包交换网

要想认识第四层交换机，先得对传统的第二层交换机和现在广泛应用的第三层交换机的基本工作原理和性能，有一些简单了解，只有通过比较，你才能真正鉴别第四层交换机。

二三层交换技术见：http://network.pconline.com.cn/474/4741916.html

四层交换机简介

显然，第二层交换机和第三层交换机都是基于端口地址的端到端的交换过程，虽然这种基于MAC地址和IP地址的交换机技术，能够极大地提高各节点之间的数据传输率，但却无法根据端口主机的应用需求来自主确定或动态限制端口的交换过程和数据流量，即缺乏第四层智能应用交换需求。第四层交换机不仅可以完成端到端交换，还能根据端口主机的应用特点，确定或限制它的交换流量。简单地说，第四层交换机是基于传输层数据包的交换过程的，是一类基于TCP/IP协议应用层的用户应用交换需求的新型局域网交换机。第四层交换机支持TCP/UDP第四层以下的所有协议，可识别至少80个字节的数据包包头长度，可根据TCP/UDP端口号来区分数据包的应用类型，从而实现应用层的访问控制和服务质量保证。所以，与其说第四层交换机是硬件网络设备，还不如说它是软件网络管理系统。也就是说，第四层交换机是一类以软件技术为主，以硬件技术为辅的网络管理交换设备。

最后值得指出的是，某些人在不同程度上还存在一些模糊概念，认为所谓第四层交换机实际上就是在第三层交换机上增加了具有通过辨别第四层协议端口的能力，仅在第三层交换机上增加了一些增值软件罢了，因而并非工作在传输层，而是仍然在第三层上进行交换操作，只不过是对第三层交换更加敏感而已，从根本上否定第四层交换的关键技术与作用。我们知道，数据包的第二层IEEE802.1P字段或第三层IPToS字段可以用于区分数据包本身的优先级，我们说第四层交换机基于第四层数据包交换，这是说它可以根据第四层TCP/UDP端口号来分析数据包应用类型，即第四层交换机不仅完全具备第三层交换机的所有交换功能和性能，还能支持第三层交换机不可能拥有的网络流量和服务质量控制的智能型功能。

四层交换重要技术

如上所述，第二层交换设备是依赖于MAC地址和802.1Q协议的VLAN标签信息来完成链路层交换过程的，第三层交换/路由设备则是将IP地址信息用于网络路径选择来完成交换过程的，第四层交换设备则是用传输层数据包的包头信息来帮助信息交换和传输处理的。也就是说，第四层交换机的交换信息所描述的具体内容，实质上是一个包含在每个IP包中的所有协议或进程，如用于Web传输的HTTP，用于文件传输的FTP，用于终端通信的Telnet，用于安全通信的SSL等协议。这样，在一个IP网络里，普遍使用的第四层交换协议，其实就是TCP（用于基于连接的对话，例如FTP）和UDP（用基于无连接的通信，例如SNMP或SMTP）这两个协议。

由于TCP和UDP数据包的包头不仅包括了“端口号”这个域，它还指明了正在传输的数据包是什么类型的网络数据，使用这种与特定应用有关的信息（端口号），就可以完成大量与网络数据及信息传输和交换相关的质量服务，其中最值得说明的是如下五项重要应用技术，因为它们是第四层交换机普遍采用的主要技术。

・包过滤/安全控制

在大多数路由器上，采用第四层信息去定义过滤规则已经成为默认标准，所以有许多路由器被用作包过滤防火墙，在这种防火墙上不仅能够配置允许或禁止IP子网间的连接，还可以控制指定TCP/UDP端口的通信。和传统的基于软件的路由器不一样，第四层交换区别于第三层交换的主要不同之处，就是在于这种过滤能力是在ASIC专用高速芯片中实现的，从而使这种安全过滤控制机制可以全线速地进行，极大地提高了包过滤速率。

・服务质量

在网络系统的层次结构中，TCP/UDP第四层信息，往往用于建立应用级通信优先权限。如果没有第四层交换概念，服务质量/服务级别就必然受制于第二层和第三层提供的信息，例如MAC地址，交换端口，IP子网或VLAN等。显然，在信息通信中，因缺乏第四层信息而受到妨碍时，紧急应用的优先权就无从谈起，这将大大阻止紧急应用在网络上的迅速传输。第四层交换机允许用基于目的地址、目的端口号（应用服务）的组合来区分优先级，于是紧急应用就可以获得网络的高级别服务。

・服务器负载均衡

在相似服务内容的多台服务器间提供平衡流量负载支持时，第四层信息是至关重要的。因此，第四层交换机在核心网络系统中，担负服务器间负载均衡是一项非常重要的应用。第四层交换机所支持的服务器负载均衡方式，是将附加有负载均衡服务的IP地址，通过不同的物理服务器组成一个集，共同提供相同的服务，并将其定义为一个单独的虚拟服务器。这个虚拟服务器是一个有单独IP地址的逻辑服务器，用户数据流只需指向虚拟服务器的IP地址，而不直接和物理服务器的真实IP地址进行通信。只有通过交换机执行的网络地址转换（NAT）后，未被注册IP地址的服务器才能获得被访问的能力。这种定义虚拟服务器的另一好处是，在隐藏服务器的实际IP地址后，可以有效地防止非授权访问。

虚拟服务器是基于应用服务（第四层TCP/UDP端口号）定义的，这样，独立服务器便可以是虚拟服务器的成员。而使用第四层对话标志信息，第四层交换机则可以使用许多负载均衡方法，在虚拟服务器组里转换通信流量，其中OSPF、RIP和VRRP等协议与线速交换和负载均衡是一致的。第四层交换机还可以利用被称之为TRL（TransactionRateLimiting）功能所提供的复杂机制，针对流量特性来遏制或拒绝不同应用类型服务。可以借助CRL（ConnectionsRateLimiting）功能，使网络管理员指定在给定的时间内所允许的连接数，保障QoS.或者借助SYN-Guard功能，确保那些满足TCP协议的合法连接才可查询网络服务。

・主机备用连接

主机备用连接为端口设备提供了冗余连接，从而在交换机发生故障时有效保护系统，这种服务允许定义主备交换机，同虚拟服务器定义一样，它们有相同的配置参数。由于第四层交换机共享相同的MAC地址，备份交换机接收和主单元全部一样的数据。这使得备份交换机能够监视主交换机服务的通信内容。主交换机持续地通知备份交换机第四层的有关数据、MAC数据以及它的电源状况。主交换机失败时，备份交换机就会自动接管，不会中断对话或连接。

・统计

通过查询第四层数据包，第四层交换机能够提供更详细的统计记录。因为管理员可以收集到更详细的哪一个IP地址在进行通信的信息，甚至可根据通信中涉及到哪一个应用层服务来收集通信信息。当服务器支持多个服务时，这些统计对于考察服务器上每个应用的负载尤其有效。增加的统计服务对于使用交换机的服务器负载平衡服务连接同样十分有用。

        [又一份年终巨献出台]
        打开电脑，北京天下互联信息科技有限公司的“中国网络情报中心”新闻监测目标推来12月11日第一条《直觉中国互联网》，跟着几条是新浪科技《中国互联网10年白皮书》，花了40分钟把“序言”至“第十章”通阅一遍，原以为只是提要，但是回《中国互联网10年白皮书》专题页面（http://tech.sina.com.cn/misc/2005-12-10/95/1040.html），一直找不到更多内容，才弄明白（可能）新浪网中国企业家联合推出的此《中国互联网10年白皮书》己被自己一口气读了一遍，首先感谢作者：新浪科技金朝、徐志斌、金磊、张凯锋、郭开森， 制作：布衣，为公众提供了一个回顾专题，而且相信这几位作者是花了不少时间收集资料后，才能有此“年终巨献”。
        作为网友，读完此新浪科技“年终巨献”《中国互联网10年白皮书》后，也产生了不少质疑，因此觉得有必要写一些自己看法与新浪科技诸位辛勤下笔作者交流自已看法，一己之见，不一定客观，仅供参考，欢送板砖。

        [理解《白皮书》的含义]
        Google一下，白皮书是一个舶来词，指英美政府关于某一问题的官方报告。
(zh.wikipedia.org/wiki/白皮书)。
        中国社会科学出版社有关专家告诉我们：“皮书”最早源于政府部门对某个专门问题的特定报告，通常这种报告在印刷时不作任何装饰，封面也是白纸黑字，所以称为“白皮书”。在不少国家，政府发布报告时使用“白皮书”已基本成为惯例，比如，我国发表的“《中国的民族区域自治》白皮书”、“中国２００４年国防白皮书”等。此外，也有一些国家使用“红皮书”、“蓝皮书”、“绿皮书”等形式。“皮书”这种“官方解说”的性质，也使它常常和“权威”相联系。现在大量研究机构借用“皮书”带有的权威含义，给一些研究报告冠以“皮书”之名。这些“皮书”出自专家学者或科研院校专业人员，发表对现实或未来政治、经济、社会某一方面理解和认知，其看法和观点具有一定的代表性和权威性。对“皮书”的颜色并没有特别的规定，可以没有任何含义，也可以和书的内容结合起来。除此之外，市场上也有一些图书在书名中使用“皮书”，只是借用了这个概念。(http://news.xinhuanet.com/fortune/2005-03/19/content_2718007.htm)

        [理解《互联网》的含义]
       《互联网简史》（翻译:齐良培本文载《新媒介与创新思维》ISBN7-302-04813-4,2001年11月第一版P347-369清华大学出版社）是由下列这些亲身参加互联网创建和改进的专家所撰写的一篇互联网经典之作：
       贝瑞·M.雷纳（BarryM.Leiner），高级计算机科学研究所所长。
        温顿·G.瑟夫（VintonG.Cerf）,原MCI通讯公司主管互联网建设与技术的高级副总裁。ICANN主席、现加盟Google作为其“首席互联网布道者”。
       戴维̣·D.克拉克（DavidD.Clark），麻省理工学院计算机科学实验室高级研究员。
       罗伯特̣·E.可汗（RobertE.Kahn），国家研究促进会（CNRI）的主席。
       列奥纳德̣·克雷罗克（LeonardKleinrock），加州大学洛杉矶分校的计算机科学教授。
       丹尼尔̣·C.林奇（DanielC.Lynch）CyberCash有限公司和Interop网络商业展示会的创建者。
       乔̣·帕斯泰尔（JonPostel），南加州大学信息科学研究所计算机网络部的主任。
       劳伦斯̣·G.罗伯特（LawrenceG.Roberts），Caspian网络公司的董事长和首席科学家。
       斯蒂芬̣·沃尔夫（StephenWolff）来自思科系统公司（CiscoSystems,Inc.）。
       这份19788个中文字（翻译）的大作，对互联网的历史进行简要地、粗略而不完整地描述。下面引用几段：
       我们几个亲身参与过互联网开发和建设的人对互联网的起源和历史作了一些描述。这个历史包括4个鲜明的部分，其中有从对包交换和ARPANET（以及相关的技术）的研究开始的技术进步——最近的研究仍然致力于从各个方面提高这一基础结构的水平，比如范围、性能以及更高级的功能等方面；有关于全球的复杂的工作基础结构的运作与管理的介绍；有关于社会的问题——它已经引起一个广泛的互联社区的出现，极大地影响着技术的发明和进步；还有商业化的问题——这对于把研究成果迅速转化为广泛应用的信息基础结构极为有效。
       今天的互联网是一个分布广泛的信息基础结构，它的原型称为“国家（或全球或全星系）信息基础结构”。它的成长过程十分复杂，包括方方面面——技术的、组织的以及社会的。它的影响也不只限于计算机通讯的技术领域，而是随着我们对联网工具不断深入的应用而进入了社会的各个领域，比如我们可以进行在线的电子商务、信息查询以及人际交流等活动。
        *互联网的起源：1972年10月，可汗在国际计算机通讯大会（ICCC）上进行了一次大型的、极为成功的ARPANET演示。这是公众第一次知道这种全新的网络技术。同样在1972年，人们知道了早期的“热”应用——电子邮件。那是在这一年的3月，BBN的雷̣·汤姆林森写出了基本的电子邮件发送和阅读程序，其动机是要为ARPANET的开发者们提供一个简单的合作机制。7月，罗伯茨写出了第一个电子邮件应用程序，使人们可以对邮件进行列表、选择阅读、归档、转发以及作出反应的操作，从而扩展了它的应用。从那时起，电子邮件在10年之久的时间内成了网络上最重要的应用。这是我们浏览环球网（WWW）的先兆，换句话说，是所有“人对人”的交流的巨大增长的前兆。
        *最初的互联概念：正是早期的ARPANET最终成长为今天的互联网。互联网的发展基于这样的理念，就是任意设计的独立的网络是多样的。于是从作为包交换先驱的ARPANET开始，很快就包括了各种包交换卫星网，基于包的无线网络和其他网络。正如我们今天所了解的那样，互联网实现了一个基本的技术理念，这就是开放结构的理念。在此过程中，并没有指定某种网络结构一定要选用某种网络技术，而是由提供者自由地进行选择，并通过一个变化层次的“互联网工作结构”同其他网络交互。直到那时，要想把网络联系起来只有一种通用的方法，就是电流交换技术，利用这种技术，网络可以在电流的层次上将一个个的比特同步地通过一条端到端的电路接口从一个地点传到另一个地点。回想一下，克雷洛克曾在1961年就展示过包交换技术，并说明了它是一个更加有效的交换方法。由于将不同的网络连接起来的方法没有几种，所以他们就要求把其中一个作为另一个的部件，而不是提供一种端到端的服务，使其中一个成为另一个的“伙伴”。......设计互联网的一个关键理念是它不应该是一个应用，而应该是通用的基础结构，人们可以在它上面设想各种应用，就像后来出现的环球网（WWW）一样，正是由TCP和IP协议所支持这种应用的通用特性使它成为可能。
       *实现理念：在20世纪80年代到来前三年，TCP/IP被定为军方标准。这使得军方可以使用DARPA的互联网技术，并直接导致了军方团体和非军方团体的分野。到1983年，大量的军方研究开发和工作机构都用上了ARPANET。由于ARPANET成功地从NCP转换到了TCP/IP，所以可以很方便地把它分成一个执行作业任务的MILNET（军用网）和一个执行研究功能的ARPANET。到1985年，互联网就已经完整地作为一种技术建立起来了，它支持着大量的研究和开发人员在上面工作，并且开始被其他机构用作日常计算机通讯的目的。电子邮件在大量的社团中被广泛采用，通常还都是不同的系统，但可以通过不同的邮件系统互相连接起来，成功地向人们展示了电子化人际交流的广泛应用。
       *转变成更广泛的基础结构：1985年，来自爱尔兰的丹尼斯·詹宁斯开始了他在NSF领导NSFNET项目为期一年的工作。他和其他人一起帮助NSF作出了一个重要的决定——即TCP/IP对于NSFNET项目来讲，应该是强制性的。......NSF还被选中来支持现存的DARPA的互联网，受后来的互联网行动委员会（IAB）的指挥。IAB的互联网工程与建设任务组（IEATF）和NSF的网络技术RFC985（互联网网关需求）顾问组（NTAG）同时对公众宣布了这一决定的声明，这就正式保证了分别由DARPA和NSF开发的互联网的互操作性。......这样一来，主干网就使这个建立在路由基础上的网络冲破了学术界的掌管（从戴维̣·米尔斯那儿来的“迷魂球”）而变成了一个商业工具。在它8年半的生命历程中，NSFNET的主干网从6个节点、56kbps的连接速率发展到了21个节点、主干45Mbps的连接速率。我们已经看到，互联网已经成为一个拥有超过50,000个网络、横跨7大洲和外层空间的大型网络。这其中有大约29,000个网络建在美国。这就是NSFNET项目的推动和资助的成就（从1986年到1995年共计2亿美元）——也是网络协议本身的质量所致——到1990年ARPANET最终退役的时候（注：1989年，UCLA的一个团体在ARPANET20周年的时候举行活动纪念了这个退役的网络。），TCP/IP已经在全球范围内取代或是排斥了其他计算机广域网协议的存在，而IP作为全球信息基础结构的基本服务也一直工作得很好。
       *“Internet”这个词定义：1995年10月24日，FNC（联邦联网委员会）一致通过决议，对“Internet”这个词定义。这一决议是同互联网和知识产权研究人员协商的成果。决议如下：联邦联网委员会（FNC）同意以下的描述代表了我们对名词“Internet”的定义。“Internet”指的是全球信息系统——（1）它是由一个基于互联网协议（IP）或它的后续扩展/发展之上的全球地址空间逻辑地连接起来的网络；（2）它能够通过传输控制协议/互联网协议（TCP/IP）或它的扩展/发展或者其他的与互联网协议兼容的协议进行通讯；（3）它能够提供、应用或开发公众或是私人可以获取的、架构在此处所描述的通讯以及相关基础结构之上的高级服务项目。

        [标题评论小结]
        笔者推介了这篇近2万字大作中几段关键介绍，目的是对新浪科技年终巨献《中国互联网10年白皮书》标题作出评论：
       首先，用“白皮书”这个有关专家认为是“带有的权威含义”字眼，却把“互联网”如此丰富内容，用中国ICP近10年历史作为代表，是对“白皮书”一词的滥用。
       其次，“白皮书”中最关键的数据表述，《中国互联网10年白皮书》文内几乎不可多见，也是一种欠缺作为权威“白皮书”必须的科学(学术)严谨。
       最后，由(网络)媒体记者编辑之笔编撰《中国互联网10年白皮书》，这是笔者第一次读到，很新鲜也很好奇，因此下面会再把新浪科技年终巨献《中国互联网10年白皮书》内容中欠权威写法作一些评述。

       更多作者文章请访问http://w.org.cn。

       沈阳sz1961sy2005-12-11 9:45写于北京家中。

      [本文作者沈阳为《中国域名经济(2002-2003年版)》主编、《中国域名经济（丛书）》总策划兼编委之一、中国版权协会(CSC)个人会员]