邊緣交換機如何在智能機上有所突破

邊緣交換機作為當(dāng)今主流的QoS的入站點或出站點，在其中占據(jù)著非常重要的作用，特別是在中小型企業(yè)中，如果網(wǎng)絡(luò)的邊緣設(shè)備將QoS、速率限制、ACL、PBR及sFlow集成到硬件芯片上。

使得這些智能不致影響到基本二層、三層的線速轉(zhuǎn)發(fā)性能，那么端到端的智能網(wǎng)絡(luò)才得以大規(guī)模開展，從而使得整個網(wǎng)絡(luò)不僅擁有全局的連接能力，也同時擁有全局的網(wǎng)絡(luò)智能。

從過去到現(xiàn)在，網(wǎng)絡(luò)的設(shè)計理念一直存在著幾種不同的思路。就透通與智能這兩個重點來看，側(cè)重程度的不同就影響到網(wǎng)絡(luò)的設(shè)計：透通強調(diào)連接能力、簡單管理、價格低廉；智能強調(diào)控管和增值能力，因此多數(shù)復(fù)雜程度較高，成本也相對較高。其實設(shè)計并無高下，只取決于用戶的實際需求與經(jīng)費預(yù)算而已。

因此，網(wǎng)絡(luò)架構(gòu)可以是全二層的架構(gòu)，不過擴展度較差；也可以是全三層的架構(gòu)，不過價格較高；而大多的規(guī)劃會在兩者之間取得一定的平衡，這就產(chǎn)生了兩種不同的架構(gòu)——折疊式骨干網(wǎng)絡(luò)架構(gòu)與分散式骨干網(wǎng)絡(luò)架構(gòu)。其中，折疊式骨干將智能收縮到上層的匯聚設(shè)備上，而在下層的接入設(shè)備則只強調(diào)透通與線速。單從智能控管的角度來看，這是一種集中式的設(shè)計。

這兩種架構(gòu)在網(wǎng)絡(luò)邊緣上存在著重大差異。折疊式骨干多以二層交換作為邊緣，而分散式骨干多以三層交換作為邊緣。如果簡單地以交換或路由來判定網(wǎng)絡(luò)的智能，當(dāng)然三層交換優(yōu)于二層交換。

但是由于愈來愈多的業(yè)務(wù)在同一張網(wǎng)上開通，網(wǎng)絡(luò)的智能問題不再單純地以二層/三層來判定，更多時候，執(zhí)行QoS的能力、提供指定接入速率的能力、ACL（訪問控制列表）的安全屏蔽能力、網(wǎng)絡(luò)流量統(tǒng)計與監(jiān)控能力以及策略路由（PBR）的支持能力。

都可以更有效地來判定網(wǎng)絡(luò)的智能。因此，有了這樣一個概念，不管是折疊式骨干中的邊緣二層交換設(shè)備， 是分散式骨干中的邊緣三層交換設(shè)備，在眾多廠家的二層、三層交換設(shè)備中，用戶可以依據(jù)自己業(yè)務(wù)上的實際需要做出更為明確的選擇。

執(zhí)行QoS的能力

在多媒體業(yè)務(wù)中，數(shù)據(jù)、語音、圖像對時延、抖動、掉包的要求不盡相同。為了更好地執(zhí)行多媒體業(yè)務(wù)，用戶最好在數(shù)據(jù)包中加入相應(yīng)的QoS標記，邊緣交換機或者讀取QoS并加以執(zhí)行，或者對于不可信任的來源，采取重行分類、重行標記QoS并加以執(zhí)行的方式。

QoS在過去有二層的CoS（服務(wù)等級）或三層的IP Precedence（IP優(yōu)先等級）的做法，而現(xiàn)在則強調(diào)差分服務(wù)（DiffSew）的支持能力。因此，邊緣交換機在端到端的QoS支持上，作為QoS的入站點或出站點，扮演著極為關(guān)鍵的角色。對DiffSew提供硬件支持能力是邊緣交換機關(guān)鍵功能之一。

指定接入速率的能力

固然千兆以太網(wǎng)的普及使得骨干有較為充裕的帶寬，但這種資源不是取之不盡、用之不竭的。而且采取使用者付費以管制邊緣帶寬的有效使用是最為可行的手段，因此，在邊緣交換機的接口上。

不但要提供十兆、百兆的設(shè)定能力，更要提供基于端口、優(yōu)先等級、VLAN、ACL分類的速率限制能力，而且最好是入站或出站均能執(zhí)行速率限制，范圍由256k一直到千兆，粒度則以硬件芯片能以硬件處理的范圍為宜，一般而言在256k左右。

應(yīng)用邊緣交換機情況調(diào)查

這里必須特別強調(diào)，硬件處理是希望邊緣設(shè)備不會因為啟動速率限制而影響其線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力，這一點對邊緣設(shè)備來講是很重要的性能指標。有了完整的速率限制功能，而又不影響網(wǎng)絡(luò)的性能指標，才能有效地管理網(wǎng)絡(luò)的帶寬資源。

ACL的安全屏蔽能力

在網(wǎng)絡(luò)中，ACL不但可以讓網(wǎng)絡(luò)管理者用來制定網(wǎng)絡(luò)策略，對個別用戶或特定的數(shù)據(jù)流進行允許或者拒絕的控制，也可以用來加強網(wǎng)絡(luò)的安全屏蔽。從簡單的Ping to Death攻擊、TCP Sync攻擊，一直到更多樣化更復(fù)雜的黑客攻擊。

ACL都可以起到一定的屏蔽作用。ACL有標準ACL及擴展ACL（Extended ACL）兩種，不論邊緣是二層交換機還是三層交換機，最好都具備支持標準ACL及擴展ACL的能力，才能將網(wǎng)絡(luò)的安全屏蔽及策略執(zhí)行能力分散到網(wǎng)絡(luò)的邊緣。

跟速率限制一樣，網(wǎng)絡(luò)設(shè)備不但應(yīng)該能執(zhí)行完整的ACL功能，包括進站及出站，同時也必須強調(diào)由硬件處理的能力。如此，才能在啟動ACL的同時，不會影響到二層或三層交換設(shè)備線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力。