Gigabit 交換路由器之測試
Experiments on Gigabit Switch Routers
周立德 楊正鼎 陳瑞明 劉士誠 蔡能聰 涂國祥 郭乃榮
國立中央大學資訊工程學系
桃園縣中壢市五權里 38 號
:
[email protected]
摘要
Gigabit 交換路由器 (switch routers) 除了 具備高傳輸速率之外,並有全功能的路由和交 換 能 力 , 特 別 是 可 達 線 速 (wire-speed) 之 IP/IPX 單播 (unicast) 與群播 (multicast) 路 由能力,因此極適合作為具有高頻寬需求之多 媒體即時應用之傳輸平台。本論文對 Gigabit 交 換 路 由 器 在 流 量 統 計 、 虛 擬 區 域 網 路 (Virtual LANs)、ACL (Access Control List) 存 取控制、過濾 (filtering) 及連接埠鏡射 (port mirror) 等功能進行測試,以瞭解其在實際運 作時之效能。 關鍵詞:Gigabit 交換路由器、虛擬區域網路、 ACL 存取控制、過濾、連接埠鏡射
1. 緒論
由於網路應用日漸蓬勃,加上多媒體技術 的引進,使得網路更貼近人們的生活,但其對 頻寬的要求也與日俱增。Gigabit 交換路由器 (switch router) 兼具了交換機 (switch) 及路由 器 (router) 的功能,且具備高交換速率與傳輸 速率,因此極適合做為各項整合影像、聲音及 數據之多媒體應用的傳輸平台。交換機在 OSI 參考模型的第二層運作,路由器則在第三層運 作,因此交換機的操作速率遠較路由器快,但 路 由 器具 備 強大 的功 能而 擁 有各 項 加值 服 務。交換路由器則兼具高交換速率與路由功 能,能以線速 (wire-speed) 且更低的成本對 IP/IPX 等 標 準 通 用 的 通 訊 協 定 提 供 傳 統 software-based 路由器支援的所有路由功能, 且其交換速率可達 Gigabit,並支援第二層交換 (Layer 2 Switching) 、 第三 層 路 由 (Layer 3 Routing) , 甚 至 是 第 四 層 交 換 (Layer 4 Switching) 之功能 [1]。 交換路由器與 Layer 3 交換機的差別在 於 Layer 3 交換機可視為路由器,是利用硬體 轉送封包,完全不需改變 IP 位的址結構,非 但速度更快,價格也更便宜;交換路由器則提 供完整的路由控制功能,在執行控制功能時依 然保持高速,而 Layer 3 交換機並不包含所有 的路由控制功能,於執行控制功能時會影響到 其運作效能 [24]。 Gigabit 交換路由器可提供虛擬區域網路 (Virtual Local Area Networks,簡稱 VLAN) [5]、ACL (Access Control List) 存取控制、過 濾 (filtering)、連接埠鏡射 (port mirror)、保 密、流量統計、RMON、RMON2 等功能。虛 擬區域網路可將實際上不一定相連的工作站 或個人電腦邏輯地連結在一起,而這些同屬一 虛擬區域網路的電腦間之通訊狀況如同在一 區域網路內一般。其優點是只需更改一些設 定,而不需移動電腦或重新佈線,此外虛擬區 域網路也可避免同一網域中不屬於此虛擬區 域網路的電腦收到該虛擬區域網路的訊息。 ACL 存取控制功能可針對 IP、連接埠、連線方式或服務型態決定是否允許其進行存取。而 過濾功能則可對網路卡 MAC 卡號或連接埠 來設定存取的權限,以保障合法使用者。連接 埠鏡射的功能可將某個連接埠所接受到的訊 務,複製到另一指定的連接埠,以方便網路管 理者進行流量或封包內容之監測。 為能對 Gigabit 交換路由器之性能及效率 有更進一步的認識,本論文針對部分較有興趣 之功能,規劃並進行下列測試: 1. 兩點間傳輸速率之測試: 利用兩台個人電腦透過 Gigabit 交換路 由器進行傳輸,以統計實際傳輸速率。 2. 虛擬區域網路環境下之傳輸速率測試: 利用三台個人電腦透過 Gigabit 交換 路由器進行資料的傳輸,其中兩台同屬一虛 擬區域網路,第三台則屬另一虛擬區域網 路。再量測同屬一虛擬區域網路及不同虛擬 區域網路之兩部電腦間傳輸速率的差異。 3. ACL 存取控制之測試 測試在 Gigabit 交換路由器中以 ACL 技術對單一 IP 或一群 IP 進行存取權限設 定與管制之效果。 4. 過濾功能之測試: 此過濾功能是依網路卡 MAC 卡號或 是依連接埠來限制使用者的存取權限,屬於 較底層的安全設定。本測試主要在實驗過濾 功能之有效性。 5. 連接埠鏡射之測試: 將所有流經一埠的訊務,複製到另一指 定的埠,再由鏡射埠對所複製的訊務進行監 測。 本論文將於第二節介紹進行各項測試時 所使用之軟硬體配備,並詳述各項測試之內容 及步驟。各項測試所量測之數據則於第三節呈 現,並對結果詳加討論。最後於第四節做一結 論。
2. 測試環境與內容
本測試所使用 Gigabit 交換路由器之機型 為 Cabletron Smart Switch Router 8000 (SSR-8) [6],配備有八個插槽,其中共有 8 個 100 BASE-FX Ethernet 連 接 埠 、 16 個 10/100 BASE-TX Ethernet 連 接 埠 及 2 個 1000 BASE-LX Gigabit Ethernet 連接埠 [78],是全 功 能 、 高 速 率 的 路 由 器 , 並 支 援 Layer 2 Switching 、 Layer 3 Routing 及 Layer 4 Switching 的應用控制和策略,也相容於其他標 準的交換機及路由器。 在 Gigabit 交換路由器的韌體方面,前面 四個測試使用 v1.2 版,最後的連接埠鏡射測試 則是用 v2.1 的版本。在 SSR-8 中有兩種介面 可供使用,一為以指令形式來操作設定的指令 列介面 (Command Line Interface,簡稱 CLI) 透過 Java-based GUI 圖形介面來操作設定的 CoreWatch。 所 有 測 試 所 使用 的 個 人電 腦 均 配 備有 K6-200 之 CPU,32MB 之記憶體及 100 BASE-T 的網路卡,作業系統均為 Microsoft Windows 98。接下來詳述各項測試的內容及步驟。 測試一 兩點間傳輸速率之測試。 本測試之網路架構如圖一所示,利用兩台 個人電腦透過 Gigabit 交換路由器連線,再以 ping 指令,測試兩電腦間之傳輸速率。首先由 發送端 A 以 ping 指令送出封包,經由 et.3.3 連 接埠進入交換路由器,再從 et.3.1 連接埠輸出 至接收端 B,再量測單位時間內流經之位元數 及封包數,即可得 A 與 B 兩點間之傳輸速 率。測試二 虛擬區域網路環境下之傳輸率測試 如圖二所示,本測試以三台個人電腦連結 至 Gigabit 交換路由器,並設定個人電腦 A 及 B 同屬於一個虛擬區域網路,稱之為 VLAN1, 而個人電腦 C 則屬於另一個虛擬區域網路,稱 之為 VLAN2。本測試主要觀察隸屬於不同虛 擬區域網路之兩電腦間的傳輸速率,並與兩電 腦同屬一虛擬區域網路時的情況相比較。 為了避免外來的干擾,Gigabit 交換路由 器並未連上外部網路。首先由個人電腦 A 以 ping 指令送出封包至隸屬於同一虛擬區域網 路之電腦 B,再改由電腦 B 送至電腦 A,量出 兩次傳輸之平均速率。其後改為由電腦 A 送出 封包至電腦 C,以量測隸屬於兩不同虛擬區域 網路間電腦之傳輸速率。 進 行 網 路 流 量之 量 測 時, 必 須 先 執行 clear 指令以清除資料,因為 Gigabit 交換路 由器會不斷地累計各個連接埠的流量狀況。累 計的方式是由開機時起算,或是由上一次執行 clear 指令後起算,所以在準確的測試與統計 前,必須清除先前的資料。 測試三 ACL 層存取控制之測試 SSR-8 可以 ACL 之技術對單一 IP 或一 群 IP 進行存取限制。本測試即是對此 ACL 功能之有效性進行實驗。設定 ACL 所使用的 指令格式為
acl name permit(deny) tcp source-addr dest-addr source-port dest-port tos 其中 name 代表一 ACL 過的名稱,可由網路 管理者自行設定。ACL 設定有隱含的拒絕設 定 (Implicit deny) 之含義,即建立一 ACL 後,除了符合此 ACL 允許或拒絕條件之封包 外,其他的封包一律拒絕通過。指令
acl 101 deny tcp 203.72.243.0/24 any any any 表示所有 TCP 封包均被允許通過 Gigabit 交 換路由器,但是網路遮罩為 /24 及來源位址為 203.72.243.0/24 的子網路之 IP 封包則被濾 去,其中 /24 表示遮蔽了 24 個位元。指令 acl 101 permit tcp any any any any
則是拒絕任何 TCP 封包通過。本測試之細部 B A receiver sender et.3.1 et.3.3 圖一 測試一中兩點間傳輸率之測試架構圖 A C et.3.1 et.3.3 B et.3.2 VLAN1 VLAN2 圖二 測試二中虛擬區域網路之架構
項目如下:
1. 設定 ACL 以濾去某一 IP 之封包,使該 IP 無法傳送資料。使用的指令為:
acl 101 deny ip 203.72.243.250 any any any acl 101 permit ip any any any any
2. 設定 ACL 使之濾去所有 IP 封包,所使用之 指令為:
acl 102 deny ip any any any any
3. 設定 ACL 使某一 IP 可透過 Gigabit 交換路 由器對外互連。所使用之指令為:
acl 103 permit ip 203.72.243.250 any any any acl 103 permit ip any 203.72.243.250 any any
測試四 過濾功能之測試
本測試是依 MAC 位址或依連接埠來限 制使用者的存取權限,過濾的指令格式為 filters add address-filter name <name>
direction source vlan <VLAN-num> in-port-list <port-list>
表示將所有經過 <port-list> 連接埠且來源端 屬於 <VLAN-num> 這個虛擬區域網路的封 包濾掉,而 <name> 則代表此過濾器 (filter) 的名字,可由網路管理者自訂。而指令 filters add address-filter name <name>
direction destination vlan
<VLAN-num> in-port-list <port-list> 則表示將所有經過 <port-list> 連接埠且目的 地屬於 <VLAN-num> 這個虛擬區域網路的 封包濾掉。 本 測 試 之 網 路架 構 如 圖三 所 示 , 其中 Group A 及 Group B 分別代表一虛擬區域網 路。假設 Server B 網路卡的 MAC 位址為 AABBCC:DDEEFF,則指令
filters add address-filter name serverB
dest-mac AABBCC:DDEEFF vlan
Agroup in-port-list et.1.1
表 示 從 所 有 經 過 連 接 埠 et.1.1 且 隸 屬 於 Agroup 這個虛擬區域網路之封包中,將目的 地為 AABBCC:DDEEFF 之 MAC 位址的封 包濾掉。亦即所有連至 et.1.1 埠的電腦中,只 有不屬於 Group A 的電腦才可將封包送達 Server B。 測試五 連接埠鏡射之測試 本測試主要瞭解連接埠鏡射之功能,以協 助進行網路監測,瞭解訊務之傳輸情形與內 容。本測試利用 FTP 檔案傳輸來觀察連接埠 之鏡射結果,其網路架構如圖四所示。實驗環 境中有三台電腦,PC1 為 FTP 的伺服器端, 作業系統為 Linux Red Hat 6.0,並於其上提供 一大小為 108,164,913 bytes 之檔案。PC2 為 FTP 的客戶端,並同時安裝 CoreWatch 監控 軟體,以分析 Gigabit 交換路由器的運作情 形。設定 Gigabit 交換路由器,使之將所有傳
et.1.1 et.1.2 et.1.3
HUB
Server A ServerB Group A and B
送至 et.3.2 連接埠的封包全部複製到 et.1.7 連 接埠,再將安裝有 Net-X-ray 軟體之電腦 PC3 連至 et.1.7 連接埠,以擷取所鏡射到的訊務, 供對照 et.3.2 及 et.1.7 兩連接埠所接收及鏡 射之訊務的狀況。本測試之實驗步驟如下: 1. 對 Gigabit 交換路由器設定鏡射功能,其指 令為
monitor-port et.1.7 target-port et.3.(1-8) 2. 將所有用到的埠進行初始化。 3. 設定 Net-X-Ray 軟體。 4. 在進行檔案傳輸時,PC3 同時擷取封包。 5. 在檔案傳輸完畢後,PC2 停止一切網路活 動,同時 PC3 停止封包擷取的動作。 6. 觀察各個埠接收的封包數和位元數,並做成 紀錄。
3. 測試結果與討論
本節為上述五項測試之結果,並對其詳加 討論。在測試一中進行兩點間傳輸速率之實驗 中,由於個人電腦之網路卡為 100 BASE-T, 加上個人電腦之配備與等級等因素,因此僅能 測到約 74.69 Mbps 之傳輸速率,如表一所示。 表二為測試二中隸屬於同一虛擬區域網 路之電腦間傳送資料時之傳輸結果,其傳輸速 率為 63,012,512 bps。表三則為不屬於同一虛 擬區域網路之電腦間傳送資料之結果,其傳輸 速率為 37,570,232 bps,速率較慢的原因是其 尚須在不同的虛擬區域網路間進行路由運作。 在測試三 ACL 存取控制的實驗方面,在 設定濾去某一 IP 為 203.72.243.250 之電腦 前,該電腦可正常傳送資料,但設定後則完全 無法自 Gigabit 交換路由器送出資料;其次在 設定 ACL 以濾去所有 IP 封包之實驗中,在 設定前連通皆正常,設定後所有 IP 的確無法 連進 Gigabit 交換路由器,也無法互連。在設 定 ACL 使某一 IP 可透過 Gigabit 交換路由器 對外互連之測試中,設定前連通皆正常,但設 定之後則僅 203.72.243.250 這台個人電腦可 對外連通。 PC1 PC3 et.3.1 et.1.7 PC2 et.3.2 203.72.243.25 1 203.72.243.181 203.72.243.20 圖四 測試五連接埠鏡射之測試的網路架構 表一 測試一中點對點測試傳輸結果Port Stats Received Transmitted
Average bit/sec 74,690,944 0 Unicast packets 43355 43352 Packet errors 4 43351 表二 測試二中由電腦 A 送出資料至隸屬於 同一虛擬區域網路之電腦 B 時的傳輸 結果
Port Stats Received Transmitted
Average bit/sec 63,012,512 0 Unicast packets 11,479 3,099 Packet errors 0 0 表三 測試二中由電腦 A 送出資料至屬於另 一虛擬區域網路之電腦 C 時的傳輸 結果
Port Stats Received Transmitted
Average bit/sec 37,570,232 2,350,400
Unicast packets 4,001 2,239
ACL 功能可針對 OSI 模型的第三層 IP 封包進行允許/拒絕的存取控制設定,網路管理 者可對任意 IP 或 IP 領域 (IP domain) 進行 權限的管理及設定,也可設定每個連接埠與特 定 IP 或 IP 領域彼此間的權限關係。由於 ACL 有內含的隱藏拒絕設定,所以在設定拒 絕一 IP 或 IP 領域前,必須先下達接受所有 IP 封包的指令,否則不只該 IP 或 IP 領域 之封包被拒絕,其他來源之封包也會因隱含拒 絕的因素導致被拒絕存取。 由於 ACL 可對 IP 或 IP 領域作整體 的設定,因此較過濾功能方便;但因過濾功能 是在 MAC 層或根據連接埠進行過濾,因此在 處理速度上較有效率,且在以網路卡收費的宿 舍網路環境中,更能突顯此優點。在過濾功能 的測試中,各電腦均可自由相互連接;但在設 定過濾功能後,隸屬 Group A 的使用者的確無 法連結至 Server B。 在連接埠鏡射的測試部分,以 FTP 傳輸 一大小為 108,164,913 bytes 之檔案。圖五為連 接埠 et.3.1 及 et.3.2 之訊務傳輸狀況,圖六 則為由鏡射埠 et.1.7 以 Net-X-Ray 所擷取之 各種訊務的分類。表四顯示三台電腦在起始與 結束時所接收到與傳送出的封包數及位元組 數 。 由 於 本 測 試 是 以 FTP 傳 輸 一 大 小 為 108,164,913 bytes 之檔案,因此三台電腦所傳 送出或接收到之位元組數應相同,但表四所顯
(a)
連接埠 et.3.1(b)
連接埠 et.3.2圖五
測試五
連接埠鏡射的實驗中 (a) 連 接埠 et.3.1 及 (b) 連接埠 et.3.2 之 訊務傳輸狀況圖六 測試五
連接埠鏡射的實驗中鏡射埠 et.1.7 所擷取之訊務分類 表四測試五
連接埠鏡射的實驗中,三連接埠在起始與結束時所接收到與傳送出的封包數及位 元組數Port 位置 et.3.1 (ftp server) et.3.2 (ftp client) et.1.7 (Net-X-Ray)
狀態 接收 傳送 接收 傳送 接收 傳送 IP 位址 203.72.243.251 203.72.243.181 203.72.243.20 起始時封包數 0 0 4 0 4 4 起始時位元組數 0 0 280 0 0 0 結束時封包數 44,913 74,474 74,188 44,596 119,337 0 結束時位元組數 2,963,809 112,467,943 112,470,289 2,854,036 115,506,113 0
示的位元組數及封包數均不同,這是因為有 FTP 的 command 封包加入傳輸鏈路,且在傳 送過程中,可能有封包遺失導致重送的情形發 生,加之有 CoreWatch 及 Net-X-Ray 軟體之 相關控制封包的緣故。但傳送、接收與鏡射的 位元組數大致相同,因此可判斷出鏡射功能是 成功的。
4. 結論
網路發展日趨蓬勃,各式多媒體應用相繼 誕生,頻寬需求日益增加,因此兼具高速交換 速率與強大路由能力的 Gigabit 交換路由器已 成為眾人注目的焦點 [9]。為了更瞭解 Gigabit 交換路由器之功能,本文對傳輸速率、虛擬區 域網路、ACL 存取控制、過濾和連接埠鏡射 等部分較有興趣之功能進行測試,但可能由於 配合實驗之個人電腦配備不夠新穎齊全,加之 部分測試在進行時尚未更新 Gigabit 交換路由 器韌體之版本,因此尚未能完全表現出 Gigabit 交換路由器之特性與效能。參考文獻
[1] Cabletron Systems, "SmartSwitch Routers," http://www.cabletron.com/smart-switch-rout er/, Sept. 1999.
[2] Newman Peter, et al., "Ipsilon’s General Switch Management Protocol Specifica-tion," IETF RFC 1987, Aug. 1996.
[3] Newman Peter, Greg Minshall, Tom Lyon and Larry Huston, "IP Switching and Gigabit Routers," IEEE Communications Magazine, Jan. 1997.
[4] Rekhter Y., et.al., "Cisco Systems’ Tag Switching Architecture Overview," IETF Internet Draft, Mar. 1997.
[5] IEEE 802.1Q/D8: Virtual Bridged Local Area Network (VLAN), Dec. 1997.
[6] Cabletron Systems, "SmartSwitch Router 8000," http://www.cabletron.com/products/ items/SSR-8, 1999.
[7] Gigabit Ethernet Alliance, "Gigabit Ethernet
1000 BASE-T,"
http://www.giga-bit-ethernet.org/technology
/whitepapers/ gige_11.97/wp_11.97.pdf,
Nov. 1997.
[8] Gigabit Ethernet Alliance, "White Paper:
Gigabit Ethernet,"
http://www.gigabit-ethernet.org/technology/ whitepapers/gige_0698/papers98_toc.htm, June 1998.
[9] John C. Collins, Joel Dunn and Phil Emer, "Gigabit Junction with the Next-Genera-tion," IEEE Spectrum, Vol.36, No.2, 1999.
