智能交換機(jī)

目錄
·智能交換機(jī)概述
·智能交換機(jī)支持的功能
·智能交換機(jī)的應(yīng)用
·智能交換機(jī)的發(fā)展
·常見的智能交換機(jī)類別
·智能交換機(jī)的設(shè)置方法
·采購智能交換機(jī)的五個基本原則
·智能交換機(jī)應(yīng)滿足三大需求






   
智能交換機(jī)概述
　　智能交換機(jī)是指支持專門的具有應(yīng)用功能的“刀片”服務(wù)器，它們包括協(xié)議會話、遠(yuǎn)程鏡像、磁帶仿真以及內(nèi)網(wǎng)文件和數(shù)據(jù)共享。從具有對每個端口的額外處理能力以及刀片服務(wù)器間巨大帶寬高度集成的體系結(jié)構(gòu)，到相對簡單的每個服務(wù)器都配備專用的處理器，內(nèi)存和用于各個端口之間通信的輸入輸出功能的體系結(jié)構(gòu)，智能交換有很多不同的體系結(jié)構(gòu)。

　　不同的商家使用不同的名字，例如“智能交換”、“應(yīng)用交換”、“組織交換”等等，用于在競爭中使自己鶴立雞群。以思科公司的MDS9000系列為例，有例如支持Veritas卷管理器和IBM SAN卷控制器（SVC）等應(yīng)用的刀片。這些刀片可以和其他刀片共存，這些服務(wù)器包括光纖通道端口和IP服務(wù)器。

　　Brocade 7420多協(xié)議路由器是一個具有高級智能的交換機(jī)的另外一個例子，它起初用來支持協(xié)議的轉(zhuǎn)換（從小型計(jì)算機(jī)接口到光纖通道），SAN的分段和選路以及使用FCIP協(xié)議的基于IP的遠(yuǎn)距離存儲。另外一些交換機(jī)支持一些專用的刀片，這些服務(wù)器涵蓋了從Maxxan 到Marranti。CNT和McData公司還宣布了他們的關(guān)于支持專用刀片的計(jì)劃。

　　對于應(yīng)用智能交換機(jī)和基于結(jié)構(gòu)的設(shè)備，要注意潛在的性能以及實(shí)效性影響。例如，使用一個智能交換機(jī)會增加還是降低你的服務(wù)器和存儲子系統(tǒng)之間的輸入輸出速度？是會在交換機(jī)上運(yùn)行更多的功能和應(yīng)用還是這些添加的設(shè)備會降低其他的輸入輸出速度？我們是否需要冗余的一對智能交換機(jī)來避免部件或者設(shè)備的意外失效？

　　由于“智能”這個詞在數(shù)據(jù)網(wǎng)絡(luò)通信領(lǐng)域內(nèi)從不同的角度可以有眾多不同的理解，因此我們首先要定義清楚本文所談的“智能交換機(jī)”或者“智能網(wǎng)管交換機(jī)”。而在定義此種類型的交換機(jī)之前，我們先要從傳統(tǒng)的交換機(jī)產(chǎn)品類別說起，來理解市場上為什么會有此種產(chǎn)品類別的強(qiáng)烈需求。

　　從交換機(jī)可網(wǎng)管的角度來看

　　傳統(tǒng)的非網(wǎng)管交換機(jī)和全網(wǎng)管交換機(jī)在很大場合是不能滿足如下這些商業(yè)用戶對交換機(jī)產(chǎn)品的需求：

　　越來越多的中小商用用戶的電子應(yīng)用越來越豐富，他們也需要用具有管理功能的交換機(jī)來構(gòu)建他們的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)平臺，可非網(wǎng)管交換機(jī)并不能滿足他們的應(yīng)用需要，而全網(wǎng)管交換機(jī)過于復(fù)雜的功能和較貴的價格也使得他們不敢大規(guī)模應(yīng)用。

　　越來越多的大型商業(yè)用戶和企業(yè)用戶發(fā)現(xiàn)其實(shí)在很多應(yīng)用場合并不需要目前全網(wǎng)管交換機(jī)這么多的功能，如果能將投資成本進(jìn)一步下降來提高投資回報(bào)比是他們的要求.我們目前所談的智能交換機(jī)。到底什么是“智能交換機(jī)”或者“智能網(wǎng)管交換機(jī)”呢? 從現(xiàn)有大部分廠商的智能交換機(jī)的產(chǎn)品來看，我們可以從以下一些參考點(diǎn)來定義此產(chǎn)品。

　　從產(chǎn)品功能來看

　　交換機(jī)的管理方式一般支持基于WEB的圖形化管理和基于SNMPv1/v2c/v3的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)協(xié)議；而不支持以前傳統(tǒng)的較為復(fù)雜的CLI 命令行，以及Telnet, Consloe本地控制臺等管理方式。交換機(jī)的功能一般支持目前絕大部分商用用戶所要求的常見功能，滿足市場上商業(yè)用戶80%的交換機(jī)功能需求；而并不是現(xiàn)在全網(wǎng)管交換機(jī)的全部功能。交換機(jī)的價格只是略高于非網(wǎng)管交換機(jī)而比全網(wǎng)管交換機(jī)要便宜很多，并且基于WEB的管理方式也使得設(shè)備的配置和維護(hù)相對來說極為容易。

　　從產(chǎn)品的特點(diǎn)來看

　　這種“智能交換機(jī)”或者“智能網(wǎng)管”交換機(jī)滿足了很多商業(yè)用戶對以太網(wǎng)交換機(jī)的需要：具備一定的管理功能可滿足企業(yè)應(yīng)用的發(fā)展；較為低廉的價格可確保網(wǎng)絡(luò)基礎(chǔ)建設(shè)的投資回報(bào)比；方便簡易的管理配置方式確保安裝和維護(hù)的方便快捷�？梢赃@么說，智能型交換機(jī)以相當(dāng)于非網(wǎng)管交換機(jī)的價格為用戶提供了網(wǎng)管型交換機(jī)功能，并且還保證了非網(wǎng)管式交換機(jī)的簡易安裝和維護(hù)。

　　從產(chǎn)品的目標(biāo)用戶來看

　　首先是全球的中小商業(yè)用戶(一般是網(wǎng)絡(luò)規(guī)模在200點(diǎn)左右)快速認(rèn)同此種完全符合其市場需求的產(chǎn)品類別，然后是一些較為大型的商業(yè)用戶和一些企業(yè)用戶也開始認(rèn)同并快速接受此產(chǎn)品。反過來，由于產(chǎn)品銷量的持續(xù)快速增長，智能交換機(jī)的產(chǎn)品線也越來越豐富，從原來的 10/100M智能交換機(jī)，發(fā)展到全千兆端口的智能交換機(jī)，今年也開始出現(xiàn)堆疊式的10/100M智能交換機(jī)，堆疊式的全千兆端口智能交換機(jī)以及更多型號的PoE網(wǎng)絡(luò)供電智能交換機(jī)。豐富的智能交換機(jī)產(chǎn)品線又更進(jìn)一步拓展了其應(yīng)用場合。

　　總結(jié)來說，我們目前所談的智能交換機(jī)可從三個關(guān)鍵點(diǎn)來定義它：從交換機(jī)可網(wǎng)管的角度來區(qū)分的話，它支持基于WEB的圖形式管理和SNMP網(wǎng)絡(luò)管理協(xié)議，而去掉了商業(yè)用戶并不需要的復(fù)雜的需要經(jīng)過專業(yè)培訓(xùn)才能掌握的CLI命令行管理方式。從交換機(jī)所支持的管理功能來看，它保留了傳統(tǒng)全網(wǎng)管理交換機(jī)中絕大部分商業(yè)用戶所需要的常用的功能。從產(chǎn)品的價格來看，它們是越來越接近非網(wǎng)管交換機(jī)。

智能交換機(jī)支持的功能
　　交換機(jī)功能的定義是根據(jù)用戶的應(yīng)用所需要來定義的，我們從目前商業(yè)用戶所常見的應(yīng)用層面出發(fā)來討論智能交換機(jī)所必須支持的一些功能。

　　數(shù)據(jù)流、語音流和視頻流在網(wǎng)絡(luò)中混合傳輸需要接入層交換機(jī)能夠?qū)Σ煌�的業(yè)務(wù)流進(jìn)行區(qū)分，并按照優(yōu)先級不同進(jìn)行不同的帶寬分配，因此智能交換機(jī)都支持802.1p(服務(wù)類別),QoS服務(wù)質(zhì)量保證以及Bandwidth Control帶寬控制等服務(wù)策略。

　　目前網(wǎng)絡(luò)面臨各種安全威脅，而且這些安全威脅呈現(xiàn)混合性攻擊特征。邊緣交換機(jī)需要具備有效防范惡意攻擊和非法侵入的能力。MAC地址認(rèn)證和IEEE 802.1x認(rèn)證等功能可幫助用戶在接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，來有效防止非法用戶訪問網(wǎng)絡(luò)。另外如交換機(jī)端口和用戶PC機(jī)MAC地址鎖定功能，分別基于交換機(jī)端口出入方向的端口限速功能(Rate Limiting)。有時為了便于用戶對進(jìn)入端口的數(shù)據(jù)包進(jìn)行監(jiān)控，端口的鏡像功能 Port Mirroring 功能也是十分必須的。

　　為了便于用戶對設(shè)備的工作狀態(tài)有個較為詳盡的了解，Syslog 日志記錄以及相應(yīng)的RMON功能是智能交換機(jī)所普通支持的。

智能交換機(jī)的應(yīng)用
   智能交換機(jī)在全球推出，目前越來越多的中小辦公室用戶，商業(yè)用戶以及企業(yè)用戶在快速地接受并認(rèn)同此種類型的交換機(jī)產(chǎn)品。作為非網(wǎng)交換機(jī)用戶的升級，它保證了用戶只需投入較少的成本就能得到網(wǎng)管交換機(jī)的功能，優(yōu)化自己的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，促進(jìn)自己的電子應(yīng)用；作對全網(wǎng)管交換機(jī)的用戶，當(dāng)他們在自己了解自己所要求的交換機(jī)功能和管理方式之后，發(fā)現(xiàn)現(xiàn)在的智能交換機(jī)其實(shí)在很多應(yīng)用場合已經(jīng)能完全滿足他們的要求，他們可以在大量節(jié)省預(yù)算的前提下保證得到同樣可網(wǎng)管的網(wǎng)絡(luò)架構(gòu)。它在非網(wǎng)管交換機(jī)和全網(wǎng)管交換機(jī)都不能完全滿足用戶要求的情況下為用戶提供了很好的選擇。

　　目前在國內(nèi)，廣泛的中小學(xué)校，網(wǎng)吧，酒店客戶，辦公室網(wǎng)絡(luò)以及各行各業(yè)的商用網(wǎng)絡(luò)正在大量開始應(yīng)用智能交換機(jī)。智能交換機(jī)的發(fā)貨量在急劇的增長。

智能交換機(jī)的發(fā)展
   在2007年，針對中小型商業(yè)網(wǎng)絡(luò)用戶并不需要目前全網(wǎng)管千兆三層交換機(jī)的許多額外功能（如OSPF、VRRP以及PIM等）的市場需求下，一些具備基本三層路由功能(如支持基于VLAN的路由，支持RIP等)的三層千兆智能交換機(jī)產(chǎn)品將快速出現(xiàn)。智能交換機(jī)將朝著產(chǎn)品型號越來越多，貼近用戶的功能越來越豐富，管理配置的方式越來越簡易的方式發(fā)展。智能交換機(jī)的發(fā)展前景將越來越好。

常見的智能交換機(jī)類別
   24 端口或者48端口具千兆上連的 10/100M智能交換機(jī)

　　16，24或者48端口的全千兆智能交換機(jī)

　　堆疊式24 端口或者48端口具千兆上連的 10/100M智能交換機(jī)

　　堆疊式24 端口或者48端口全千兆智能交換機(jī)

　　具有PoE功能的10/100M或者全千兆智能交換機(jī)

智能交換機(jī)的設(shè)置方法
      智能交換機(jī)由于內(nèi)置操作系統(tǒng)，某重意義上可以算一個計(jì)算機(jī)，當(dāng)然可以進(jìn)行管理，目前管理方式主要有以下幾種

　　1、通過WEB方式管理，管理員可以通過一臺普通計(jì)算機(jī)和該交換機(jī)連接，輸入該交換機(jī)的IP地址（可自設(shè)也可以默認(rèn)），就可以見到管理頁面，進(jìn)行管理。

　　2、通過TELNET遠(yuǎn)程終端方式管理，有的提供簡單的菜單，有的則可以通過命令行管理，一般CISCO的交換機(jī)都有一套完整的管理命令，注意的是，命令分不同模式，不同級別的用戶可以使用的命令是不一樣的。

　　3、SNMP管理，通過一些SNMP軟件對交換機(jī)進(jìn)行管理和監(jiān)視。

　　主要就是這些，比較高檔的都是通過命令行管理的。

采購智能交換機(jī)的五個基本原則
　　原則一：對網(wǎng)絡(luò)及設(shè)備的監(jiān)控和管理

　　可管理是智能交換的基礎(chǔ)，通常意義上的網(wǎng)絡(luò)管理系統(tǒng)包括性能、配置、故障、計(jì)費(fèi)和安全等5個功能域，這是最基本、也是最常用到的功能。隨著用戶網(wǎng)絡(luò)規(guī)模的擴(kuò)大、網(wǎng)絡(luò)應(yīng)用的增多，對網(wǎng)絡(luò)運(yùn)行狀況的實(shí)時監(jiān)控和維護(hù)就變得非常必要，需要網(wǎng)管系統(tǒng)與智能交換設(shè)備相互密切配合。

　　目前常見的網(wǎng)管系統(tǒng)有兩類，一類是通用的網(wǎng)管平臺，如HP OpenView，可以提供一個第三方的網(wǎng)管平臺，支持對所有SNMP設(shè)備的發(fā)現(xiàn)和簡單監(jiān)控。但由于各廠商設(shè)備都具有大量自行開發(fā)的私有MIB(Management Information Base)庫，通用網(wǎng)管平臺無法對其進(jìn)行識別和管理。因此，如果要實(shí)現(xiàn)對各種設(shè)備進(jìn)行詳盡監(jiān)控、管理和配置時，必須進(jìn)行二次開發(fā)。近年來，各廠商設(shè)備更新很快，而與第三方通用網(wǎng)管平臺的配合則非常有限，使得通用網(wǎng)管平臺難以細(xì)致地對多廠商的設(shè)備進(jìn)行管理。

　　另一類是由網(wǎng)絡(luò)設(shè)備廠商自行開發(fā)的網(wǎng)管平臺，如Cisco WORKS、神州數(shù)碼LinkManager等，可以對本廠商的設(shè)備進(jìn)行深入細(xì)致的監(jiān)控、配置和管理，實(shí)用性較強(qiáng)且價格也較便宜。但問題是，無法用這類網(wǎng)管系統(tǒng)實(shí)現(xiàn)對全網(wǎng)設(shè)備的統(tǒng)一管理，因此用戶往往采用多臺網(wǎng)管工作站分別安裝不同的系統(tǒng)，進(jìn)行分別管理。

　　隨著用戶對不同設(shè)備進(jìn)行統(tǒng)一網(wǎng)管的需求日益迫切，各廠商也在考慮采用更加開放的方式實(shí)現(xiàn)設(shè)備對網(wǎng)管的支持，例如開放私有MIB庫，乃至完全依照RFC來編寫MIB庫，以實(shí)現(xiàn)不同廠商間設(shè)備與網(wǎng)管系統(tǒng)的互操作性。

　　目前，在大中型企業(yè)網(wǎng)中，應(yīng)用網(wǎng)管系統(tǒng)的比例較以前已大幅度提高。因此，用戶在選擇時不能滿足于拓?fù)浒l(fā)現(xiàn)、流量監(jiān)控、狀態(tài)監(jiān)控等通用的網(wǎng)管功能，還要對于設(shè)備遠(yuǎn)程配置、用戶管理、訪問控制乃至QoS監(jiān)控等提出更高的要求。

　　另外，為節(jié)省IP地址，簡化管理層次，不同的廠商采用堆疊或集群網(wǎng)管等技術(shù)，將多臺設(shè)備作為一臺邏輯上的設(shè)備進(jìn)行統(tǒng)一管理。用戶也可以關(guān)注這類產(chǎn)品。

　　原則二：對不同應(yīng)用類型數(shù)據(jù)的分類和處理

　　智能交換的另外一個重要體現(xiàn)是，對網(wǎng)絡(luò)中不同類型的數(shù)據(jù)自動進(jìn)行分類，并提供不同的傳輸策略，確保關(guān)鍵應(yīng)用的順暢運(yùn)行，也就是通常所說的服務(wù)質(zhì)量（QoS）。

　　目前常見的QoS技術(shù)有IntServ（RSVP）和DiffServ兩種方式。

　　前者采用資源預(yù)留的方式，即針對每種不同的應(yīng)用，都在網(wǎng)絡(luò)上預(yù)留“端到端”的專用通道，確保關(guān)鍵應(yīng)用獨(dú)享固定的帶寬資源。資源預(yù)留的方式屬于虛擬專線的解決方案，能夠確保關(guān)鍵應(yīng)用的傳輸質(zhì)量，卻無法實(shí)現(xiàn)帶寬的共享，易造成線路資源的浪費(fèi)；另外，資源預(yù)留只適合于較為簡單的網(wǎng)絡(luò)拓?fù)�，如路由器間點(diǎn)對點(diǎn)的專線連接，對于復(fù)雜而龐大的企業(yè)網(wǎng)而言，很難實(shí)施，更不要說城域網(wǎng)了。

　　因此，用戶最好采用DiffServ的交換機(jī)，以實(shí)現(xiàn)“端到端”的QoS。需要指出的是，為實(shí)現(xiàn)DiffServ QoS，要求用戶的網(wǎng)絡(luò)上所有相關(guān)的交換機(jī)都支持802.1p優(yōu)先級功能。

　　原則三：對多媒體傳輸?shù)闹С?BR>
　　交換機(jī)對專用于多媒體傳輸?shù)墓δ芎蛥f(xié)議的支持越來越多，其中最為典型的是組播技術(shù)。

　　組管理協(xié)議IGMP已經(jīng)成為智能交換機(jī)必備的基本功能。而對于三層交換機(jī)，除了RIP、OSPF等單播路由協(xié)議外，也開始支持DVMRP、PIM SM/DM等組播路由協(xié)議。

　　在進(jìn)行組播應(yīng)用時（如視頻會議等），各交換機(jī)均可通過IGMP協(xié)議在整個網(wǎng)絡(luò)范圍內(nèi)傳遞分組信息，使各交換機(jī)確定每組的成員，而組播路由協(xié)議則可對組播數(shù)據(jù)包進(jìn)行路由，使得組播包在網(wǎng)絡(luò)上順暢傳輸。其中，DVMRP相當(dāng)于單播時的RIP協(xié)議，適合于小規(guī)模的網(wǎng)絡(luò)應(yīng)用；而PIM則是與協(xié)議無關(guān)的組播路由協(xié)議，分為密集模式（DM）和稀疏模式（SM）兩種。密集模式主要適用于網(wǎng)絡(luò)帶寬較大、用戶分布較集中的場合，如公司的局域網(wǎng); 而稀疏模式主要適用于網(wǎng)絡(luò)帶寬較小、用戶分布較稀疏的場合，如廣域網(wǎng)或Internet。

　　有的交換機(jī)還配置了語音網(wǎng)關(guān)模塊，使得以太網(wǎng)交換機(jī)直接具備VoIP功能，但這樣的應(yīng)用還需要在客戶端分別布網(wǎng)線和電話線；若采用客戶端的VoIP網(wǎng)關(guān)，則可通過一條網(wǎng)線實(shí)現(xiàn)語音、數(shù)據(jù)的傳輸。這兩種方案孰優(yōu)孰劣，還要根據(jù)實(shí)際情況來判斷。

　　原則四：用戶分類和訪問控制

　　用戶分類、權(quán)限設(shè)置和訪問控制，也是智能網(wǎng)絡(luò)的重要功能。由于企業(yè)管理的細(xì)化，對于不同的網(wǎng)絡(luò)資源，要針對不同用戶設(shè)置不同的訪問權(quán)限。

　　訪問權(quán)限的設(shè)置有工作組級和用戶級兩種方式。

　　基于VLAN和三層交換的訪問控制就屬于工作組級的訪問控制。VLAN除了具備隔離廣播、提高網(wǎng)絡(luò)性能的作用之外，其重要的作用就在于將不同的工作組隔離開來，便于實(shí)現(xiàn)可控的相互訪問。三層交換機(jī)可以實(shí)現(xiàn)跨VLAN的訪問，而通過訪問控制列表ACL，則可設(shè)置不同VLAN間乃至不同IP地址的設(shè)備對于不同網(wǎng)絡(luò)服務(wù)的訪問權(quán)限。

　　對于智能小區(qū)寬帶接入應(yīng)用，將每個用戶都劃分在單獨(dú)的VLAN中，也能夠?qū)崿F(xiàn)用戶級的認(rèn)證和訪問控制，但這種方式只適用于固定接入的用戶，且無法實(shí)現(xiàn)計(jì)費(fèi)。

　　目前在寬帶接入網(wǎng)和企業(yè)網(wǎng)中，以往用于電信運(yùn)營網(wǎng)絡(luò)中的AAA技術(shù)（授權(quán)、認(rèn)證、計(jì)費(fèi)），如傳統(tǒng)的RADIUS、PPPoE，以及新興的802.1x等用戶認(rèn)證功能等，開始被集成到智能交換機(jī)中，與認(rèn)證服務(wù)器配合，從而實(shí)現(xiàn)基于用戶的認(rèn)證和訪問控制。

　　對于企業(yè)網(wǎng)來說，通常要實(shí)現(xiàn)在用戶訪問不同的網(wǎng)絡(luò)服務(wù)資源時，進(jìn)行認(rèn)證、訪問控制及服務(wù)認(rèn)證，而不是針對用戶接入端口進(jìn)行接入認(rèn)證。因此，常用的方式是以訪問控制列表或RADIUS認(rèn)證服務(wù)器，對相關(guān)應(yīng)用服務(wù)資源設(shè)置不同的訪問權(quán)限，并針對用戶實(shí)現(xiàn)認(rèn)證和授權(quán)。

　　對于寬帶接入網(wǎng)來說，則需要通過用戶認(rèn)證實(shí)現(xiàn)對端口聯(lián)通狀態(tài)的控制，通常要采用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式來實(shí)現(xiàn)接入認(rèn)證。

　　PPPoE是一種較為成熟的認(rèn)證方式，通過PPP協(xié)議封裝以太網(wǎng)幀，在無連接的以太網(wǎng)上提供了點(diǎn)對點(diǎn)的連接。PPPoE類似傳統(tǒng)的撥號接入方式，用戶端采用一個撥號軟件，發(fā)起PPP連接請求，穿過以太網(wǎng)交換機(jī)或者DSL設(shè)備，終結(jié)在集中控制管理層的接入網(wǎng)關(guān)設(shè)備上。接入網(wǎng)關(guān)設(shè)備負(fù)責(zé)終結(jié)PPP連接，并與RADIUS配合實(shí)現(xiàn)用戶管理和策略控制。

　　802.1x起源于802.11協(xié)議的EAPOL，是最近出現(xiàn)的一種以太網(wǎng)認(rèn)證技術(shù)。 802.1x是IEEE為了解決基于端口的接入控制而定義的一個標(biāo)準(zhǔn)。

　　802.1x認(rèn)證方式主要通過認(rèn)證前后打開/關(guān)閉用戶接入端口來實(shí)現(xiàn)對用戶接入的控制�；�于端口的網(wǎng)絡(luò)接入控制是在 LAN 設(shè)備的物理接入級對接入設(shè)備進(jìn)行認(rèn)證和控制。連接在物理端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問 LAN 內(nèi)的資源；如果不能通過認(rèn)證，則無法訪問 LAN 內(nèi)的資源，相當(dāng)于物理上斷開連接。認(rèn)證通過時，從遠(yuǎn)端認(rèn)證服務(wù)器可以傳遞來自用戶的信息，如VLAN、CAR參數(shù)、優(yōu)先級、用戶的訪問控制列表等; 認(rèn)證通過后，用戶的流量就將接受上述參數(shù)的監(jiān)管。

　　802.1x要求接入交換機(jī)支持EAPOL協(xié)議，至少支持該報(bào)文的透傳，但現(xiàn)有通常的網(wǎng)絡(luò)設(shè)備多數(shù)不支持。雖然越來越多的廠商開始提供支持802.1x的智能交換機(jī)產(chǎn)品，但由于該協(xié)議標(biāo)準(zhǔn)尚未成熟，各廠商實(shí)現(xiàn)的方式不盡相同，它的發(fā)展受到了一定程度的制約。

　　原則五：防止網(wǎng)絡(luò)攻擊

　　為確保核心交換機(jī)不受類似拒絕服務(wù)（DoS）攻擊而導(dǎo)致全網(wǎng)癱瘓，有的廠商在核心路由交換機(jī)中采用了防火墻和IDS系統(tǒng)中的防攻擊技術(shù)，以確保核心交換機(jī)更加穩(wěn)固和強(qiáng)壯。此舉尤其可以抵御來自網(wǎng)絡(luò)內(nèi)部的攻擊，提高系統(tǒng)的安全性。但是目前，該技術(shù)在邊緣交換機(jī)中仍較少采用。

智能交換機(jī)應(yīng)滿足三大需求
　　設(shè)備的大規(guī)模應(yīng)用，成本的大幅度下降，競爭更趨理性，這些表明寬帶業(yè)務(wù)已經(jīng)度過生命周期的進(jìn)入期，進(jìn)入業(yè)務(wù)成長期。 用戶對寬帶網(wǎng)絡(luò)的需求最終是為了實(shí)現(xiàn)“三網(wǎng)合一”，也就是數(shù)據(jù)、語音、視頻業(yè)務(wù)三網(wǎng)合一。

　　為了能對用戶的關(guān)鍵業(yè)務(wù)進(jìn)行保證，對不同等級的用戶進(jìn)行區(qū)別對待，就需要寬帶IP網(wǎng)絡(luò)能夠?qū)τ脩籼峁┒说蕉说姆��?wù)質(zhì)量，也要求從邊緣接入層設(shè)備到核心層設(shè)備都能夠提供統(tǒng)一的QoS特性，除此之外，對用戶的管理及計(jì)費(fèi)也是寬帶設(shè)備，尤其是對以太網(wǎng)交換機(jī)智能化的一個要求。

　　需要端到端的QoS

　　對QoS的需求，為了滿足三網(wǎng)合一的應(yīng)用，在交換設(shè)備上必須能夠?qū)Σ煌�的業(yè)務(wù)流進(jìn)行區(qū)別對待，比如對于某些關(guān)鍵業(yè)務(wù)可以提供較高帶寬，而對于優(yōu)先級比較低的業(yè)務(wù)可以分配較小的帶寬，以此保證同一個網(wǎng)絡(luò)對不同的業(yè)務(wù)提供不同的服務(wù)，實(shí)現(xiàn)區(qū)別服務(wù)。首先就要能夠?qū)�業(yè)務(wù)流進(jìn)行合理全面的流分類，要求設(shè)備至少可以支持2到4層的流分類（OSI分層標(biāo)準(zhǔn)），更好的設(shè)備可以真正實(shí)現(xiàn)按用戶需要自定義、實(shí)現(xiàn)2～7層的流分類。交換機(jī)必須能夠支持802.1p（強(qiáng)制優(yōu)先級）、diffserv（區(qū)別服務(wù)）、CAR（流量監(jiān)管）等服務(wù)策略、WRR以及RED、HOLB、flow control等前期后期擁塞控制。

　　完善ACL功能

　　第二個需求就是ACL（訪問控制）功能的完善，能夠?qū)��?jīng)過本設(shè)備的數(shù)據(jù)流按照一定的原則進(jìn)行一定的訪問過濾，最常用的策略就是基于流分類來進(jìn)行訪問控制。常見的應(yīng)用就是對某些非法網(wǎng)站的IP地址在本地出口設(shè)備上配置ACL規(guī)則，禁止本地用戶對非法網(wǎng)站的訪問。ACL訪問控制具體能控制到哪一個層面完全取決于流分類的能力，流分類能力越強(qiáng)能夠控制的層面就越大，當(dāng)然也不是說能流分類就能訪問控制，而是說流分類是實(shí)現(xiàn)訪問控制的一個必要條件，有了這個必要條件還要看訪問控制的實(shí)現(xiàn)到底能達(dá)到哪個層面。這就要求交換機(jī)能夠基于用戶的源MAC、目的MAC、源物理端口號、目的物理端口號、源IP地址、目的IP地址、源網(wǎng)段地址、目的網(wǎng)段地址、按四層協(xié)議類型（socket）、按用戶自定義規(guī)則等來對數(shù)據(jù)業(yè)務(wù)進(jìn)行分類，同時按照這些的分類對不同的業(yè)務(wù)流提供不同的服務(wù)質(zhì)量或進(jìn)行ACL控制，即禁止或允許特定流的轉(zhuǎn)發(fā)。

　　適應(yīng)多業(yè)務(wù)應(yīng)用

　　第三個需求是對多業(yè)務(wù)應(yīng)用的需求。這里所謂的多業(yè)務(wù)包含幾個方面：一是對組播業(yè)務(wù)的支持，二層交換機(jī)上應(yīng)該實(shí)現(xiàn)IGMP Snooping功能，三層交換機(jī)上應(yīng)該實(shí)現(xiàn)PIM－SM、PIM－DM、DVMRP等三層組播協(xié)議至少一種以上，目前業(yè)界比較認(rèn)可、應(yīng)用比較廣泛的主要是PIM協(xié)議；二是用戶的安全策略問題，包括對用戶身份的認(rèn)證、用戶的計(jì)費(fèi)、基本的防攻擊策略等。目前在以太網(wǎng)交換機(jī)上采用的用戶身份的認(rèn)證方式簡單的主要有mac＋port綁定、mac＋I(xiàn)P綁定、IP＋mac＋port綁定，復(fù)雜點(diǎn)認(rèn)證方式主要是802.1x、portal認(rèn)證、強(qiáng)制portal等。802.1x實(shí)現(xiàn)可以有本地認(rèn)證和遠(yuǎn)端認(rèn)證兩種方式，本地認(rèn)證意味著交換機(jī)內(nèi)置了RADIUS Server，用戶可以直接在本地交換機(jī)上進(jìn)行認(rèn)證而不需要在交換機(jī)上外掛RADIUS Server，遠(yuǎn)端認(rèn)證就需要在交換機(jī)之外提供外掛的RADIUS Server，交換機(jī)本身只完成認(rèn)證報(bào)文的中繼。Portal認(rèn)證是獨(dú)立的認(rèn)證協(xié)議，經(jīng)過交換設(shè)備對認(rèn)證報(bào)文進(jìn)行終結(jié)，同時轉(zhuǎn)換為標(biāo)準(zhǔn)的RADIUS認(rèn)證報(bào)文去遠(yuǎn)端RADIUS服務(wù)器上進(jìn)行RADIUS認(rèn)證，分為Portal認(rèn)證和強(qiáng)制Portal兩種方式。

　　組播業(yè)務(wù)現(xiàn)在已經(jīng)成為IP網(wǎng)絡(luò)的主要業(yè)務(wù)之一，基于組播的視頻業(yè)務(wù)得到越來越廣泛的應(yīng)用。傳統(tǒng)的組播業(yè)務(wù)只是關(guān)注業(yè)務(wù)的可行性、網(wǎng)絡(luò)帶寬的合理化使用，并不能實(shí)現(xiàn)對下屬用戶接收權(quán)限的控制。智能以太網(wǎng)交換機(jī)應(yīng)該能夠提供對組播業(yè)務(wù)權(quán)限的控制，只有通過認(rèn)證的用戶才能接收相應(yīng)的組播業(yè)務(wù)，沒有經(jīng)過組播權(quán)限認(rèn)證的用戶只能實(shí)現(xiàn)數(shù)據(jù)業(yè)務(wù)的通信不能接收組播業(yè)務(wù)，這一概念稱為可控組播或受控組播。能夠在接入層設(shè)備支持基于復(fù)雜流分類的ACL。能夠基于用戶的源mac、目的mac、源物理端口號、目的物理端口號、源IP地址、目的IP地址、源網(wǎng)段地址、目的網(wǎng)段地址、按四層協(xié)議類型（socket）、按用戶自定義規(guī)則等來對數(shù)據(jù)業(yè)務(wù)進(jìn)行分類，同時按照上述的分類對不同的業(yè)務(wù)流提供不同的服務(wù)質(zhì)量或進(jìn)行ACL控制，即禁止或允許特定流的轉(zhuǎn)發(fā)。

　　作為智能以太網(wǎng)交換機(jī)，除了能對用戶進(jìn)行管理之外，還應(yīng)該對設(shè)備有較強(qiáng)的管理及安全特性。對設(shè)備的管理首先是配合網(wǎng)管的設(shè)備管理，應(yīng)該支持SNMP V1/V2/V3、RMON 1、2、3、9，WEB網(wǎng)管，能夠從網(wǎng)管平臺對設(shè)備進(jìn)行可視化的、便捷的設(shè)備管理。除此之外，設(shè)備本身應(yīng)該具有一定的安全特性，包括二層的端口捆綁、STP/RSTP、MSTP，三層的VRRP等鏈路備份或設(shè)備備份功能。華為的智能以太網(wǎng)交換機(jī)能夠提供集群管理、PVLAN、GMRP、GVRP。

　　對用戶的計(jì)費(fèi)主要依靠RADIUS 服務(wù)器來完成，交換機(jī)負(fù)責(zé)統(tǒng)計(jì)用戶的時長、流量、訪問內(nèi)容等計(jì)費(fèi)信息，并負(fù)責(zé)把統(tǒng)計(jì)到的計(jì)費(fèi)信息轉(zhuǎn)發(fā)給后臺的RADIUS計(jì)費(fèi)服務(wù)器。就上述對智能以太網(wǎng)交換機(jī)的理解，華為Quidway S3026E（二層交換機(jī)）、Quidway S3526E（三層交換機(jī)）均屬于智能以太網(wǎng)交換機(jī)。

　　智能向接入層轉(zhuǎn)移

　　智能以太網(wǎng)交換機(jī)市場應(yīng)用前景非常廣闊，目前大企業(yè)網(wǎng)、教育網(wǎng)、寬帶智能小區(qū)等場合智能以太網(wǎng)交換機(jī)已經(jīng)成為網(wǎng)絡(luò)建設(shè)的關(guān)鍵設(shè)備，在其他諸如IP城域網(wǎng)、金融網(wǎng)等眾多應(yīng)用領(lǐng)域智能以太網(wǎng)交換機(jī)也起著越來越大的作用。

　　未來智能以太網(wǎng)交換機(jī)的功能將會進(jìn)一步得到提升，諸如硬件NAT業(yè)務(wù)板、ALG（地址網(wǎng)關(guān)）、硬件集成IAD（語音網(wǎng)關(guān)）、MPLS VPN等業(yè)務(wù)也會在智能以太網(wǎng)交換機(jī)上逐步地實(shí)現(xiàn)，從而把網(wǎng)絡(luò)匯聚層的大部分智能業(yè)務(wù)逐步下移到接入層的智能以太網(wǎng)交換機(jī)上，減輕匯聚層負(fù)擔(dān)，從而達(dá)到優(yōu)化網(wǎng)絡(luò)、提高網(wǎng)絡(luò)效率、增強(qiáng)網(wǎng)絡(luò)功能的目的，最終向NGN（下一代網(wǎng)絡(luò)）平滑過渡。


   

• 通信詞典解釋