亲密的网络旅程（四）：给网络装上一台“超级电梯”与“贵宾通道”——802.1Q与QoS的魔法

引言一根线缆的无限可能以及拥堵路上的“VIP”朋友你家里或者办公室里一定有不少网线、路由器、交换机吧你有没有觉得网络连接的“物理线缆”越来越多了如果你是一个企业的IT管理员面对几百台电脑看着成堆的网线是不是经常头皮发麻实际上以太网物理层就是我们之前拆解过的电信号和光信号能承载的数据量极其庞大。即便在10年前一根网线也能跑1Gbps千兆的速度。如果只用它来连接一台电脑那简直就是“把波音747客机当私人校车用”——极其浪费那么如何让一根物理网线发挥出100倍、1000倍的效能同时还能保证关键业务比如视频会议、老板的邮件的畅通无阻呢答案就藏在802.1Q 与 QoS。想象一下现在的物理网络是一栋无比巨大的、又粗又硬的水泥大楼。大楼里的每一根管道物理网线都粗得像高速隧道。802.1Q像是给这栋大楼装上了一个超级智能的中央电梯和楼层门禁系统它能让来自不同部门、不同公司的数据流像开在不同的楼层里一样互相不会走错门、也不会撞在一起。而QoS服务质量则是给这个电梯系统加上了VIP通道和优先道。当大楼里同时有“快递小哥的大货车”普通的网页浏览/下载和“急症救护车”打游戏的实时数据包或视频会议需要送东西时QoS能确保救护车永远跑在车流量最大的快车道上。好了让我们系好安全带一起钻进这本技术手册重新认识一下这根神奇的“超级线缆”。第一章为什么需要“虚拟”——VLAN的诞生与救赎请您的目光落在照片第一页的左侧。我们直接从“3.2.2.1 802.1Q虚拟局域网和QoS标签”这个标题开始。1.1 物理世界的噩梦那个叫“广播风暴”的怪物在没有VLAN之前也就是“大通铺”时代一个简单的二层交换机是如何工作的我们之前讲过一个原则交换机默认会转发广播帧到所有端口。想象一下你的公司有200台电脑连在同一个交换机上。每天早晨当你打开电脑时你的电脑会发出一声大吼“嘿谁有默认网关路由器的IP地址请告诉我你的MAC地址” 这叫做ARP地址解析协议广播。这一声大吼会瞬间被交换机复制成200份送到所有200台电脑的网卡里。每台电脑都要停下来听一下看看是不是在叫自己。看起来还行是吗好那如果今天是周报日所有人都在网盘上上传文件。每传一个文件都要发出好几个广播来确定对方的位置。如果这时候有一台中毒的电脑在疯狂向外广播“垃圾数据”……那么整个200人的办公网络就会被这种无尽的广播数据包彻底淹没像一锅沸腾的粥所有的正常通信都被“吵”得无法进行。这就是——广播风暴。VLAN就是为了解决这个问题而生的。1.2 逻辑上的“任意门”VLAN干的事儿VLANVirtual LAN虚拟局域网的核心思想非常简单粗暴物理上我们还是在一根线里但逻辑上我要把你隔离开。想象一下这栋网络大楼物理上并没有隔断的墙所有电脑都通过地板下的管线相连。但是通过VLAN的设置我们可以把财务部的5台电脑划进VLAN 10。把人事部的10台电脑划进VLAN 20。把普通员工的大几百台电脑划进VLAN 30。现在当财务部的一台电脑发出一个广播比如 “谁有隔壁那台打印机的IP”这个广播只会在VLAN 10的圈子里流转永远不会吵到VLAN 20和VLAN 30的员工。效果广播风暴被限制在了一个小范围内安全隐患被物理隔绝不同部门的数据流在逻辑上完全独立。这就是VLAN的魔法一根线当成几百根线用。第二章解剖802.1Q——那个神奇的“4字节妖怪”知道了VLAN有什么用那它是怎么在以太网帧里实现的呢请看图片1中提到的“VLAN的标签是插入到帧中的长度为4个字节的字段”。2.1 当普通帧遇上魔法标签我们之前拆解过标准的以太网帧结构目的MAC、源MAC、类型、数据……。802.1Q标准做了一个非常“大胆”的改动它在源MAC地址和类型/长度字段之间硬生生地塞进去了4个字节的内容。插入点就在源MAC的后边数据类型的前边。这个位置非常绝妙因为它也是网卡处理流程中最先被读到的位置之一能让硬件极快地做出VLAN转发决定。2.2 拆解这4个字节——看穿它的魔法TPID 和 TCI这4个字节的魔法封印里藏着两部分第一部分TPID标签协议标识符2字节—— 魔法报警器这个字段固定是0x8100。当交换机收到一个以太网帧它第一眼看到这个字段。如果是0x8100它立刻就知道“哇这不是普通的信这是带VLAN标签的信我得仔细看看后面的内容” 如果没有这个魔法的0x8100报警器交换机就会把它当成普通的帧来处理VLAN魔法就会失效。第二部分TCI标签控制信息2字节—— 真正的VLAN身份证这就是这4个字节中最核心的内容它又细分为三个部分PCP优先级代码点3位这是QoS的“VIP等级”。它可以提供从0到7的8个优先级。0级是“普通快递”7级是“空中急救”。我们会在下一章详细讲。DEI丢弃指示位1位这是一个“垃圾桶标记”。当网络发生严重拥堵交换机必须扔掉一些包的时候它会优先选择被标记了DEI1的包扔掉比如低优先级的、非关键的数据。VIDVLAN ID12位这是VLAN的“门牌号”12位意味着它可以表示从0到4095之间的数字0和4095通常作为保留值所以实际可用的是1到4094。所以当交换机看到这个字段是VID 10时它就确认了这封信属于“财务部专属的VLAN 10”。这4个字节就像是一张神奇的门禁卡或者一贴魔法护符。它将原本统一的以太网物理世界划分成了4094个互不相通、彼此独立的逻辑世界。第三章VIP通道的构建者——QoS服务质量现在我们来看书里反复提及的另一个关键词QoS。3.1 当网络变成“春运火车站”……在VLAN隔离了广播风暴的同时又产生了另一个巨大的问题哪怕是在同一个VLAN里流量也会打架。张三在下载一部4K高清电影。李四在用公司内部系统ERP提交一份紧急的采购单。王五在开重要的全球视频会议。如果网线变成了“春运火车站”所有人都挤在一条通道上会发生什么张三的大数据流电影会几乎抢光所有的带宽导致李四的ERP系统提交延迟、王五的视频会议变成幻灯片卡顿。这显然是无法接受的。QoS服务质量就是为了解决这个问题而设计的。它的核心思想是在网络拥塞时按照“轻重缓急”来分配带宽确保最关键的流量优先通过。3.2 802.1Q里的“VIP标记”PCP我们刚才在TCI字段里提到了3位的PCP优先级代码点。这就是QoS在802.1Q里的具体体现。当你的电脑或交换机在发送一个帧时可以给它打上从0到7的等级标签。PCP 7最高的优先级。这通常是网络控制数据比如生成树协议STP的报文它们关系到网络本身的生死存亡。PCP 6极高优先级。可能是管理员的SSH登录流量。PCP 5高优先级。典型的代表就是VoIP网络电话和视频会议的实时媒体流。它们对延迟极其敏感一卡顿就没法聊天了。PCP 4~3中优先级。比如数据库同步、ERP系统。PCP 2~1低优先级。常规的网页浏览、文件下载。PCP 0默认最低优先级。系统默认值。当你的数据帧穿过网络时每一个交换机都会查看这个PCP字段。如果交换机开始拥堵了它的内部调度器就会优先发送标记为PCP 5、6、7的帧而把PCP 0、1、2的帧排在后面甚至直接丢弃PCP 0的帧。这就是QoS的魔法它通过给数据包打上“VIP标记”实现了在同一个物理通道上、为不同业务提供差异化的服务水平。3.3 更广阔的天地IP层的QoS与802.1Q的联动书里也提到了在IP层网络层也有类似的机制叫做DSCP区分服务代码点。其实这两层是可以联动的。比如一个视频会议系统可以在IP包头里打上DSCP标记然后交换机在封装成以太网帧时可以根据IP头的DSCP值自动映射并写入PCP字段。这样从上到下的QoS保障就形成了一个完整的链条。第四章实战揭秘——如何在真实世界里看见VLAN书本的内容再精彩也比不上一张真实的抓包截图。请看您拍的第二张图片第62页。这张图片展示了一个Linux环境下的VLAN配置以及Wireshark抓包截图中VLAN的显示。4.1 左边Wireshark里的“幽灵”标记图3-5您看到的那个框框里的截图是Wireshark网络分析工具的界面。里面的核心一条是802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 2ID: 2这就表示这个数据包属于VLAN 2。PRI: 0表示它是默认的“普通快递”优先级。下面的注释里还提到“该帧大小63字节不包括CRC…该帧属于VLAN 2优先级为0”。这给了我们一个黄金级别的信息VLAN标签是真实存在于数据包里的Wireshark能把它解析出来供我们查看。如果没有802.1Q技术这串十六进制数据会被解读为“乱码”或者普通的ARP帧但有了标准我们就能清晰地看到它的“VLAN身份证”。4.2 中间与右边Linux下的“魔术咒语”请看右边的文字vconfig add eth1 2ip link set vlan0002 up这些是Linux系统的命令行操作。vconfig一个用于创建VLAN接口的工具。add eth1 2意思是在物理网卡eth1之上添加一个编号为2的VLAN接口。效果系统会生成一个新的虚拟网卡名字通常叫eth1.2或者vlan0002。当你发送数据通过eth1.2这个接口时系统会自动在底层把802.1Q标签VID2塞进帧里并发送出去。这种操作实际上是让操作系统像交换机一样去处理VLAN。现在你通过eth1.2发出的任何数据都会被自动贴上VLAN 2的标签这通常用于连接网络设备的路由器或防火墙。一句话总结Linux里的vconfig命令就是我们给数据包贴“VLAN身份证”的贴纸机。Wireshark则是我们的“读卡器”让我们能亲眼看到这张身份证上的信息。第五章未完待续的“数学题”——预告3.2.4 802.1AX链路聚合现在我们把目光投向文章的最末尾图片的右下角。那里只有寥寥几行文字“3.2.4 802.1AX链路聚合以前的802.3ad…当多个端口被视作单个逻辑链路时这个技术提高了可靠性…”。显然信息量远远不够支撑完整的解析而且这还是一个全新的章节。但这是一个极具智慧的设计值得我们在下一次深入探讨。我在这里先做个小小的剧透想象一下你家里的宽带从100M提升到了1000M但你发现路由器背后只有一根网线连着光猫心里总有点不踏实“万一这根线被人剪断了怎么办”或者你在数据中心有10台服务器每台都要千兆带宽。但你发现交换机上的千兆口不够用了或者单根千兆线压不住服务器上跑的数据库的大量读写。链路聚合Link Aggregation802.1AX就是解决问题的终极方案它的核心思想是把多根物理网线捆绑在一起当作一根超级粗的虚拟网线来用。增加带宽2根千兆线捆绑在一起逻辑上就拥有了2Gbps的带宽。提高可靠性如果这捆线里的某一根断了其他线自动接管工作业务零中断这在关键业务中是保命的特性。它就像是拔河比赛里把几根细绳子编成一根粗绳。一根细绳子容易断但编在一起就坚固无比力量惊人。结语今天我们通过这两页书完成了一次从“物理”到“逻辑”再到“质量保证”的完美跃迁。物理束缚的突破从一根线只给一个人用到一根线分出4094个虚拟世界VLAN。拥堵路上的赋能从“大家一起堵”到给关键业务让出VIP通道QoS/PCP。真实世界的验证Linux的vconfig和Wireshark的解析让我们看到了冷冰冰技术背后的奇妙逻辑。互联网之所以能承载我们今天如此庞大的流量直播、视频会议、线上办公很大程度上归功于802.1Q和QoS这些“看不见的魔法”。下一次当我们拿到关于“802.1AX链路聚合”的完整资料后我们将继续展开那部分关于“把细绳编成粗绳”的精彩故事。期待您的下一张照片我们继续在数字世界的底层逻辑中畅游