VLAN詳解系列：加速VLAN間通信的手段與傳統型路由器存在的意義

說明 前提

1 加速VLAN間通信的手段

流（Flow）
根據到此為止的學習，我們已經知道VLAN間路由，必須經過外部的路由器或是三層交換機的內置路由模塊。但是，有時並不是所有的數據都需要經過路由器（或路由模塊）。
例如，使用FTP（File Transfer Protocol）傳輸容量為數MB以上的較大的文件時，由於MTU的限制，IP協議會將數據分割成小塊後傳輸、並在接收方重新組合。這些被分割的數據，“發送的目標”是完全相同的。發送目標相同，也就意味著同樣的目標IP地址、目標端口號（注：特別強調一下，這裡指的是TCP/UDP端口）。自然，源IP地址、源端口號也應該相同。這樣一連串的數據流被稱為“流（Flow）”。
只要將流最初的數據正確地路由以後，後繼的數據理應也會被同樣地路由。
據此，後繼的數據不再需要路由器進行路由處理；通過省略反覆進行的路由操作，可以進一步提高VLAN間路由的速度。

2 加速VLAN間路由的機制

接下來，讓我們具體考慮一下該如何使用三層交換機進行高速VLAN間路由。
首先，整個流的第一塊數據，照常由交換機轉發→路由器路由→再次由交換機轉發到目標所連端口。這時，將第一塊數據路由的結果記錄到緩存裡保存下來。需要記錄的信息有：

l目標IP地址
l源IP地址
l目標TCP/UDP端口號
l源TCP/UDP端口號
l接收端口號（交換機）
l轉發端口號（交換機）
l轉發目標MAC地址

等等。
同一個流的第二塊以後的數據到達交換機後，直接通過查詢先前保存在緩存中的信息查出“轉發端口號”後就可以轉發給目標所連端口了。
這樣一來，就不需要再一次次經由內部路由模塊中繼，而僅憑交換機內部的緩存信息就足以判斷應該轉發的端口。
這時，交換機會對數據幀進行由路由器中繼時相似的處理，例如改寫MAC地址、IP包頭中的TTL和Check Sum校驗碼信息等。

通過在交換機上緩存路由結果，實現了以纜線速度（Wired Speed）接收發送方傳輸來數據的數據、並且能夠全速路由、轉發給接收方。
需要注意的是，類似的加速VLAN間路由的手法多由各廠商獨有的技術所實現，並且該功能的稱謂也因廠商而異。例如，在Cisco的Catalyst系列交換機上，這種功能被稱為“多層交換（Multi Layer Switching）”。另外，除了三層交換機的內部路由模塊，外部路由器中的某些機型也支持類似的高速VLAN間路由機制。

3 傳統型路由器存在的意義

路由器的必要性
三層交換機的價格，在問世之初非常昂貴，但是現在它們的價格已經下降了許多。目前國外一些廉價機型的售價，摺合成人民幣後僅為一萬多元，而且還在繼續下降中。
既然三層交換機能夠提供比傳統型路由器更為高速的路由處理，那麼網絡中還有使用路由器的必要嗎？
答案是：“是”。

使用路由器的必要性，主要表現在以下幾個方面：
l用於與WAN連接

注：在少數高端交換機上，也能支持上述路由器的功能。例如Cisco的Catalyst6500系列，就可以選擇與WAN連接的接口模塊；還有可選的基於IPSec實現VPN的模塊；並且也能支持TCP/IP以外的其他網絡協議。

4 路由器和交換機配合構建LAN的實例

下面讓我們來看一個路由器和交換機搭配構建LAN的實例。

利用在各樓層配置的二層交換機定義VLAN，連接TCP/IP客戶計算機。各樓層間的VLAN間通信，利用三層交換機的高速路由加以實現。如果網絡環境要求高可靠性，還可以考慮冗餘配置三層交換機。

與WAN的連接，則通過帶有各種網絡接口的路由器進行。並且，通過路由器的數據包過濾和VPN等功能實現網絡安全。此外，使用路由器還能支持Novell Netware等TCP/IP之外的網絡。

不過現在的廠商都有集成業務型路由器，比如思科的ISR2，華為的AR，H3C的MSR，都是路由 交換 無線 語音 安全功能集於一身的，擴展性非常好，這種區分變得越來越小了。

閱讀更多 思恆科技 的文章

關鍵字: 網絡安全 路由器 Mac電腦