智慧型交換機

不同的商家使用不同的名字，例如“智慧型交換”、“套用交換”、“組織交換”等等，用於在競爭中使自己鶴立雞群。以思科公司的MDS9000系列為例，有例如支持Veritas卷管理器和IBM SAN卷控制器（SVC）等套用的刀片。這些刀片可以和其他刀片共存，這些伺服器包括光纖通道連線埠和IP伺服器。

智慧型交換機

Brocade 7420多協定路由器是一個具有高級智慧型的交換機的另外一個例子，它起初用來支持協定的轉換（從小型計算機接口到光纖通道），SAN的分段和選路以及使用FCIP協定的基於IP的遠距離存儲。另外一些交換機支持一些專用的刀片，這些伺服器涵蓋了從Maxxan 到Marranti。CNT和McData公司還宣布了他們的關於支持專用刀片的計畫。

對於套用智慧型交換機和基於結構的設備，要注意潛在的性能以及實效性影響。例如，使用一個智慧型交換機會增加還是降低你的伺服器和存儲子系統之間的輸入輸出速度？是會在交換機上運行更多的功能和套用還是這些添加的設備會降低其他的輸入輸出速度？我們是否需要冗餘的一對智慧型交換機來避免部件或者設備的意外失效？

由於“智慧型”這個詞在數據網路通信領域內從不同的角度可以有眾多不同的理解，因此我們首先要定義清楚本文所談的“智慧型交換機”或者“智慧型網管交換機”。而在定義此種類型的交換機之前，我們先要從傳統的交換機產品類別說起，來理解市場上為什麼會有此種產品類別的強烈需求。

從交換機可網管的角度來看

傳統的非網管交換機和全網管交換機在很大場合是不能滿足如下這些商業用戶對交換機產品的需求：

越來越多的中小商用用戶的電子套用越來越豐富，他們也需要用具有管理功能的交換機來構建他們的網路基礎架構平台，可非網管交換機並不能滿足他們的套用需要，而全網管交換機過於複雜的功能和較貴的價格也使得他們不敢大規模套用。

越來越多的大型商業用戶和企業用戶發現其實在很多套用場合併不需要目前全網管交換機這么多的功能，如果能將投資成本進一步下降來提高投資回報比是他們的要求.我們所談的智慧型交換機。到底什麼是“智慧型交換機”或者“智慧型網管交換機”呢? 從現有大部分廠商的智慧型交換機的產品來看，我們可以從以下一些參考點來定義此產品。

從產品功能來看

交換機的管理方式一般支持基於WEB的圖形化管理和基於SNMPv1/v2c/v3的網路管理標準協定；而不支持以前傳統的較為複雜的CLI 命令行，以及Telnet, Consloe本地控制台等管理方式。交換機的功能支持絕大部分商用用戶所要求的常見功能，滿足市場上商業用戶80%的交換機功能需求；而並不是現在全網管交換機的全部功能。交換機的價格只是略高於非網管交換機而比全網管交換機要便宜很多，並且基於WEB的管理方式也使得設備的配置和維護相對來說極為容易。

從產品的特點來看

這種“智慧型交換機”或者“智慧型網管”交換機滿足了很多商業用戶對乙太網交換機的需要：具備一定的管理功能可滿足企業套用的發展；較為低廉的價格可確保網路基礎建設的投資回報比；方便簡易的管理配置方式確保全裝和維護的方便快捷。可以這么說，智慧型型交換機以相當於非網管交換機的價格為用戶提供了網管型交換機功能，並且還保證了非網管式交換機的簡易安裝和維護。

從產品的目標用戶來看

首先是全球的中小商業用戶(一般是網路規模在200點左右)快速認同此種完全符合其市場需求的產品類別，然後是一些較為大型的商業用戶和一些企業用戶也開始認同並快速接受此產品。反過來，由於產品銷量的持續快速增長，智慧型交換機的產品線也越來越豐富，從原來的 10/100M智慧型交換機，發展到全千兆連線埠的智慧型交換機，現在開始出現堆疊式的10/100M智慧型交換機，堆疊式的全千兆連線埠智慧型交換機以及更多型號的PoE網路供電智慧型交換機。豐富的智慧型交換機產品線又更進一步拓展了其套用場合。

智慧型交換機

總結來說，我們目前所談的智慧型交換機可從三個關鍵點來定義它：從交換機可網管的角度來區分的話，它支持基於WEB的圖形式管理和SNMP網路管理協定，而去掉了商業用戶並不需要的複雜的需要經過專業培訓才能掌握的CLI命令行管理方式。從交換機所支持的管理功能來看，它保留了傳統全網管理交換機中絕大部分商業用戶所需要的常用的功能。從產品的價格來看，它們是越來越接近非網管交換機。

交換機功能的定義是根據用戶的套用所需要來定義的，我們從商業用戶所常見的套用層面出發來討論智慧型交換機所必須支持的一些功能。

數據流、語音流和視頻流在網路中混合傳輸需要接入層交換機能夠對不同的業務流進行區分，並按照優先權不同進行不同的頻寬分配，因此智慧型交換機都支持802.1p(服務類別),QoS服務質量保證以及Bandwidth Control頻寬控制等服務策略。

網路面臨各種安全威脅，而且這些安全威脅呈現混合性攻擊特徵。邊緣交換機需要具備有效防範惡意攻擊和非法侵入的能力。MAC地址認證和IEEE 802.1x認證等功能可幫助用戶在接入網路時完成必要的身份認證，來有效防止非法用戶訪問網路。另外如交換機連線埠和用戶PC機MAC地址鎖定功能，分別基於交換機連線埠出入方向的連線埠限速功能(Rate Limiting)。有時為了便於用戶對進入連線埠的數據包進行監控，連線埠的鏡像功能 Port Mirroring 功能也是十分必須的。

為了便於用戶對設備的工作狀態有個較為詳盡的了解，Syslog 日誌記錄以及相應的RMON功能是智慧型交換機所普通支持的。

智慧型交換機在全球推出，目前越來越多的中小辦公室用戶，商業用戶以及企業用戶在快速地接受並認同此種類型的交換機產品。作為非網交換機用戶的升級，它保證了用戶只需投入較少的成本就能得到網管交換機的功能，最佳化自己的網路基礎架構，促進自己的電子套用；作對全網管交換機的用戶，當他們在自己了解自己所要求的交換機功能和管理方式之後，發現現在的智慧型交換機其實在很多套用場合已經能完全滿足他們的要求，他們可以在大量節省預算的前提下保證得到同樣可網管的網路架構。它在非網管交換機和全網管交換機都不能完全滿足用戶要求的情況下為用戶提供了很好的選擇。

智慧型交換機

目前在國內，廣泛的中國小校，網咖，酒店客戶，辦公室網路以及各行各業的商用網路正在大量開始套用智慧型交換機。智慧型交換機的發貨量在急劇的增長。

在2007年，針對中小型商業網路用戶並不需要目前全網管千兆三層交換機的許多額外功能（如OSPF、VRRP以及PIM等）的市場需求下，一些具備基本三層路由功能(如支持基於VLAN的路由，支持RIP等)的三層千兆智慧型交換機產品將快速出現。智慧型交換機將朝著產品型號越來越多，貼近用戶的功能越來越豐富，管理配置的方式越來越簡易的方式發展。智慧型交換機的發展前景將越來越好。

24 連線埠或者48連線埠具千兆上連的 10/100M智慧型交換機

智慧型交換機

16，24或者48連線埠的全千兆智慧型交換機

堆疊式24 連線埠或者48連線埠具千兆上連的 10/100M智慧型交換機

堆疊式24 連線埠或者48連線埠全千兆智慧型交換機

具有PoE功能的10/100M或者全千兆智慧型交換機

智慧型交換機由於內置作業系統，某種意義上可以算一個計算機，當然可以進行管理，目前管理方式主要有以下幾種

1、通過WEB方式管理，管理員可以通過一台普通計算機和該交換機連線，輸入該交換機的IP位址（可自設也可以默認），就可以見到管理頁面，進行管理。

2、通過TELNET遠程終端方式管理，有的提供簡單的選單，有的則可以通過命令行管理，一般CISCO的交換機都有一套完整的管理命令，注意的是，命令分不同模式，不同級別的用戶可以使用的命令是不一樣的。

3、SNMP管理，通過一些SNMP軟體對交換機進行管理和監視。

主要就是這些，比較高檔的都是通過命令行管理的。

：對網路及設備的監控和管理

可管理是智慧型交換的基礎，通常意義上的網路管理系統包括性能、配置、故障、計費和安全等5個功能域，這是最基本、也是最常用到的功能。隨著用戶網路規模的擴大、網路套用的增多，對網路運行狀況的實時監控和維護就變得非常必要，需要網管系統與智慧型交換設備相互密切配合。

目前常見的網管系統有兩類，一類是通用的網管平台，如HP OpenView，可以提供一個第三方的網管平台，支持對所有SNMP設備的發現和簡單監控。但由於各廠商設備都具有大量自行開發的私有MIB(Management Information Base)庫，通用網管平台無法對其進行識別和管理。因此，如果要實現對各種設備進行詳盡監控、管理和配置時，必須進行二次開發。近年來，各廠商設備更新很快，而與第三方通用網管平台的配合則非常有限，使得通用網管平台難以細緻地對多廠商的設備進行管理。

另一類是由網路設備廠商自行開發的網管平台，如Cisco WORKS、神州數碼LinkManager等，可以對本廠商的設備進行深入細緻的監控、配置和管理，實用性較強且價格也較便宜。但問題是，無法用這類網管系統實現對全網設備的統一管理，因此用戶往往採用多台網管工作站分別安裝不同的系統，進行分別管理。

隨著用戶對不同設備進行統一網管的需求日益迫切，各廠商也在考慮採用更加開放的方式實現設備對網管的支持，例如開放私有MIB庫，乃至完全依照RFC來編寫MIB庫，以實現不同廠商間設備與網管系統的互操作性。

目前，在大中型企業網中，套用網管系統的比例較以前已大幅度提高。因此，用戶在選擇時不能滿足於拓撲發現、流量監控、狀態監控等通用的網管功能，還要對於設備遠程配置、用戶管理、訪問控制乃至QoS監控等提出更高的要求。

另外，為節省IP位址，簡化管理層次，不同的廠商採用堆疊或集群網管等技術，將多台設備作為一台邏輯上的設備進行統一管理。用戶也可以關注這類產品。

：對不同套用類型數據的分類和處理

智慧型交換的另外一個重要體現是，對網路中不同類型的數據自動進行分類，並提供不同的傳輸策略，確保關鍵套用的順暢運行，也就是通常所說的服務質量（QoS）。

目前常見的QoS技術有IntServ（RSVP）和DiffServ兩種方式。

前者採用資源預留的方式，即針對每種不同的套用，都在網路上預留“端到端”的專用通道，確保關鍵套用獨享固定的頻寬資源。資源預留的方式屬於虛擬專線的解決方案，能夠確保關鍵套用的傳輸質量，卻無法實現頻寬的共享，易造成線路資源的浪費；另外，資源預留只適合於較為簡單的網路拓撲，如路由器間點對點的專線連線，對於複雜而龐大的企業網而言，很難實施，更不要說城域網了。

因此，用戶最好採用DiffServ的交換機，以實現“端到端”的QoS。需要指出的是，為實現DiffServ QoS，要求用戶的網路上所有相關的交換機都支持802.1p優先權功能。

：對多媒體傳輸的支持

交換機對專用於多媒體傳輸的功能和協定的支持越來越多，其中最為典型的是組播技術。

組管理協定IGMP已經成為智慧型交換機必備的基本功能。而對於三層交換機，除了RIP、OSPF等單播路由協定外，也開始支持DVMRP、PIM SM/DM等組播路由協定。

在進行組播套用時（如視頻會議等），各交換機均可通過IGMP協定在整個網路範圍內傳遞分組信息，使各交換機確定每組的成員，而組播路由協定則可對組播數據包進行路由，使得組播包在網路上順暢傳輸。其中，DVMRP相當於單播時的RIP協定，適合於小規模的網路套用；而PIM則是與協定無關的組播路由協定，分為密集模式（DM）和稀疏模式（SM）兩種。密集模式主要適用於網路頻寬較大、用戶分布較集中的場合，如公司的區域網路; 而稀疏模式主要適用於網路頻寬較小、用戶分布較稀疏的場合，如廣域網或Internet。

有的交換機還配置了語音網關模組，使得乙太網交換機直接具備VoIP功能，但這樣的套用還需要在客戶端分別布網線和電話線；若採用客戶端的VoIP網關，則可通過一條網線實現語音、數據的傳輸。這兩種方案孰優孰劣，還要根據實際情況來判斷。

：用戶分類和訪問控制

用戶分類、許可權設定和訪問控制，也是智慧型網路的重要功能。由於企業管理的細化，對於不同的網路資源，要針對不同用戶設定不同的訪問許可權。

訪問許可權的設定有工作組級和用戶級兩種方式。

基於VLAN和三層交換的訪問控制就屬於工作組級的訪問控制。VLAN除了具備隔離廣播、提高網路性能的作用之外，其重要的作用就在於將不同的工作組隔離開來，便於實現可控的相互訪問。三層交換機可以實現跨VLAN的訪問，而通過訪問控制列表ACL，則可設定不同VLAN間乃至不同IP位址的設備對於不同網路服務的訪問許可權。

對於智慧型小區寬頻接入套用，將每個用戶都劃分在單獨的VLAN中，也能夠實現用戶級的認證和訪問控制，但這種方式只適用於固定接入的用戶，且無法實現計費。

目前在寬頻接入網和企業網中，以往用於電信運營網路中的AAA技術（授權、認證、計費），如傳統的RADIUS、PPPoE，以及新興的802.1x等用戶認證功能等，開始被集成到智慧型交換機中，與認證伺服器配合，從而實現基於用戶的認證和訪問控制。

對於企業網來說，通常要實現在用戶訪問不同的網路服務資源時，進行認證、訪問控制及服務認證，而不是針對用戶接入連線埠進行接入認證。因此，常用的方式是以訪問控制列表或RADIUS認證伺服器，對相關套用服務資源設定不同的訪問許可權，並針對用戶實現認證和授權。

對於寬頻接入網來說，則需要通過用戶認證實現對連線埠聯通狀態的控制，通常要採用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式來實現接入認證。

PPPoE是一種較為成熟的認證方式，通過PPP協定封裝乙太網幀，在無連線的乙太網上提供了點對點的連線。PPPoE類似傳統的撥號接入方式，用戶端採用一個撥號軟體，發起PPP連線請求，穿過乙太網交換機或者DSL設備，終結在集中控制管理層的接入網關設備上。接入網關設備負責終結PPP連線，並與RADIUS配合實現用戶管理和策略控制。

802.1x起源於802.11協定的EAPOL，是最近出現的一種乙太網認證技術。 802.1x是IEEE為了解決基於連線埠的接入控制而定義的一個標準。

802.1x認證方式主要通過認證前後打開/關閉用戶接入連線埠來實現對用戶接入的控制。基於連線埠的網路接入控制是在 LAN 設備的物理接入級對接入設備進行認證和控制。連線在物理連線埠上的用戶設備如果能通過認證，就可以訪問 LAN 內的資源；如果不能通過認證，則無法訪問 LAN 內的資源，相當於物理上下線。認證通過時，從遠端認證伺服器可以傳遞來自用戶的信息，如VLAN、CAR參數、優先權、用戶的訪問控制列表等; 認證通過後，用戶的流量就將接受上述參數的監管。

802.1x要求接入交換機支持EAPOL協定，至少支持該報文的透傳，但現有通常的網路設備多數不支持。雖然越來越多的廠商開始提供支持802.1x的智慧型交換機產品，但由於該協定標準尚未成熟，各廠商實現的方式不盡相同，它的發展受到了一定程度的制約。

：防止網路攻擊

為確保核心交換機不受類似拒絕服務（DoS）攻擊而導致全網癱瘓，有的廠商在核心路由交換機中採用了防火牆和IDS系統中的防攻擊技術，以確保核心交換機更加穩固和強壯。此舉尤其可以抵禦來自網路內部的攻擊，提高系統的安全性。但是目前，該技術在邊緣交換機中仍較少採用。

設備的大規模套用，成本的大幅度下降，競爭更趨理性，這些表明寬頻業務已經度過生命周期的進入期，進入業務成長期。 用戶對寬頻網路的需求最終是為了實現“三網合一”，也就是數據、語音、視頻業務三網合一。

為了能對用戶的關鍵業務進行保證，對不同等級的用戶進行區別對待，就需要寬頻IP網路能夠對用戶提供端到端的服務質量，也要求從邊緣接入層設備到核心層設備都能夠提供統一的QoS特性，除此之外，對用戶的管理及計費也是寬頻設備，尤其是對乙太網交換機智慧型化的一個要求。

對QoS的需求，為了滿足三網合一的套用，在交換設備上必須能夠對不同的業務流進行區別對待，比如對於某些關鍵業務可以提供較高頻寬，而對於優先權比較低的業務可以分配較小的頻寬，以此保證同一個網路對不同的業務提供不同的服務，實現區別服務。首先就要能夠對業務流進行合理全面的流分類，要求設備至少可以支持2到4層的流分類（OSI分層標準），更好的設備可以真正實現按用戶需要自定義、實現2～7層的流分類。交換機必須能夠支持802.1p（強制優先權）、diffserv（區別服務）、CAR（流量監管）等服務策略、WRR以及RED、HOLB、flow control等前期後期擁塞控制。

第二個需求就是ACL（訪問控制）功能的完善，能夠對經過本設備的數據流按照一定的原則進行一定的訪問過濾，最常用的策略就是基於流分類來進行訪問控制。常見的套用就是對某些非法網站的IP位址在本地出口設備上配置ACL規則，禁止本地用戶對非法網站的訪問。ACL訪問控制具體能控制到哪一個層面完全取決於流分類的能力，流分類能力越強能夠控制的層面就越大，當然也不是說能流分類就能訪問控制，而是說流分類是實現訪問控制的一個必要條件，有了這個必要條件還要看訪問控制的實現到底能達到哪個層面。這就要求交換機能夠基於用戶的源MAC、目的MAC、源物理連線埠號、目的物理連線埠號、源IP位址、目的IP位址、源網段地址、目的網段地址、按四層協定類型（socket）、按用戶自定義規則等來對數據業務進行分類，同時按照這些的分類對不同的業務流提供不同的服務質量或進行ACL控制，即禁止或允許特定流的轉發。

第三個需求是對多業務套用的需求。這裡所謂的多業務包含幾個方面：一是對組播業務的支持，二層交換機上應該實現IGMP Snooping功能，三層交換機上應該實現PIM－SM、PIM－DM、DVMRP等三層組播協定至少一種以上，目前業界比較認可、套用比較廣泛的主要是PIM協定；二是用戶的安全策略問題，包括對用戶身份的認證、用戶的計費、基本的防攻擊策略等。目前在乙太網交換機上採用的用戶身份的認證方式簡單的主要有mac+port綁定、mac+IP綁定、IP+mac+port綁定，複雜點認證方式主要是802.1x、portal認證、強制portal等。802.1x實現可以有本地認證和遠端認證兩種方式，本地認證意味著交換機內置了RADIUS Server，用戶可以直接在本地交換機上進行認證而不需要在交換機上外掛RADIUS Server，遠端認證就需要在交換機之外提供外掛的RADIUS Server，交換機本身只完成認證報文的中繼。

組播業務現在已經成為IP網路的主要業務之一，基於組播的視頻業務得到越來越廣泛的套用。傳統的組播業務只是關注業務的可行性、網路頻寬的合理化使用，並不能實現對下屬用戶接收許可權的控制。智慧型乙太網交換機應該能夠提供對組播業務許可權的控制，只有通過認證的用戶才能接收相應的組播業務，沒有經過組播許可權認證的用戶只能實現數據業務的通信不能接收組播業務，這一概念稱為可控組播或受控組播。能夠在接入層設備支持基於複雜流分類的ACL。能夠基於用戶的源mac、目的mac、源物理連線埠號、目的物理連線埠號、源IP位址、目的IP位址、源網段地址、目的網段地址、按四層協定類型（socket）、按用戶自定義規則等來對數據業務進行分類，同時按照上述的分類對不同的業務流提供不同的服務質量或進行ACL控制，即禁止或允許特定流的轉發。

作為智慧型乙太網交換機，除了能對用戶進行管理之外，還應該對設備有較強的管理及安全特性。對設備的管理首先是配合網管的設備管理，應該支持SNMP V1/V2/V3、RMON 1、2、3、9，WEB網管，能夠從網管平台對設備進行可視化的、便捷的設備管理。除此之外，設備本身應該具有一定的安全特性，包括二層的連線埠捆綁、STP/RSTP、MSTP，三層的VRRP等鏈路備份或設備備份功能。華為的智慧型乙太網交換機能夠提供集群管理、PVLAN、GMRP、GVRP。

對用戶的計費主要依靠RADIUS 伺服器來完成，交換機負責統計用戶的時長、流量、訪問內容等計費信息，並負責把統計到的計費信息轉發給後台的RADIUS計費伺服器。就上述對智慧型乙太網交換機的理解，華為Quidway S3026E（二層交換機）、Quidway S3526E（三層交換機）均屬於智慧型乙太網交換機。

智慧型乙太網交換機市場套用前景非常廣闊，目前大企業網、教育網、寬頻智慧型小區等場合智慧型乙太網交換機已經成為網路建設的關鍵設備，在其他諸如IP城域網、金融網等眾多套用領域智慧型乙太網交換機也起著越來越大的作用。

未來智慧型乙太網交換機的功能將會進一步得到提升，諸如硬體NAT業務板、ALG（地址網關）、硬體集成IAD（語音網關）、MPLS VPN等業務也會在智慧型乙太網交換機上逐步地實現，從而把網路匯聚層的大部分智慧型業務逐步下移到接入層的智慧型乙太網交換機上，減輕匯聚層負擔，從而達到最佳化網路、提高網路效率、增強網路功能的目的，最終向NGN（下一代網路）平滑過渡。