交換網(wǎng)絡數(shù)據(jù)轉(zhuǎn)發(fā)流程2007-10-29 13:42:31| 分類：電腦技術(shù) | 標簽：|字號大中小訂閱A.1 引言隨著因特網(wǎng)的高速發(fā)展，人們對通信的需求已從傳統(tǒng)的電話、傳真、電報等低速業(yè)務逐漸向高速

交換網(wǎng)絡數(shù)據(jù)轉(zhuǎn)發(fā)流程

2007-10-29 13:42:31| 分類：電腦技術(shù) | 標簽：

|字號大中小訂閱

A.1 引言

隨著因特網(wǎng)的高速發(fā)展，人們對通信的需求已從傳統(tǒng)的電話、傳真、電報等低速業(yè)務逐漸向高速的因特網(wǎng)接入、可視電話、視頻點播等寬帶業(yè)務領(lǐng)域延伸。用戶對上網(wǎng)速率的需求也越來越高，以太網(wǎng)接入因其成本低、使用簡單、速度高而倍受市場的關(guān)注。面對迅猛發(fā)展的寬帶網(wǎng)絡建設需求，華為公司根據(jù)不同的客戶類型需求，推出了Quidway 系列以太網(wǎng)交換機及其它網(wǎng)絡設備。使用華為公司的網(wǎng)絡設備，可以構(gòu)建可運營、可管理的網(wǎng)絡。那么在網(wǎng)絡中，數(shù)據(jù)是怎樣轉(zhuǎn)發(fā)的呢？本文將簡要講述數(shù)據(jù)在交換網(wǎng)絡中的轉(zhuǎn)發(fā)流程。

A.2 簡單的轉(zhuǎn)發(fā)流程

下面給出一個簡單的組網(wǎng)示意圖，以便說明。

圖A-1 小區(qū)組網(wǎng)示意圖

在上圖中，L3表示的是三層交換機，GSR 為Gigabit Switch Router的縮寫，即G 比特交換路由器，ICP 為Internet Content Provider的縮寫，即因特網(wǎng)內(nèi)容提供商。

在組網(wǎng)中，接入層設備為華為S2000系列和S3000系列以太網(wǎng)交換機。匯聚層設備為S3500系列以太網(wǎng)交換機或者S5516、S6506等三層以太網(wǎng)交換機。小區(qū)內(nèi)部有AAA （Authentication, Authorization and

Accounting ）服務器、DHCP

（Dynamic Host Configuration Protocol）服務器、DNS （Domain Name Server）服務器。

說明：

實際組網(wǎng)中，用戶的計算機可能采用的是固定IP 。用戶通過固定IP 上網(wǎng)與動態(tài)申請IP 上網(wǎng)相比，僅僅是缺少了申請IP 地址這一過程。所以在下面的例子中，以用戶的計算機通過DHCP 協(xié)議動態(tài)申請IP 地址為例進行介紹。

用戶計算機配置為自動獲取IP 地址。

下面介紹小區(qū)內(nèi)部數(shù)據(jù)的轉(zhuǎn)發(fā)過程，對數(shù)據(jù)到達城域網(wǎng)后的過程不作介紹。

用戶計算機開機后會通過DHCP 報文申請IP 地址。接入層交換機、匯聚層交換機會將此請求報文轉(zhuǎn)發(fā)給DHCP 服務器。DHCP 服務器通過應答報文給用戶PC 分配IP 地址。有了IP 地址后，用戶就可以上網(wǎng)了。

圖A-2 IP地址請求過程

整個申請IP 地址的過程如下：

(1)客戶機通過DHCP Discover廣播提出請求。如果客戶機有一個永久性的租用地址，它可以直接請求那個地址。

(2)服務器一旦收到IP 請求，會從地址池中取出一個地址并返回一個附有可用IP 地址的DHCP Offer 報文。

(3)如果客戶機收到多個IP ，它會選擇第一個或其所請求的那一個。

(4)客戶機廣播標識服務器的DHCP Request 報文并等待。

(5)每一個服務器檢查報文，若發(fā)現(xiàn)不是它的標識，它會丟棄報文。當被標識的服務器接收了報文后，它會發(fā)回一個DHCP Ack報文，如果所請求的IP 被分配也就是說租用已中止，會發(fā)回DHCP Nak報文。

(6)如果客戶機收到DHCP Ack報文，它可以開始使用IP

地址。如果它收到DHCP Nak，它會重新開始整個過程。假如IP 有問題，客戶機會發(fā)送一個DHCP Decline報文給服務器并重新開始。

圖A-3 IP地址請求過程示意圖

說明：

這里有一個問題：如果給每個用戶分配的都是公網(wǎng)IP ，會需要大量IP 地址，這非常浪費，也不現(xiàn)實。所以一般情況下，小區(qū)內(nèi)用戶分配的是私網(wǎng)IP ，而在圖中的L3上實現(xiàn)NAT 功能。

A.2.1 同一VLAN 內(nèi)的通信

用戶計算機通過ARP 在本PC 上建立一個IP 與MAC 地址的對應表格（通往VLAN 外部的IP 地址將對應為VLAN 網(wǎng)關(guān)的IP 地址）。這個表稱為ARP 表。同時ARP 在存儲器中維護一個cache ，這個cache 稱為ARP cache。通常用戶計算機要向外發(fā)送報文的時候（進行通信的應用程序不知道對端的物理地址），有如下步驟：

(1)首先搜索ARP cache對目的IP 進行匹配，如果匹配成功，ARP 就反饋IP 地址對應的MAC 地址給進行通信的應用程序；假如沒有匹配成功就檢查ARP 表，如果匹配成功，ARP 就反饋IP 地址對應的MAC 地址給進行通信的應用程序。

(2)假如ARP 沒找到一個匹配的IP 地址，它就會向網(wǎng)絡上發(fā)布消息，這個消息被稱為ARP 請求。ARP 請求被廣播到局域網(wǎng)上的每一個設備。

(3)如果局域內(nèi)存在目的IP 對應的設備，則此設備會向發(fā)起ARP 請求的計算機反饋應答，將自己的MAC 地址反饋給用戶計算機。如果局域網(wǎng)內(nèi)不存在目的IP 對應的設備，則網(wǎng)關(guān)會將自己的MAC 地址反饋給用戶計算機。

(4)用戶計算機上進行通信的應用程序根據(jù)找到的MAC 地址封裝報文，并發(fā)送出去。同時用戶計算機上的ARP 會將新找到的MAC 地址和其對應的IP 地址作為一個表項添加到ARP 表和ARP cache中。

(5)交換機收到用戶計算機的報文，進行判斷，如果通信的源端和目的端在同一個VLAN 內(nèi)部，

進行二層轉(zhuǎn)發(fā)；如果二者不在同一個VLAN 內(nèi)，就交給網(wǎng)關(guān)進行三層轉(zhuǎn)發(fā)。

如果用戶在同一個VLAN 內(nèi)部通信，只需要進行二層的點到點通信。

說明：

VLAN 是虛擬局域網(wǎng)，是將有相同需求的網(wǎng)絡設備從邏輯上劃分在一個局域網(wǎng)內(nèi)，而不是按照物理位置劃分局域網(wǎng)。VLAN 的詳細描述可以參見IEEE 802.1Q協(xié)議和配置指導中VLAN 配置模塊。

圖A-4 同一VLAN 內(nèi)的通信示意圖

A.2.2 不同VLAN 間的通信

交換網(wǎng)絡中如果沒有配置PVLAN ，則不同VLAN 間的計算機進行通信需要經(jīng)過路由來實現(xiàn)，這里就不再詳細介紹。

A.2.3 用戶登錄因特網(wǎng)的數(shù)據(jù)流程

如果用戶想要上網(wǎng)，則需要將報文發(fā)送給網(wǎng)關(guān)；網(wǎng)關(guān)再進行三層的路由轉(zhuǎn)發(fā)。一般用戶會使用域名來訪問因特網(wǎng)，這時在登錄到指定的網(wǎng)站之前有一個域名解析的過程：用戶鍵入域名后，計算機會向小區(qū)內(nèi)的域名服務器發(fā)送一個DNS 請求報文，小區(qū)內(nèi)的域名服務器會向用戶返回域名對應的IP 地址（用戶的計算機上需要正確配置域名服務器的IP 地址）。

圖A-5 域名解析的過程

說明：

當小區(qū)網(wǎng)絡內(nèi)無DNS 服務器，而使用小區(qū)網(wǎng)絡外面的DNS 服務器時，就會出現(xiàn)內(nèi)部用戶不能通過域名訪問DNS 服務器的情況。原因是：內(nèi)部PC 通過域名訪問網(wǎng)絡時，會到外部的DNS 上請求IP 地址，由于DNS 是在外部，所以它會返回一個公網(wǎng)的地址或找不到地址。這樣導致內(nèi)部PC 通過域名訪問時，得到是外部的地址或者得不到地址，導致小區(qū)內(nèi)部用戶不能正常訪問小區(qū)內(nèi)部的服務器。

說明：

Quidway S2008B、S2016B 以太網(wǎng)交換機支持遠程饋電。對這些設備進行遠程饋電需要專門的供電設備，同時必須通過指定的交換機端口才能實現(xiàn)遠程饋電。一般情況下，供電設備設置在小區(qū)的機房中，對小區(qū)內(nèi)所有的需要遠程饋電的交換機進行供電。

用戶計算機在取得了域名對應的IP 地址后，就可以訪問因特網(wǎng)：

(1)用戶計算機以域名對應的IP 地址為目的地址，自己的IP 地址為源IP 地址封裝用戶的TCP 或者UDP 數(shù)據(jù)，向網(wǎng)關(guān)發(fā)送此IP 數(shù)據(jù)包；

(2)網(wǎng)關(guān)交換機收到此數(shù)據(jù)后根據(jù)路由表將此數(shù)據(jù)交給圖中的L3設備；

(3)L3設備對此數(shù)據(jù)進行一次NAT 轉(zhuǎn)換，將源地址改為L3的地址池中的一個公網(wǎng)IP 地址，然后將此數(shù)據(jù)發(fā)送到城域網(wǎng)上；

(4)當L3收到從城域網(wǎng)返回的數(shù)據(jù)后，進行一次NAT 操作，將目的IP 地址轉(zhuǎn)換為相應的私網(wǎng)IP 地址，然后轉(zhuǎn)發(fā)給下掛的相應的交換機；數(shù)據(jù)沿交換機一層層下發(fā)，直到發(fā)給用戶計算機。 說明：

NAT （Network Address Translation），實現(xiàn)私網(wǎng)IP 地址和公網(wǎng)IP 地址之間的轉(zhuǎn)換。詳細內(nèi)容可以參見L3設備配置指導手冊的相關(guān)描述或其它技術(shù)文檔。

目前華為的S8016交換機實現(xiàn)了NAT 功能。

圖A-6 NAT的地址轉(zhuǎn)換過程

通過對交換機作簡單的配置，小區(qū)內(nèi)的用戶就可以上網(wǎng)了。但是，怎樣對用戶進行計費、認證、授權(quán)等操作呢？這就需要構(gòu)造一個可運營、可管理的交換網(wǎng)絡。下面就講述一下可運營、可管理的網(wǎng)絡中的數(shù)據(jù)轉(zhuǎn)發(fā)流程。

A.3 可運營、可管理網(wǎng)絡中的數(shù)據(jù)轉(zhuǎn)發(fā)流程

華為Quidway 系列以太網(wǎng)交換機提供多種特性，可以為運營商構(gòu)造可運營、可管理的網(wǎng)絡。

在用戶啟動計算機準備上網(wǎng)時，需要首先通過認證，然后才能獲取IP 地址，進行后續(xù)的上網(wǎng)過程。

1. 用戶的802.1x 認證過程

華為Quidway 系列以太網(wǎng)交換機提供802.1x 特性，可以對用戶進行802.1x 認證。

計算機上網(wǎng)必須先進行認證：在本計算機上啟動802.1x 終端軟件，輸入用戶名和密碼；交換機在收到用戶名和密碼后有兩種認證方式，可以在本地進行認證，也可以通過RADIUS 服務器進行遠端認證。

本地認證需要在交換機上配置相應的用戶名和密碼，這種方法數(shù)據(jù)交互流程比較簡單，但管理起來比較麻煩，需要在交換機上作很多配置，在組網(wǎng)中一般不會用到。下面就介紹通過RADIUS 服務器進行認證的數(shù)據(jù)交互過程。

交換機上首先需要啟動802.1x 認證，并作了相應的配置。配置過程可以參見交換機用戶手冊的“AAA 及安全協(xié)議配置”模塊。

一般情況下交換機和RADIUS 認證服務器之間傳輸?shù)氖菢藴实腞ADIUS 報文，下面介紹在這種情況下802.1x 認證的數(shù)據(jù)交互過程。

圖A-7 802.1x

認證數(shù)據(jù)轉(zhuǎn)發(fā)過程

用戶計算機使用802.1x 協(xié)議幀封裝認證信息，和與之相連的交換機進行交互。交換機則使用標準的

RADIUS 協(xié)議封裝用戶認證信息，這樣該認證數(shù)據(jù)就可以穿越復雜的網(wǎng)絡到達RADIUS 服務器進行認證。下圖為認證的數(shù)據(jù)交互示意圖。其中EAPoL （EAPOL 是Extensible Authentication Protocol over LAN的縮寫）數(shù)據(jù)構(gòu)成802.1x 協(xié)議幀，RADIUS 數(shù)據(jù)構(gòu)成RADIUS 協(xié)議幀。

圖A-8 802.1x認證數(shù)據(jù)交互過程

交換機也可以透明傳輸802.1x 的EAP 報文給RADIUS 服務器。下面介紹這種情況下的802.1x 認證的數(shù)據(jù)交互過程。

在這種情況下，從認證客戶端到認證服務器直接傳遞的都是802.1x 的EAP 報文。首先交換機和認證客戶端之間會進行EAP 的協(xié)商，在協(xié)商完成后，會進行802.1x 認證過程。

說明：

在交換機上作了相應的配置之后，交換機就可以透明傳輸802.1x 的EAP 報文。相應的配置信息請參見交換機用戶手冊配置指導分冊的“AAA 及安全協(xié)議配置”模塊。

802.1x 認證的數(shù)據(jù)交互過程如下圖所示。

圖A-9 交換機透明傳輸802.1x 認證報文

關(guān)于802.1x 認證更詳細的描述，可以參見IEEE 802.1x標準文檔、RFC2869和支持802.1x 的華為網(wǎng)絡設備的用戶手冊。

在經(jīng)過了802.1x 認證之后，用戶就被允許訪問網(wǎng)絡資源，進行后續(xù)的上網(wǎng)過程，同時運營商也可以對該用戶進行計費操作。

說明：

除了提供802.1x 認證，華為公司還提供portal 認證、Web 認證等方式對用戶進行認證。對于這些認證的數(shù)據(jù)交換過程，可以參見相關(guān)的技術(shù)文檔和支持這些功能的華為網(wǎng)絡設備的用戶手冊。

下面引入一個問題：如果需要限制某些用戶的上網(wǎng)時段；限制某些用戶的帶寬，例如某些用戶雖然使用10Mbit/s的帶寬和交換機相連，但是他只付了2Kbit/s帶寬的費用。對于運營商來說，該怎樣去控制網(wǎng)絡設備適應不同的需求呢？可以通過人工關(guān)閉某個交換機的端口、到每個交換機上進行限制帶寬的配置等滿足這些需求，但是這樣費時費力，不能滿足可運營、可管理網(wǎng)絡的需求。華為公司充分考慮了這種需求，為運營商提供了電信級的用戶管理和運營能力。下面簡單介紹在這種網(wǎng)絡中的數(shù)據(jù)轉(zhuǎn)發(fā)流程。

2. 在可運營、可管理網(wǎng)絡中對用戶進行集中管理

(1)MA5200＋S3026的組網(wǎng)方案

第一種方案：對前面小區(qū)的組網(wǎng)重新設計，利用“MA5200”加“S3026”進行組網(wǎng)。S3026和MA5200之間的通信可通過HGMP V1來承載。通過HGMP V1，MA5200可以實現(xiàn)對S3026的集中管理；MA5200可以通過上行高速口直接連接到8750或者直接連接到城域網(wǎng)或骨干網(wǎng)，多臺S3026直接掛在MA5200的100Mbit/s以太網(wǎng)光接口上，然后S3026連接到小區(qū)用戶桌面計算機上。

圖A-10 通過MA5200實現(xiàn)電信級的用戶管理和運營

MA5200可以對上網(wǎng)用戶進行認證、授權(quán)、計費的功能，同時可以對用戶使用的帶寬、上網(wǎng)的時段進行控制，對用戶進行按時按量計費，使之既有以太網(wǎng)接入經(jīng)濟、成熟的特色，又有電信級的用戶管理和運營能力。

MA5200可以在本地實現(xiàn)對上網(wǎng)用戶進行認證、授權(quán)、計費，也可以把認證、授權(quán)、計費交給RADIUS 服務器來做，這由MA5200上的配置所決定。

MA5200將對用戶的上網(wǎng)時段限制等配置信息通過HGMP 報文直接下發(fā)到用戶相連的S3026交換機上，并可以實現(xiàn)基于用戶的帶寬限制，從而實現(xiàn)對所有用戶的集中管理。MA5200的詳細配置可以參見MA5200的用戶手冊。

(2)使用CAMS 構(gòu)造電信級交換網(wǎng)絡

第二種方案，利用華為公司的CAMS 服務器，實現(xiàn)電信級的可運營、可管理的交換網(wǎng)絡。

圖A-11

利用CAMS 構(gòu)造電信級交換網(wǎng)絡

在小區(qū)的數(shù)據(jù)中心增加CAMS 服務器。CAMS 服務器可以把對用戶的上網(wǎng)時段限制等配置直接下發(fā)到各個交換機上，并且可以實現(xiàn)基于用戶的帶寬限制，從而實現(xiàn)對所有用戶的集中管理。

圖A-12 CAMS下發(fā)配置數(shù)據(jù)的過程

說明：

CAMS 下發(fā)的配置數(shù)據(jù)在缺省情況下封裝在標準的RADIUS 協(xié)議報文中。如果用戶在交換機上作了如下配置之后：

Quidway(config-radius-huawei)#server-type huawei

CAMS 下發(fā)的配置數(shù)據(jù)將封裝在華為擴展的RADIUS 協(xié)議報文中。