NetEye FW5200的三层交换技术

产品经理：王喜

　　通常防火墙主要有两种工作模式：透明和路由。为了适应某些特殊应用环境的部署要求，又出现了混合工作模式的概念。透明模式是防火墙配置成为桥模式，所有接口进行二层交换；路由是指所有接口都工作在三层，需要配置IP、路由等等；混合模式是表示有些接口工作在二层，而有些接口工作在三层。

　　大多数防火墙都只能工作在一种模式下，而且工作模式需要用户指定，比如在界面上选择透明、路由或混合模式等，而且配置的局限性比较大。比如很多防火墙在混合模式时，内网、外网与DMZ区之间只能设定为路由方式；内网外网之间只能设定为透明方式，配置灵活性很差；当防火墙具有3个以上接口时，配置会变得极为复杂甚至无法配置。

　　东软NetEye FW5200采用全新的三层交换技术消除了原来复杂的工作模式概念，带来了极大的部署和配置的灵活性。三层交换技术将二层交换和三层路由的优势结合成为一个有机的整体，利用第三层协议中的信息来加强第二层交换功能，从而在网络模型中的第三层实现了数据包的高速转发。NetEye FW5200中三层交换技术的采用使得VLAN、TRUNK、Channel等技术能够很方便地在防火墙上实施。更重要的是，从此抛弃了模式设置的操作，减轻了管理员配置维护的负担：比如说要实现几个接口间的二层交换，只需要在防火墙上设置一个VLAN，然后将这些接口添加到这个VLAN内，则VLAN内的接口就实现了传统的透明模式，并且支持包过滤、内容过滤等安全访问控制功能；如果要实现路由模式，可以配置两个或多个VLAN，VLAN间配置路由，这种情况下VLAN间采用的是三层交换技术，在完成了路由功能的同时，极大地提升了转发性能。

　　目前主要存在两类三层交换技术：第一类是报文到报文交换，每一个报文都要经历第三层处理，并且数据流转发是基于第三层地址的，如图一所示；第二类是流交换，它不在第三层处理所有报文，而只分析流中的第一个报文，完成路由处理，并基于第三层地址转发该报文，流中的后续报文使用一种或多种捷径技术进行处理，如图二所示。此类技术的设计目的是方便线速路由。NetEye FW5200采用的是流交换技术，保证了设备具有千兆线速的数据包处理、路由和转发性能。

图一：基于报文到报文交换的三层交换技术

图二：基于流交换的三层交换技术

　　理解三层交换技术的关键首先需要区分报文到报文交换和流交换这两类不同的转发方式。报文到报文处理方法的一个显著特征是能够适应路由的拓扑变化。通过运行标准协议并维护路由表，报文到报文交换设备可动态地重新路由报文，绕过网络故障点和拥塞点而无需等待高层的协议检测报文丢失。报文到报文交换遵循这样一个数据流过程：报文进入系统中OSI参考模型的第一层，即物理接口，然后在第二层接受目的MAC检查，若在第二层能交换则进行二层交换，否则进入到第三层，即网络层。在第三层，报文要经过路径确定、地址解析及某些特殊服务。处理完毕后报文已更新，确定合适的输出端口后，报文通过第一层传送到物理介质上。

　　流交换方法没有这些特征，因为后续报文走捷径而无需第三层处理，这样，它就不能识别标准协议对路由表的改变。因此，流交换方法需要另外的协议取得拓扑变化或拥塞信息，以便到达交换系统正确的地方。在流交换中，第一个报文被分析以确定其是否标识一个“流”或者一组具有相同源地址或目的地址的报文，同一流中的后续报文被交换到第二层的目的地址，这种方式节省了检查每一个报文要花费的处理时间。流交换需要两个技巧，第一个技巧是要识别第一个报文的哪一个特征标识一个流，这个流可以使其余报文走捷径，即第二层路径。第二个技巧是，一旦建立穿过网络的路径，就让流足够长以便利用捷径的优点。怎样检测流、识别属于特定流的报文以及建立通过网络的流通路随实现机制的变化而不同。

　　东软预见到网络安全与通信逐步融合的技术趋势，在NetEye FW5200融合了众多先进的网络特性，如三层交换技术、以太网通道技术等等，结合NetEye FW5200超强的千兆线速处理性能和虚拟防火墙技术，使它成为电信、金融、教育、电力等行业骨干网络安全防护的利器！