那个网站可以做视频app制作的,成都科技网站建设电话多少,安徽省住房和城乡建设厅官网证件查询,123上网之家网址作为一个合格的运维人员#xff0c;一定要熟悉掌握OSI七层网络和TCP/IP五层网络结构知识。 废话不多说#xff01;下面就逐一展开对这两个网络架构知识的说明#xff1a;一、OSI七层网络协议OSI是Open System Interconnect的缩写#xff0c;意为开放式系统互联。 OSI参考模… 作为一个合格的运维人员一定要熟悉掌握OSI七层网络和TCP/IP五层网络结构知识。 废话不多说下面就逐一展开对这两个网络架构知识的说明一、OSI七层网络协议OSI是Open System Interconnect的缩写意为开放式系统互联。 OSI参考模型各个层次的划分遵循下列原则1根据不同层次的抽象分层2每层应当有一个定义明确的功能3每层功能的选择应该有助于制定网络协议的国际标准。4)各层边界的选择应尽量节省跨过接口的通信量。5)层数应足够多以避免不同的功能混杂在同一层中但也不能太多否则体系结构会过于庞大6)同一层中的各网络节点都有相同的层次结构具有同样的功能。7)同一节点内相邻层之间通过接口(可以是逻辑接口)进行通信。8)七层结构中的每一层使用下一层提供的服务并且向其上层提供服务。9)不同节点的同等层按照协议实现对等层之间的通信。 根据以上标准OSI参考模型分为(从上到下):物理层-数据链路层-网络层-传输层-会话层-表示层-应用层。 1)物理层涉及在信道上传输的原始比特流。2)数据链路层的主要任务是加强物理层传输原始比特流的功能使之对应的网络层显现为一条无错线路。发送包把输入数据封装在数据帧按顺序传送出去并处理接收方回送的确认帧。3)网络层关系到子网的运行控制其中一个关键问题是确认从源端到目的端如何选择路由。4)传输层的基本功能是从会话层接收数据而且把其分成较小的单元传递给网络层。5)会话层允许不同机器上的用户建立会话关系。6)表示层用来完成某些特定的功能。7)应用层包含着大量人们普遍需要的协议。 各层功能见下表 七层模型的每一层都具有清晰的特征。基本来说:1)第七至第四层(应用层-表示层-会话层-传输层)处理数据源和数据目的地之间的端到端通信2)第三至第一层网络层-数据链路层-物理层处理网络设备间的通信。 另外OSI模型的七层也可以划分为两组1上层层7、层6和层5即应用层-表示层-会话层。上层处理应用程序问题并且通常只应用在软件上。最高层即应用层是与终端用户最接近的。2下层层4、层3、层2和层1即传输层-网络层-数据链路层-物理层。下层是处理数据传输的。物理层和数据链路层应用在硬件和软件上。最底层即物理层是与物理网络媒介比如说电线最接近的并且负责在媒介上发送 第7层-应用层定义了用于在网络中进行通信和数据传输的接口 - 用户程式提供标准服务比如虚拟终端、文件以及任务的传输和处 理应用层为操作系统或网络应用程序提供访问网络服务的接口。应用层协议的代表包括Telnet、FTP、HTTP、SNMP等。 第6层-表示层掩盖不同系统间的数据格式的不同性指定独立结构的数据传输格式数据的编码和解码加密和解密 压缩和解压缩这一层主要解决拥护信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象语法转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。数据的压缩和解压缩 加密和解密等工作都由表示层负责。 第5层-会话层管理用户会话和对话控制用户间逻辑连接的建立和挂断报告上一层发生的错误这一层也可以称为会晤层或对话层在会话层及以上的高层次中数据传送的单位不再另外命名而是统称为报文。会话层不参与具体的传输它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。 第4层-处理信息的传输层管理网络中端到端的信息传送通过错误纠正和流控制机制提供可靠且有序的数据包传送提供面向无连 接的数据包的传送第4层的数据单元也称作数据包(packets)。但是当你谈论TCP等具体的协议时又有特殊的叫法TCP的数据单元称为段 (segments)而UDP协议的数据单元称为“数据报(datagrams)”。这个层负责获取全部信息因此它必须跟踪数据单元碎片、乱序到达的 数据包和其它在传输过程中可能发生的危险。第4层为上层提供端到端(最终用户到最终用户)的透明的、可靠的数据传输服务。所为透明的传输是指在通信过程中 传输层对上层屏蔽了通信传输系统的具体细节。传输层协议的代表包括TCP、UDP、SPX等。 第3层-网络层定义网络设备间如何传输数据根据唯一的网络设备地址路由数据包提供流和拥塞控制以防止网络资源 的损耗在 计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换结点 确保数据及时传送。网络层将数据链路层提供的帧组成数据包包中封装有网络层包头其中含有逻辑地址信息- -源站点和目的站点地址的网络地址。如 果你在谈论一个IP地址那么你是在处理第3层的问题这是“数据包”问题而不是第2层的“帧”。IP是第3层问题的一部分此外还有一些路由协议和地 址解析协议(ARP)。有关路由的一切事情都在这第3层处理。地址解析和路由是3层的重要目的。网络层还可以实现拥塞控制、网际互连等功能。在这一层数据的单位称为数据包(packet)。网络层协议的代表包括IP、IPX、RIP、OSPF等。 第2层-数据链路层(DataLinkLayer):定义操作通信连接的程序封装数据包为数据帧监测和纠正数据包传输错误在物理层提供比特流服务的基础上建立相邻结点之间的数据链路通过差错控制提供数据帧(Frame)在信道上无差错的传输并进行各电路上的动作系列。数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。在这一层数据的单位称为帧(frame)。数据链路层协议的代表包括SDLC、HDLC、PPP、STP、帧中继等。 第1层-物理层(PhysicalLayer)定义通过网络设备发送数据的物理方式作为网络媒介和设备间的接口定义光学、电气以及机械特性。规定通信设备的机械的、电气的、功能的和过程的特性用以建立、维护和拆除物理链路连接。具体地讲机械 特性规定了网络连接时所需接插件的规格尺寸、引脚数量和排列情况等;电气特性规定了在物理连接上传输bit流时线路上信号电平的大小、阻抗匹配、传输速率 距离限制等;功能特性是指对各个信号先分配确切的信号含义即定义了DTE和DCE之间各个线路的功能;规程特性定义了利用信号线进行bit流传输的一组 操作规程是指在物理连接的建立、维护、交换信息是DTE和DCE双放在各电路上的动作系列。在这一层数据的单位称为比特(bit)。属于物理层定义的典型规范代表包括EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。 二、TCP/IP TCP/IP传输控制协议/网间网协议)是目前世界上应用最为广泛的协议它的流行与Internet的迅猛发展密切相关。TCP/IP最初是为互联网的原型ARPANET所设计的目的是提供一整套方便实用、能应用于多种网络上的协议事实证明TCP/IP做到了这一点它使网络互联变得容易起来并且使越来越多的网络加入其中成为Internet的事实标准。 TCP/IP协议族包含了很多功能各异的子协议。为此我们也利用上文所述的分层的方式来剖析它的结构。 TCP/IP层次模型共分为四层应用层-传输层-网络层-数据链路层。 各层功能见下表 TCP(Transmission Control Protocol传输控制协议)和UDP(User Datagram Protocol用户数据报协议)协议属于传输层协议。其中:1)TCP提供IP环境下的数据可靠传输它提供的服务包括数据流传送、可靠性、有效流控、全双工操作和多路复用。通过面向连接、端到端和可靠的数据包发送。通俗说它是事先为所发送的数据开辟出连接好的通道然后再进行数据发送;2)UDP则不为IP提供可靠性、流控或差错恢复功能。一般来说TCP对应的是可靠性要求高的应用而UDP对应的则是可靠性要求低、传输经济的应用。 应用层应用层是所有用户所面向的应用程序的统称。ICP/IP协议族在这一层面有着很多协议来支持不同的应用许多大家所熟悉的基于Internet的应用的实现就离不开这些协议。如我们进行万维网WWW访问用到了HTTP协议、文件传输用FTP协议、电子邮件发送用SMTP、域名的解析用DNS协议、远程登录用Telnet协议等等都是属于TCP/IP应用层的就用户而言看到的是由一个个软件所构筑的大多为图形化的操作界面而实际后台运行的便是上述协议。 传输层这一层的的功能主要是提供应用程序间的通信TCP/IP协议族 在这一层的协议有TCP和UDP。 网络层TCP/IP协议族中非常关键的一层主要定义了IP地址格式从而能够使得不同应用类型的数据在Internet上通畅地传输IP协议就是一个网络层协议。 网络接口层这是TCP/IP软件的最低层负责接收IP数据包并通过网络发送之或者从网络上接收物理帧抽出IP数据报交给IP层。 TCP支持的应用协议主要有Telnet、FTP、SMTP等;UDP支持的应用层协议主要有NFS(网络文件系统)、SNMP(简单网络管理协议)、DNS(主域名称系统)、TFTP(通用文件传输协议)等。 TCP/IP协议与低层的数据链路层和物理层无关这也是TCP/IP的重要特点。 TCP连接建立-断开的过程说明可以参考高效运维-三次握手和四次挥手 TCP连接的端点叫做套接字socket或插口即IP地址端口号每一条TCP连接唯一地被通信两端的两个端点即两个套接字所确定。 TCP的运输连接有三个阶段即连接建立、数据传送、连接释放。TCP连接建立的过程要使每一方能够确定对方的存在主动发起连接建立的应用进行叫做客户client被动等待连接建立的应用进程叫做服务器server连接建立的过程叫做三次握手。 假设A为客户B为服务器A发送一个报文给BB发回确认然后A再加以确认来回共三次成为“三次握手”。三次握手建立连接~ 所谓三次握手Three-Way Handshake即建立TCP连接就是指建立一个TCP连接时需要客户端和服务端总共发送3个包以确认连接的建立。在socket编程中这一过程由客户端执行connect来触发整个流程如下图所示 1第一次握手Client将标志位SYN置为1随机产生一个值seqJ并将该数据包发送给ServerClient进入SYN_SENT状态等待Server确认。2第二次握手Server收到数据包后由标志位SYN1知道Client请求建立连接Server将标志位SYN和ACK都置为1ackJ1随机产生一个值seqK并将该数据包发送给Client以确认连接请求Server进入SYN_RCVD状态。3第三次握手Client收到确认后检查ack是否为J1ACK是否为1如果正确则将标志位ACK置为1ackK1并将该数据包发送给ServerServer检查ack是否为K1ACK是否为1如果正确则连接建立成功Client和Server进入ESTABLISHED状态完成三次握手随后Client与Server之间可以开始传输数据了。 SYN攻击解释三次握手过程中Server发送SYN-ACK之后收到Client的ACK之前的TCP连接称为半连接half-open connect此时Server处于SYN_RCVD状态当收到ACK后Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址并向Server不断地发送SYN包Server回复确认包并等待Client的确认由于源地址是不存在的因此Server需要不断重发直至超时这些伪造的SYN包将产时间占用未连接队列导致正常的SYN请求因为队列满而被丢弃从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击检测SYN攻击的方式非常简单即当Server上有大量半连接状态且源IP地址是随机的则可以断定遭到SYN攻击了使用如下命令可以让之现行#netstat -nap | grep SYN_RECV--------------------------------------------------- 连接的释放需要发送四个包因此成为“四次挥手”四次挥手断开连接。客户端或服务器都可以主动发起挥手动作。 所谓四次挥手Four-Way Wavehand即终止TCP连接就是指断开一个TCP连接时需要客户端和服务端总共发送4个包以确认连接的断开。在socket编程中这一过程由客户端或服务端任一方执行close来触发整个流程如下图所示 由于TCP连接时全双工的因此每个方向都必须要单独进行关闭这一原则是当一方完成数据发送任务后发送一个FIN来终止这一方向的连接收到一个FIN只是意味着这一方向上没有数据流动了即不会再收到数据了但是在这个TCP连接上仍然能够发送数据直到这一方向也发送了FIN。首先进行关闭的一方将执行主动关闭而另一方则执行被动关闭上图描述的即是如此。1第一次挥手Client发送一个FIN用来关闭Client到Server的数据传送Client进入FIN_WAIT_1状态。2第二次挥手Server收到FIN后发送一个ACK给Client确认序号为收到序号1与SYN相同一个FIN占用一个序号Server进入CLOSE_WAIT状态。3第三次挥手Server发送一个FIN用来关闭Server到Client的数据传送Server进入LAST_ACK状态。4第四次挥手Client收到FIN后Client进入TIME_WAIT状态接着发送一个ACK给Server确认序号为收到序号1Server进入CLOSED状态完成四次挥手。 上面是一方主动关闭另一方被动关闭的情况由一方发起挥手实际中还会出现同时发起主动关闭的情况具体流程如下图同时挥手 为什么连接的时候是三次握手关闭的时候却是四次握手这是因为当Server端收到Client端的SYN连接请求报文后可以直接发送SYNACK报文。其中ACK报文是用来应答的SYN报文是用来同步的。但是关闭连接时当Client端发送FIN报文仅仅表示它不再发送数据了但是还能接收数据Server端收到FIN报文时很可能并不会立即关闭SOCKET所以只能先回复一个ACK报文告诉Client端你发的FIN报文我收到了。只有等到我Server端所有的报文都发送完了我才能发送FIN报文因此不能一起发送。故需要四步握手。 ----------------------------------------------------三、OSI七层网络与TCP/IP五层网络的区别与联系 除了层的数量之外开放式系统互联(OSI)模型与TCP/IP协议有什么区别?开放式系统互联模型是一个参考标准解释协议相互之间应该如何相互作用。TCP/IP协议是美国国防部发明的是让互联网成为了目前这个样子的标准之一。开放式系统互联模型中没有清楚地描绘TCP/IP协议但是在解释TCP/IP协议时很容易想到开放式系统互联模型。 两者的主要区别如下1TCP/IP协议中的应用层处理OSI模型中的第五层、第六层和第七层的功能。2TCP/IP协议中的传输层并不能总是保证在传输层可靠地传输数据包而OSI模型可以做到。3) TCP/IP协议还提供一项名为UDP(用户数据报协议)的选择。UDP不能保证可靠的数据包传输。 先简单对比下二层网络和三层网络的区别1不同网段的ip通信需要经过三层网络。相同网段的ip通信经过二层网络2二层网络仅仅通过MAC寻址即可实现通讯但仅仅是同一个冲突域内三层网络需要通过IP路由实现跨网段的通讯可以跨多个冲突域3二层网络的组网能力非常有限一般只是小局域网三层网络则可以组大型的网络。4二层网络基本上是一个安全域也就是说在同一个二层网络内终端的安全性从网络上讲基本上是一样的除非有其它特殊的安全措施 三层网络则可以划分出相对独立的多个安全域。5很多技术相对是在二层局域网中用得多比如DHCP、Windows提供的共享连接等如需在三层网络上使用则需要考虑其它设备的支持 比如通过DHCP中继代理等或通过其它的方式来实现。 二层网络与三层网络的详细对比 网络结构的变化过程a按照物理拓扑结构分类网络结构经历了总线型、环型、星型、树型、混合型等结构。b按照逻辑拓扑结构分类网络结构经历了二层网络架构、三层网络架构以及最近兴起的大二层网络架构。 传统的数据交换都是在OSI 参考模型的数据链路层发生的也就是按照MAC 地址进行寻址并进行数据转发并建立和维护一个MAC 地址表用来记录接收到的数据包中的MAC 地址及其所对应的端口。此种类型的网络均为小范围的二层网络。 一、二层网络的工作流程1数据包接收首先交换机接收某端口中传输过来的数据包并对该数据包的源文件进行解析获取其源MAC 地址确定发放源数据包主机2传输数据包到目的MAC 地址首先判断目的MAC 地址是否存在如果交换机所存储的MAC 地址表中有此MAC 地址所对应的端口那么直接将数据包发送给这个端口;如果在交换机存储列表中找不到对应的目的MAC 地址交换机则会对数据包进行全端口广播直至收到目的设备的回应交换机通过此次广播学习、记忆并建立目的MAC 地址和目的端口的对应关系以备以后快速建立与该目的设备的联系;3如果交换机所存储的MAC 地址表中没有此地址就会将数据包广播发送到所有端口上当目的终端给出回应时交换机又学习到了一个新的MAC 地址与端口的对应关系并存储在自身的MAC 地址表中。当下次发送数据的时候就可以直接发送到这个端口而非广播发送了。 以上就是交换机将一个MAC 地址添加到列表的流程该过程循环往复交换机就能够对整个网络中存在的MAC 地址进行记忆并添加到地址列表这就是二层(OSI 二层)交换机对MAC 地址进行建立、维护的全过程。 从上述过程不难看出传统的二层网络结构模式虽然运行简便但在很大程度上限制了网络规模的扩大由于传统网络结构中采用的是广播的方式来实现数据的传输极易形成广播风暴进而造成网络的瘫痪。这就是各个计算机研究机构所面临的“二层网络存在的天然瓶颈”由于该瓶颈的存在使得大规模的数据传输和资源共享难以实现基于传统的二层网络结构也很难实现局域网络规模化。 为了适应大规模网络的产生于发展基于分层、简化的思想三层网络模式被成功设计推出。三层网络架构的基本思想就是将大规模、较复杂的网络进行分层次分模块处理为每个模块指定对应的功能各司其职互不干扰大大提高了数据传输的速率。 二、三层网络结构的设计顾名思义具有三个层次核心层、汇聚层、接入层。下面将对三个层次的作用分别进行说明。1核心层在互联网中承载着网络服务器与各应用端口间的传输功能是整个网络的支撑脊梁和数据传输通道重要性不言而喻。因此网络对于核心层要求极高核心层必须具备数据存储的高安全性数据传输的高效性和可靠性对数据错误的高容错性以及数据管理方面的便捷性和高适应性等性能。在核心层搭建中设备的采购必须严格按需采购满足上述功能需求这就对交换机的带宽以及数据承载能力提出了更高的要求因为核心层一旦堵塞将造成大面积网络瘫痪因此必须配备高性能的数据冗余转接设备和防止负载过剩的均衡过剩负载的设备以降低各核心层交换机所需承载的数据量以保障网络高速、安全的运转。2汇聚层连接网络的核心层和各个接入的应用层在两层之间承担“媒介传输”的作用。每个应用接入都经过汇聚层进行数据处理再与核心层进行有效的连接通过汇聚层的有效整合对核心层的荷载量进行降低。根据汇聚层的作用要求汇聚层应该具备以下功能实施安全功能、工作组整体接入功能、虚拟网络过滤功能等。因此汇聚层中设备的采购必须具备三层网络的接入交换功能同时支持虚拟网络的创建功能从而实现不同网络间的数据隔离安全能够将大型网络进行分段划分化繁为简。3接入层接入层的面向对象主要是终端客户为终端客户提供接入功能区别于核心层和汇聚层提供各种策略的功能。接入层的主要功能是规划同一网段中的工作站个数提高各接入终端的带宽。在搭建网络架构时既要考虑网络的综合实用性也要考虑经济效益因此在接入层设备采购时可以选择数据链路层中较低端的交换机而不是越高端越昂贵越好。 随着近年来互联网的应用规模急剧扩张对数据传输的要求也越来越高基于数据整合的云计算技术逐渐受到人们的关注。计算机网络作为当今社会各种信息的传输媒介其组成架构也即将发生重大变革。鉴于传统三层网络VLan 隔离以及STP 收敛上的缺陷传统网络结构急需打破。现有研究机构开始致力于新型高效网络架构的研发与探索结合早期的扁平化架构的原有二层网络与现有三层网络的优缺点提出了大二层网络架构。 大二层网络 1为什么需要大二层网络 传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量同时使网络管理员能够对流量流进行管理。工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余通常将二层网络的范围限制在网络接入层以下避免出现大范围的二层广播域 虚拟化从根本上改变了数据中心网络架构的需求既虚拟化引入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了传统三层网络统治数据中心网络的局面。具体的来说虚拟化技术的一项伴生技术—虚拟机动态迁移如VMware的VMotion在数据中心得到了广泛的应用虚拟机迁移要求虚拟机迁移前后的IP和MAC地址不变这就需要虚拟机迁移前后的网络处于同一个二层域内部。由于客户要求虚拟机迁移的范围越来越大甚至是跨越不同地域、不同机房之间的迁移所以使得数据中心二层网络的范围越来越大甚至出现了专业的大二层网络这一新领域专题。 思考两个问题aIP及MAC不变的理由对业务透明、业务不中断bIP及MAC不变那么为什么必须是二层域内IP不变那么就不能够实现基于IP的寻址三层那么只能实现基于MAC的寻址既二层寻址大二层顾名思义此是二层网络根据MAC地址进行寻址 2传统的二层网络大不起来的原因 在数据中心网络中“区域”对应VLAN的划分。相同VLAN内的终端属于同一广播域具有一致的VLAN-ID二层连通不同VLAN内的终端需要通过网关互相访问二层隔离三层连通。传统的数据中心设计区域和VLAN的划分粒度是比较细的这主要取决于“需求”和“网络规模”。 传统的数据中心主要是依据功能进行区域划分例如WEB、APP、DB办公区、业务区、内联区、外联区等等。不同区域之间通过网关和安全设备互访保证不同区域的可靠性、安全性。同时不同区域由于具有不同的功能因此需要相互访问数据时只要终端之间能够通信即可并不一定要求通信双方处于同一VLAN或二层网络。 传统的数据中心网络技术 STP是二层网络中非常重要的一种协议。用户构建网络时为了保证可靠性通常会采用冗余设备和冗余链路这样就不可避免的形成环路。而二层网络处于同一个广播域下广播报文在环路中会反复持续传送形成广播风暴瞬间即可导致端口阻塞和设备瘫痪。因此为了防止广播风暴就必须防止形成环路。这样既要防止形成环路又要保证可靠性就只能将冗余设备和冗余链路变成备份设备和备份链路。即冗余的设备端口和链路在正常情况下被阻塞掉不参与数据报文的转发。只有当前转发的设备、端口、链路出现故障导致网络不通的时候冗余的设备端口和链路才会被打开使得网络能够恢复正常。实现这些自动控制功能的就是STPSpanning Tree Protocol生成树协议。 由于STP的收敛性能等原因一般情况下STP的网络规模不会超过100台交换机。同时由于STP需要阻塞掉冗余设备和链路也降低了网络资源的带宽利用率。因此在实际网络规划时从转发性能、利用率、可靠性等方面考虑会尽可能控制STP网络范围。 随着数据大集中的发展和虚拟化技术的应用数据中心的规模与日俱增不仅对二层网络的区域范围要求也越来越大在需求和管理水平上也提出了新的挑战。 数据中心区域规模和业务处理需求的增加对于集群处理的应用越来越多集群内的服务器需要在一个二层VLAN下。同时虚拟化技术的应用在带来业务部署的便利性和灵活性基础上虚拟机的迁移问题也成为必须要考虑的问题。为了保证虚拟机承载业务的连续性虚拟机迁移前后的IP地址不变因此虚拟机的迁移范围需要在同一个二层VLAN下。反过来即二层网络规模有多大虚拟机才能迁移有多远。 传统的基于STP备份设备和链路方案已经不能满足数据中心规模、带宽的需求并且STP协议几秒至几分钟的故障收敛时间也不能满足数据中心的可靠性要求。因此需要能够有新的技术在满足二层网络规模的同时也能够充分利用冗余设备和链路提升链路利用率而且数据中心的故障收敛时间能够降低到亚秒甚至毫秒级。 3实现大二层网络的技术 大二层网络是针对当前最火热的虚拟化数据中心的虚拟机动态迁移这一特定需求而提出的概念对于其他类型的网络并无特殊的价值和意义。 在虚拟化数据中心里一台物理服务器被虚拟化为多台逻辑服务器被称为虚拟机VM每个VM都可以独立运行有自己的OS、APP在网络层面有自己独立的MAC地址和IP地址。而VM动态迁移是指将VM从一个物理服务器迁移到另一个物理服务器并且要保证在迁移过程中VM的业务不能中断。 为了实现VM动态迁移时在网络层面要求迁移时不仅VM的IP地址不变、而且运行状态也必须保持例如TCP会话状态这就要求迁移的起始和目标位置必须在同一个二层网络域之中。 所以为了实现VM的大范围甚至跨地域的动态迁移就要求把VM迁移可能涉及的所有服务器都纳入同一个二层网络域这样才能实现VM的大范围无障碍迁移。这就是大二层网络的需求由来一个真正意义的大二层网络至少要能容纳1万以上的主机才能称之为大二层网络。而传统的基于VLANxSTP的二层网络由于环路和广播风暴、以及xSTP协议的性能限制等原因通常能容纳的主机数量不会超过1K无法实现大二层网络。当前实现大二层网络的主要技术有以下几种 a网络设备虚拟化技术 网络设备虚拟化是将相互冗余的两台或多台物理网络设备组合在一起虚拟化成一台逻辑网络设备在整个网络中只呈现为一个节点。例如华为的CSS框式堆叠、iStack盒式堆叠、SVF框盒堆叠技术等。 网络设备虚拟化再配合链路聚合技术就可以把原来网络的多节点、多链路的结构变成逻辑上单节点、单链路的结构解决了二层网络中的环路问题。没有了环路问题就不需要xSTP二层网络就可以范围无限只要虚拟网络设备的接入能力允许从而实现大二层网络。 b大二层转发技术 大二层转发技术是通过定义新的转发协议改变传统二层网络的转发模式将三层网络的路由转发模式引入到二层网络中。例如TRILL、SPB等。 以TRILL为例TRILL协议在原始以太帧外封装一个TRILL帧头再封装一个新的以太帧来实现对原始以太帧的透明传输支持TRILL的交换机可通过TRILL帧头里的Nickname标识来进行转发而Nickname就像路由一样可通过IS-IS路由协议进行收集、同步和更新。 cOverlay技术 Overlay技术是通过用隧道封装的方式将源主机发出的原始二层报文封装后在现有网络中进行透明传输从而实现主机之间的二层通信。通过封装和解封装相当于一个大二层网络叠加在现有的基础网络之上所以称为Overlay技术。 Overlay技术通过隧道封装的方式忽略承载网络的结构和细节可以把整个承载网络当作一台“巨大无比的二层交换机” 每一台主机都是直连在“交换机”的一个端口上。而承载网络之内如何转发都是 “交换机”内部的事情主机完全不可见。Overlay技术主要有VXLAN、NVGRE、STT等。 4大二层网络需要有多大、及技术选型 1. 数据中心内 大二层首先需要解决的是数据中心内部的网络扩展问题通过大规模二层网络和VLAN延伸实现虚拟机在数据中心内部的大范围迁移。由于数据中心内的大二层网络都要覆盖多个接入交换机和核心交换机主要有以下两类技术。 a 虚拟交换机技术 虚拟交换机技术的出发点很简单属于工程派。既然二层网络的核心是环路问题而环路问题是随着冗余设备和链路产生的那么如果将相互冗余的两台或多台设备、两条或多条链路合并成一台设备和一条链路就可以回到之前的单设备、单链路情况环路自然也就不存在了。尤其是交换机技术的发展虚拟交换机从低端盒式设备到高端框式设备都已经广泛应用具备了相当的成熟度和稳定度。因此虚拟交换机技术成为目前应用最广的大二层解决方案。 虚拟交换机技术的代表是H3C公司的IRF、Cisco公司的VSS其特点是只需要交换机软件升级即可支持应用成本低部署简单。目前这些技术都是各厂商独立实现和完成的只能同一厂商的相同系列产品之间才能实施虚拟化。同时由于高端框式交换机的性能、密度越来越高对虚拟交换机的技术要求也越来越高目前框式交换机的虚拟化密度最高为4:1。虚拟交换机的密度限制了二层网络的规模大约在1万2万台服务器左右。 b 隧道技术 隧道技术属于技术派出发点是借船出海。二层网络不能有环路冗余链路必须要阻塞掉但三层网络显然不存在这个问题而且还可以做ECMP等价链路能否借用过来呢通过在二层报文前插入额外的帧头并且采用路由计算的方式控制整网数据的转发不仅可以在冗余链路下防止广播风暴而且可以做ECMP。这样可以将二层网络的规模扩展到整张网络而不会受核心交换机数量的限制。隧道技术的代表是TRILL、SPB都是通过借用IS-IS路由协议的计算和转发模式实现二层网络的大规模扩展。这些技术的特点是可以构建比虚拟交换机技术更大的超大规模二层网络应用于大规模集群计算但尚未完全成熟目前正在标准化过程中。同时传统交换机不仅需要软件升级还需要硬件支持。 2. 跨数据中心 随着数据中心多中心的部署虚拟机的跨数据中心迁移、灾备跨数据中心业务负载分担等需求使得二层网络的扩展不仅是在数据中心的边界为止还需要考虑跨越数据中心机房的区域延伸到同城备份中心、远程灾备中心。 一般情况下多数据中心之间的连接是通过路由连通的天然是一个三层网络。而要实现通过三层网络连接的两个二层网络互通就必须实现“L2 over L3”。 L2oL3技术也有许多种例如传统的VPLSMPLS L2VPN技术以及新兴的Cisco OTV、H3C EVI技术都是借助隧道的方式将二层数据报文封装在三层报文中跨越中间的三层网络实现两地二层数据的互通。这种隧道就像一个虚拟的桥将多个数据中心的二层网络贯穿在一起。 也有部分虚拟化和软件厂商提出了软件的L2 over L3技术解决方案。例如VMware的VXLAN、微软的NVGRE在虚拟化层的vSwitch中将二层数据封装在UDP、GRE报文中在物理网络拓扑上构建一层虚拟化网络层从而摆脱对网络设备层的二层、三层限制。这些技术由于性能、扩展性等问题也没有得到广泛的使用。 常见数据中心架构 full layer3网络属于传统的数据中心网络。服务器网关部署在接入交换机上整网通过路由协议控制拓扑和转发路径。这样的网络架构的主要优势在于技术成熟、有大量的运维经验。网络系统稳定且便于维护。但是Full layer3网络的不足之处在于不能支持虚拟化数据中心虚拟机的自由迁移所以在进入云计算时代后Full layer3网络逐渐被淘汰。Full layer2网络是下一代数据中心的网络模型。服务器网关在核心层整网通过TRILL或是SPB协议控制拓扑和转发路径。这样的网络架构主要优势在于能够支持大规模的二层网络能够支持足够规模的虚拟机资源池。但是这个网络模型的缺点也是非常明显的。TRILL协议虽然已经标准化(SPB协议正在标准化)但是大规模的二层网络缺乏运维经验。没有运维经验也就意味着运维成本的大幅度提升同时也会给业务系统带来巨大的风险。 在汇聚层上部署EVI特性通过核心与汇聚之间的IP网络建立Vlink实现二层互通。通过EVI特性将指定的多个二层域连接起来形成一个完整的大规模二层网络。这样就可以实现虚拟机大规模池化功能。同时可以避免使用TRILL或是SPB协议带来的运维风险。 注意常规IP包转发过程中源IP及目的IP保持不变源MAC与目的MAC不断发生变化既源MAC是自己的mac目的mac是下一跳主机或者路由器的mac路由器将数据转发出去的阶段需要知道下一跳的mac地址通过arp协议获取并存储在路由器的arp表内供下次查询使用。 ***************当你发现自己的才华撑不起野心时就请安静下来学习吧***************转载于:https://www.cnblogs.com/roboot/p/10149350.html
