址。

当某用户申请应用时，一个带有目标服务器组的VIP连接请求(例如一个TCP SYN包)发给服务器交换机。服务器交换机在组中选取最好的服务器，将终端地址中的VIP用实际服务器的IP取代，并将连接请求传给服务器。这样，同一区间所有的包由服务器交换机进行映射，在用户和同一服务器间进行传输。

第四层交换的原理

OSI模型的第四层是传输层。传输层负责端对端通信，即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(一种传输协议)和UDP(用户数据包协议)所在的协议层。

在第四层中，TCP和UDP标题包含端口号(portnumber)，它们可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP等)。端点系统利用这种信息来区分包中的数据，尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型，并把它交给合适的高层软件。端口号和设备IP地址的组合通常称作“插口(socket)”。 1和255之间的端口号被保留，他们称为“熟知”端口，也就是说，在所有主机TCP/IP协议栈实现中，这些端口号是相同的。除了“熟知”端口外，标准UNIX服务分配在256到1024端口范围，定制的应用一般在1024以上分配端口号. 分配端口号的最近清单可以在RFc1700”Assigned Numbers”上找到。TCP/UDP端口号提供的附加信息可以为网络交换机所利用，这是第4层交换的基础

“熟知”端口号举例

应用协议 端口号

FTP　20(数据)

21(控制)

TELNET　23

SMTP　 25

HTTP 80

NNTP　 119

NNMP　 16

162(SNMPtraps)

TCP/UDP端口号提供的附加信息可以为网络交换机所利用，这是第四层交换的基础。

具有第四层功能的交换机能够起到与服务器相连接的“虚拟IP”(VIP)前端的作用。

每台服务器和支持单一或通用应用的服务器组都配置一个VIP地址。这个VIP地址被发送出去并在域名系统上注册。

在发出一个服务请求时，第四层交换机通过判定TCP开始，来识别一次会话的开始。然后它利用复杂的算法来确定处理这个请求的最佳服务器。一旦做出这种决定，交换机就将会话与一个具体的IP地址联系在一起，并用该服务器真正的IP地址来代替服务器上的VIP地址。

每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP 端口相关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服务器之间重新影射和转发，直到交换机发现会话为止。

在使用第四层交换的情况下，接入可以与真正的服务器连接在一起来满足用户制定的规则，诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。

如何选用合适的第四层交换

a,速度

为了在企业网中行之有效，第四层交换必须提供与第三层线速路由器可比拟的性能。也就是说，第四层交换必须在所有端口以全介质速度操作，即使在多个千兆以太网连接上亦如此。千兆以太网速度等于以每秒488000 个数据包的最大速度路由(假定最坏的情形,即所有包为以及网定义的最小尺寸,长64字节)。

b,服务器容量平衡算法

依据所希望的容量平衡间隔尺寸，第四层交换机将应用分配给服务器的算法有很多种，有简单的检测环路最近的连接、检测环路时延或检测服务器本身的闭环反馈。在所有的预测中，闭环反馈提供反映服务器现有业务量的最精确的检测。

c,表容量

应注意的是，进行第四层交换的交换机需要有区分和存贮大量发送表项的能力。交换机在一个企业网的核心时尤其如此。许多第二/ 三层交换机倾向发送表的大小与网络设备的数量成正比。对第四层交换机，这个数量必须乘以网络中使用的不同应用协议和会话的数量。因而发送表的大小随端点设备和应用类型数量的增长而迅速增长。第四层交换机设计者在设计其产品时需要考虑表的这种增长。大的表容量对制造支持线速发送第四层流量的高性能交换机至关重要.

d,冗余

第四层交换机内部有支持冗余拓扑结构的功能。在具有双链路的网卡容错连接时，就可能建立从一个服务器到网卡，链路和服务器交换器的完全冗余系统。