交換網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)流程2007-10-29 13:42:31| 分類：電腦技術(shù) | 標(biāo)簽：|字號(hào)大中小訂閱A.1 引言隨著因特網(wǎng)的高速發(fā)展，人們對(duì)通信的需求已從傳統(tǒng)的電話、傳真、電報(bào)等低速業(yè)務(wù)逐漸向高速

交換網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)流程

2007-10-29 13:42:31| 分類：電腦技術(shù) | 標(biāo)簽：

|字號(hào)大中小訂閱

A.1 引言

隨著因特網(wǎng)的高速發(fā)展，人們對(duì)通信的需求已從傳統(tǒng)的電話、傳真、電報(bào)等低速業(yè)務(wù)逐漸向高速的因特網(wǎng)接入、可視電話、視頻點(diǎn)播等寬帶業(yè)務(wù)領(lǐng)域延伸。用戶對(duì)上網(wǎng)速率的需求也越來越高，以太網(wǎng)接入因其成本低、使用簡(jiǎn)單、速度高而倍受市場(chǎng)的關(guān)注。面對(duì)迅猛發(fā)展的寬帶網(wǎng)絡(luò)建設(shè)需求，華為公司根據(jù)不同的客戶類型需求，推出了Quidway 系列以太網(wǎng)交換機(jī)及其它網(wǎng)絡(luò)設(shè)備。使用華為公司的網(wǎng)絡(luò)設(shè)備，可以構(gòu)建可運(yùn)營、可管理的網(wǎng)絡(luò)。那么在網(wǎng)絡(luò)中，數(shù)據(jù)是怎樣轉(zhuǎn)發(fā)的呢？本文將簡(jiǎn)要講述數(shù)據(jù)在交換網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)流程。

A.2 簡(jiǎn)單的轉(zhuǎn)發(fā)流程

下面給出一個(gè)簡(jiǎn)單的組網(wǎng)示意圖，以便說明。

圖A-1 小區(qū)組網(wǎng)示意圖

在上圖中，L3表示的是三層交換機(jī)，GSR 為Gigabit Switch Router的縮寫，即G 比特交換路由器，ICP 為Internet Content Provider的縮寫，即因特網(wǎng)內(nèi)容提供商。

在組網(wǎng)中，接入層設(shè)備為華為S2000系列和S3000系列以太網(wǎng)交換機(jī)。匯聚層設(shè)備為S3500系列以太網(wǎng)交換機(jī)或者S5516、S6506等三層以太網(wǎng)交換機(jī)。小區(qū)內(nèi)部有AAA （Authentication, Authorization and

Accounting ）服務(wù)器、DHCP

（Dynamic Host Configuration Protocol）服務(wù)器、DNS （Domain Name Server）服務(wù)器。

說明：

實(shí)際組網(wǎng)中，用戶的計(jì)算機(jī)可能采用的是固定IP 。用戶通過固定IP 上網(wǎng)與動(dòng)態(tài)申請(qǐng)IP 上網(wǎng)相比，僅僅是缺少了申請(qǐng)IP 地址這一過程。所以在下面的例子中，以用戶的計(jì)算機(jī)通過DHCP 協(xié)議動(dòng)態(tài)申請(qǐng)IP 地址為例進(jìn)行介紹。

用戶計(jì)算機(jī)配置為自動(dòng)獲取IP 地址。

下面介紹小區(qū)內(nèi)部數(shù)據(jù)的轉(zhuǎn)發(fā)過程，對(duì)數(shù)據(jù)到達(dá)城域網(wǎng)后的過程不作介紹。

用戶計(jì)算機(jī)開機(jī)后會(huì)通過DHCP 報(bào)文申請(qǐng)IP 地址。接入層交換機(jī)、匯聚層交換機(jī)會(huì)將此請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給DHCP 服務(wù)器。DHCP 服務(wù)器通過應(yīng)答報(bào)文給用戶PC 分配IP 地址。有了IP 地址后，用戶就可以上網(wǎng)了。

圖A-2 IP地址請(qǐng)求過程

整個(gè)申請(qǐng)IP 地址的過程如下：

(1)客戶機(jī)通過DHCP Discover廣播提出請(qǐng)求。如果客戶機(jī)有一個(gè)永久性的租用地址，它可以直接請(qǐng)求那個(gè)地址。

(2)服務(wù)器一旦收到IP 請(qǐng)求，會(huì)從地址池中取出一個(gè)地址并返回一個(gè)附有可用IP 地址的DHCP Offer 報(bào)文。

(3)如果客戶機(jī)收到多個(gè)IP ，它會(huì)選擇第一個(gè)或其所請(qǐng)求的那一個(gè)。

(4)客戶機(jī)廣播標(biāo)識(shí)服務(wù)器的DHCP Request 報(bào)文并等待。

(5)每一個(gè)服務(wù)器檢查報(bào)文，若發(fā)現(xiàn)不是它的標(biāo)識(shí)，它會(huì)丟棄報(bào)文。當(dāng)被標(biāo)識(shí)的服務(wù)器接收了報(bào)文后，它會(huì)發(fā)回一個(gè)DHCP Ack報(bào)文，如果所請(qǐng)求的IP 被分配也就是說租用已中止，會(huì)發(fā)回DHCP Nak報(bào)文。

(6)如果客戶機(jī)收到DHCP Ack報(bào)文，它可以開始使用IP

地址。如果它收到DHCP Nak，它會(huì)重新開始整個(gè)過程。假如IP 有問題，客戶機(jī)會(huì)發(fā)送一個(gè)DHCP Decline報(bào)文給服務(wù)器并重新開始。

圖A-3 IP地址請(qǐng)求過程示意圖

說明：

這里有一個(gè)問題：如果給每個(gè)用戶分配的都是公網(wǎng)IP ，會(huì)需要大量IP 地址，這非常浪費(fèi)，也不現(xiàn)實(shí)。所以一般情況下，小區(qū)內(nèi)用戶分配的是私網(wǎng)IP ，而在圖中的L3上實(shí)現(xiàn)NAT 功能。

A.2.1 同一VLAN 內(nèi)的通信

用戶計(jì)算機(jī)通過ARP 在本PC 上建立一個(gè)IP 與MAC 地址的對(duì)應(yīng)表格（通往VLAN 外部的IP 地址將對(duì)應(yīng)為VLAN 網(wǎng)關(guān)的IP 地址）。這個(gè)表稱為ARP 表。同時(shí)ARP 在存儲(chǔ)器中維護(hù)一個(gè)cache ，這個(gè)cache 稱為ARP cache。通常用戶計(jì)算機(jī)要向外發(fā)送報(bào)文的時(shí)候（進(jìn)行通信的應(yīng)用程序不知道對(duì)端的物理地址），有如下步驟：

(1)首先搜索ARP cache對(duì)目的IP 進(jìn)行匹配，如果匹配成功，ARP 就反饋IP 地址對(duì)應(yīng)的MAC 地址給進(jìn)行通信的應(yīng)用程序；假如沒有匹配成功就檢查ARP 表，如果匹配成功，ARP 就反饋IP 地址對(duì)應(yīng)的MAC 地址給進(jìn)行通信的應(yīng)用程序。

(2)假如ARP 沒找到一個(gè)匹配的IP 地址，它就會(huì)向網(wǎng)絡(luò)上發(fā)布消息，這個(gè)消息被稱為ARP 請(qǐng)求。ARP 請(qǐng)求被廣播到局域網(wǎng)上的每一個(gè)設(shè)備。

(3)如果局域內(nèi)存在目的IP 對(duì)應(yīng)的設(shè)備，則此設(shè)備會(huì)向發(fā)起ARP 請(qǐng)求的計(jì)算機(jī)反饋應(yīng)答，將自己的MAC 地址反饋給用戶計(jì)算機(jī)。如果局域網(wǎng)內(nèi)不存在目的IP 對(duì)應(yīng)的設(shè)備，則網(wǎng)關(guān)會(huì)將自己的MAC 地址反饋給用戶計(jì)算機(jī)。

(4)用戶計(jì)算機(jī)上進(jìn)行通信的應(yīng)用程序根據(jù)找到的MAC 地址封裝報(bào)文，并發(fā)送出去。同時(shí)用戶計(jì)算機(jī)上的ARP 會(huì)將新找到的MAC 地址和其對(duì)應(yīng)的IP 地址作為一個(gè)表項(xiàng)添加到ARP 表和ARP cache中。

(5)交換機(jī)收到用戶計(jì)算機(jī)的報(bào)文，進(jìn)行判斷，如果通信的源端和目的端在同一個(gè)VLAN 內(nèi)部，

進(jìn)行二層轉(zhuǎn)發(fā)；如果二者不在同一個(gè)VLAN 內(nèi)，就交給網(wǎng)關(guān)進(jìn)行三層轉(zhuǎn)發(fā)。

如果用戶在同一個(gè)VLAN 內(nèi)部通信，只需要進(jìn)行二層的點(diǎn)到點(diǎn)通信。

說明：

VLAN 是虛擬局域網(wǎng)，是將有相同需求的網(wǎng)絡(luò)設(shè)備從邏輯上劃分在一個(gè)局域網(wǎng)內(nèi)，而不是按照物理位置劃分局域網(wǎng)。VLAN 的詳細(xì)描述可以參見IEEE 802.1Q協(xié)議和配置指導(dǎo)中VLAN 配置模塊。

圖A-4 同一VLAN 內(nèi)的通信示意圖

A.2.2 不同VLAN 間的通信

交換網(wǎng)絡(luò)中如果沒有配置PVLAN ，則不同VLAN 間的計(jì)算機(jī)進(jìn)行通信需要經(jīng)過路由來實(shí)現(xiàn)，這里就不再詳細(xì)介紹。

A.2.3 用戶登錄因特網(wǎng)的數(shù)據(jù)流程

如果用戶想要上網(wǎng)，則需要將報(bào)文發(fā)送給網(wǎng)關(guān)；網(wǎng)關(guān)再進(jìn)行三層的路由轉(zhuǎn)發(fā)。一般用戶會(huì)使用域名來訪問因特網(wǎng)，這時(shí)在登錄到指定的網(wǎng)站之前有一個(gè)域名解析的過程：用戶鍵入域名后，計(jì)算機(jī)會(huì)向小區(qū)內(nèi)的域名服務(wù)器發(fā)送一個(gè)DNS 請(qǐng)求報(bào)文，小區(qū)內(nèi)的域名服務(wù)器會(huì)向用戶返回域名對(duì)應(yīng)的IP 地址（用戶的計(jì)算機(jī)上需要正確配置域名服務(wù)器的IP 地址）。

圖A-5 域名解析的過程

說明：

當(dāng)小區(qū)網(wǎng)絡(luò)內(nèi)無DNS 服務(wù)器，而使用小區(qū)網(wǎng)絡(luò)外面的DNS 服務(wù)器時(shí)，就會(huì)出現(xiàn)內(nèi)部用戶不能通過域名訪問DNS 服務(wù)器的情況。原因是：內(nèi)部PC 通過域名訪問網(wǎng)絡(luò)時(shí)，會(huì)到外部的DNS 上請(qǐng)求IP 地址，由于DNS 是在外部，所以它會(huì)返回一個(gè)公網(wǎng)的地址或找不到地址。這樣導(dǎo)致內(nèi)部PC 通過域名訪問時(shí)，得到是外部的地址或者得不到地址，導(dǎo)致小區(qū)內(nèi)部用戶不能正常訪問小區(qū)內(nèi)部的服務(wù)器。

說明：

Quidway S2008B、S2016B 以太網(wǎng)交換機(jī)支持遠(yuǎn)程饋電。對(duì)這些設(shè)備進(jìn)行遠(yuǎn)程饋電需要專門的供電設(shè)備，同時(shí)必須通過指定的交換機(jī)端口才能實(shí)現(xiàn)遠(yuǎn)程饋電。一般情況下，供電設(shè)備設(shè)置在小區(qū)的機(jī)房中，對(duì)小區(qū)內(nèi)所有的需要遠(yuǎn)程饋電的交換機(jī)進(jìn)行供電。

用戶計(jì)算機(jī)在取得了域名對(duì)應(yīng)的IP 地址后，就可以訪問因特網(wǎng)：

(1)用戶計(jì)算機(jī)以域名對(duì)應(yīng)的IP 地址為目的地址，自己的IP 地址為源IP 地址封裝用戶的TCP 或者UDP 數(shù)據(jù)，向網(wǎng)關(guān)發(fā)送此IP 數(shù)據(jù)包；

(2)網(wǎng)關(guān)交換機(jī)收到此數(shù)據(jù)后根據(jù)路由表將此數(shù)據(jù)交給圖中的L3設(shè)備；

(3)L3設(shè)備對(duì)此數(shù)據(jù)進(jìn)行一次NAT 轉(zhuǎn)換，將源地址改為L3的地址池中的一個(gè)公網(wǎng)IP 地址，然后將此數(shù)據(jù)發(fā)送到城域網(wǎng)上；

(4)當(dāng)L3收到從城域網(wǎng)返回的數(shù)據(jù)后，進(jìn)行一次NAT 操作，將目的IP 地址轉(zhuǎn)換為相應(yīng)的私網(wǎng)IP 地址，然后轉(zhuǎn)發(fā)給下掛的相應(yīng)的交換機(jī)；數(shù)據(jù)沿交換機(jī)一層層下發(fā)，直到發(fā)給用戶計(jì)算機(jī)。 說明：

NAT （Network Address Translation），實(shí)現(xiàn)私網(wǎng)IP 地址和公網(wǎng)IP 地址之間的轉(zhuǎn)換。詳細(xì)內(nèi)容可以參見L3設(shè)備配置指導(dǎo)手冊(cè)的相關(guān)描述或其它技術(shù)文檔。

目前華為的S8016交換機(jī)實(shí)現(xiàn)了NAT 功能。

圖A-6 NAT的地址轉(zhuǎn)換過程

通過對(duì)交換機(jī)作簡(jiǎn)單的配置，小區(qū)內(nèi)的用戶就可以上網(wǎng)了。但是，怎樣對(duì)用戶進(jìn)行計(jì)費(fèi)、認(rèn)證、授權(quán)等操作呢？這就需要構(gòu)造一個(gè)可運(yùn)營、可管理的交換網(wǎng)絡(luò)。下面就講述一下可運(yùn)營、可管理的網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)發(fā)流程。

A.3 可運(yùn)營、可管理網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)發(fā)流程

華為Quidway 系列以太網(wǎng)交換機(jī)提供多種特性，可以為運(yùn)營商構(gòu)造可運(yùn)營、可管理的網(wǎng)絡(luò)。

在用戶啟動(dòng)計(jì)算機(jī)準(zhǔn)備上網(wǎng)時(shí)，需要首先通過認(rèn)證，然后才能獲取IP 地址，進(jìn)行后續(xù)的上網(wǎng)過程。

1. 用戶的802.1x 認(rèn)證過程

華為Quidway 系列以太網(wǎng)交換機(jī)提供802.1x 特性，可以對(duì)用戶進(jìn)行802.1x 認(rèn)證。

計(jì)算機(jī)上網(wǎng)必須先進(jìn)行認(rèn)證：在本計(jì)算機(jī)上啟動(dòng)802.1x 終端軟件，輸入用戶名和密碼；交換機(jī)在收到用戶名和密碼后有兩種認(rèn)證方式，可以在本地進(jìn)行認(rèn)證，也可以通過RADIUS 服務(wù)器進(jìn)行遠(yuǎn)端認(rèn)證。

本地認(rèn)證需要在交換機(jī)上配置相應(yīng)的用戶名和密碼，這種方法數(shù)據(jù)交互流程比較簡(jiǎn)單，但管理起來比較麻煩，需要在交換機(jī)上作很多配置，在組網(wǎng)中一般不會(huì)用到。下面就介紹通過RADIUS 服務(wù)器進(jìn)行認(rèn)證的數(shù)據(jù)交互過程。

交換機(jī)上首先需要啟動(dòng)802.1x 認(rèn)證，并作了相應(yīng)的配置。配置過程可以參見交換機(jī)用戶手冊(cè)的“AAA 及安全協(xié)議配置”模塊。

一般情況下交換機(jī)和RADIUS 認(rèn)證服務(wù)器之間傳輸?shù)氖菢?biāo)準(zhǔn)的RADIUS 報(bào)文，下面介紹在這種情況下802.1x 認(rèn)證的數(shù)據(jù)交互過程。

圖A-7 802.1x

認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)過程

用戶計(jì)算機(jī)使用802.1x 協(xié)議幀封裝認(rèn)證信息，和與之相連的交換機(jī)進(jìn)行交互。交換機(jī)則使用標(biāo)準(zhǔn)的

RADIUS 協(xié)議封裝用戶認(rèn)證信息，這樣該認(rèn)證數(shù)據(jù)就可以穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)RADIUS 服務(wù)器進(jìn)行認(rèn)證。下圖為認(rèn)證的數(shù)據(jù)交互示意圖。其中EAPoL （EAPOL 是Extensible Authentication Protocol over LAN的縮寫）數(shù)據(jù)構(gòu)成802.1x 協(xié)議幀，RADIUS 數(shù)據(jù)構(gòu)成RADIUS 協(xié)議幀。

圖A-8 802.1x認(rèn)證數(shù)據(jù)交互過程

交換機(jī)也可以透明傳輸802.1x 的EAP 報(bào)文給RADIUS 服務(wù)器。下面介紹這種情況下的802.1x 認(rèn)證的數(shù)據(jù)交互過程。

在這種情況下，從認(rèn)證客戶端到認(rèn)證服務(wù)器直接傳遞的都是802.1x 的EAP 報(bào)文。首先交換機(jī)和認(rèn)證客戶端之間會(huì)進(jìn)行EAP 的協(xié)商，在協(xié)商完成后，會(huì)進(jìn)行802.1x 認(rèn)證過程。

說明：

在交換機(jī)上作了相應(yīng)的配置之后，交換機(jī)就可以透明傳輸802.1x 的EAP 報(bào)文。相應(yīng)的配置信息請(qǐng)參見交換機(jī)用戶手冊(cè)配置指導(dǎo)分冊(cè)的“AAA 及安全協(xié)議配置”模塊。

802.1x 認(rèn)證的數(shù)據(jù)交互過程如下圖所示。

圖A-9 交換機(jī)透明傳輸802.1x 認(rèn)證報(bào)文

關(guān)于802.1x 認(rèn)證更詳細(xì)的描述，可以參見IEEE 802.1x標(biāo)準(zhǔn)文檔、RFC2869和支持802.1x 的華為網(wǎng)絡(luò)設(shè)備的用戶手冊(cè)。

在經(jīng)過了802.1x 認(rèn)證之后，用戶就被允許訪問網(wǎng)絡(luò)資源，進(jìn)行后續(xù)的上網(wǎng)過程，同時(shí)運(yùn)營商也可以對(duì)該用戶進(jìn)行計(jì)費(fèi)操作。

說明：

除了提供802.1x 認(rèn)證，華為公司還提供portal 認(rèn)證、Web 認(rèn)證等方式對(duì)用戶進(jìn)行認(rèn)證。對(duì)于這些認(rèn)證的數(shù)據(jù)交換過程，可以參見相關(guān)的技術(shù)文檔和支持這些功能的華為網(wǎng)絡(luò)設(shè)備的用戶手冊(cè)。

下面引入一個(gè)問題：如果需要限制某些用戶的上網(wǎng)時(shí)段；限制某些用戶的帶寬，例如某些用戶雖然使用10Mbit/s的帶寬和交換機(jī)相連，但是他只付了2Kbit/s帶寬的費(fèi)用。對(duì)于運(yùn)營商來說，該怎樣去控制網(wǎng)絡(luò)設(shè)備適應(yīng)不同的需求呢？可以通過人工關(guān)閉某個(gè)交換機(jī)的端口、到每個(gè)交換機(jī)上進(jìn)行限制帶寬的配置等滿足這些需求，但是這樣費(fèi)時(shí)費(fèi)力，不能滿足可運(yùn)營、可管理網(wǎng)絡(luò)的需求。華為公司充分考慮了這種需求，為運(yùn)營商提供了電信級(jí)的用戶管理和運(yùn)營能力。下面簡(jiǎn)單介紹在這種網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)發(fā)流程。

2. 在可運(yùn)營、可管理網(wǎng)絡(luò)中對(duì)用戶進(jìn)行集中管理

(1)MA5200＋S3026的組網(wǎng)方案

第一種方案：對(duì)前面小區(qū)的組網(wǎng)重新設(shè)計(jì)，利用“MA5200”加“S3026”進(jìn)行組網(wǎng)。S3026和MA5200之間的通信可通過HGMP V1來承載。通過HGMP V1，MA5200可以實(shí)現(xiàn)對(duì)S3026的集中管理；MA5200可以通過上行高速口直接連接到8750或者直接連接到城域網(wǎng)或骨干網(wǎng)，多臺(tái)S3026直接掛在MA5200的100Mbit/s以太網(wǎng)光接口上，然后S3026連接到小區(qū)用戶桌面計(jì)算機(jī)上。

圖A-10 通過MA5200實(shí)現(xiàn)電信級(jí)的用戶管理和運(yùn)營

MA5200可以對(duì)上網(wǎng)用戶進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)的功能，同時(shí)可以對(duì)用戶使用的帶寬、上網(wǎng)的時(shí)段進(jìn)行控制，對(duì)用戶進(jìn)行按時(shí)按量計(jì)費(fèi)，使之既有以太網(wǎng)接入經(jīng)濟(jì)、成熟的特色，又有電信級(jí)的用戶管理和運(yùn)營能力。

MA5200可以在本地實(shí)現(xiàn)對(duì)上網(wǎng)用戶進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)，也可以把認(rèn)證、授權(quán)、計(jì)費(fèi)交給RADIUS 服務(wù)器來做，這由MA5200上的配置所決定。

MA5200將對(duì)用戶的上網(wǎng)時(shí)段限制等配置信息通過HGMP 報(bào)文直接下發(fā)到用戶相連的S3026交換機(jī)上，并可以實(shí)現(xiàn)基于用戶的帶寬限制，從而實(shí)現(xiàn)對(duì)所有用戶的集中管理。MA5200的詳細(xì)配置可以參見MA5200的用戶手冊(cè)。

(2)使用CAMS 構(gòu)造電信級(jí)交換網(wǎng)絡(luò)

第二種方案，利用華為公司的CAMS 服務(wù)器，實(shí)現(xiàn)電信級(jí)的可運(yùn)營、可管理的交換網(wǎng)絡(luò)。

圖A-11

利用CAMS 構(gòu)造電信級(jí)交換網(wǎng)絡(luò)

在小區(qū)的數(shù)據(jù)中心增加CAMS 服務(wù)器。CAMS 服務(wù)器可以把對(duì)用戶的上網(wǎng)時(shí)段限制等配置直接下發(fā)到各個(gè)交換機(jī)上，并且可以實(shí)現(xiàn)基于用戶的帶寬限制，從而實(shí)現(xiàn)對(duì)所有用戶的集中管理。

圖A-12 CAMS下發(fā)配置數(shù)據(jù)的過程

說明：

CAMS 下發(fā)的配置數(shù)據(jù)在缺省情況下封裝在標(biāo)準(zhǔn)的RADIUS 協(xié)議報(bào)文中。如果用戶在交換機(jī)上作了如下配置之后：

Quidway(config-radius-huawei)#server-type huawei

CAMS 下發(fā)的配置數(shù)據(jù)將封裝在華為擴(kuò)展的RADIUS 協(xié)議報(bào)文中。