談智慧交換機產品及其選購要點(轉)

談智慧交換機產品及其選購要點(轉)[@more@]

　　智慧交換機和傳統的交換機的區別在於，智慧交換機支援專門的具有應用功能的“刀片”伺服器，它們包括協議會話、遠端映象、磁帶模擬以及內網檔案和資料共享。從具有對每個埠的額外處理能力以及刀鋒伺服器間巨大頻寬高度整合的體系結構，到相對簡單的每個伺服器都配備專用的處理器，記憶體和用於各個埠之間通訊的輸入輸出功能的體系結構，智慧交換有很多不同的體系結構。

　　不同的商家使用不同的名字，例如“智慧交換”、“應用交換”、“組織交換”等等，用於在競爭中使自己鶴立雞群。以思科公司的MDS9000系列為例，有例如支援Veritas卷管理器和IBM SAN卷控制器(SVC)等應用的刀片。這些刀片可以和其他刀片共存，這些伺服器包括光纖通道埠和IP伺服器。

　　智慧交換機的五個基本採購原則:

　　原則一:對網路及裝置的監控和管理

　　可管理是智慧交換的基礎，通常意義上的網路管理系統包括效能、配置、故障、計費和安全等5個功能域，這是最基本、也是最常用到的功能。隨著使用者網路規模的擴大、網路應用的增多，對網路執行狀況的實時監控和維護就變得非常必要，需要網管系統與智慧交換裝置相互密切配合。

　　目前常見的網管系統有兩類，一類是通用的網管平臺，如HP OpenView，可以提供一個第三方的網管平臺，支援對所有SNMP裝置的發現和簡單監控。但由於各廠商裝置都具有大量自行開發的私有MIB (Management Information Base)庫，通用網管平臺無法對其進行識別和管理。因此，如果要實現對各種裝置進行詳盡監控、管理和配置時，必須進行二次開發。近年來，各廠商裝置更新很快，而與第三方通用網管平臺的配合則非常有限，使得通用網管平臺難以細緻地對多廠商的裝置進行管理。

　　另一類是由網路裝置廠商自行開發的網管平臺，如Cisco WORKS、神州數碼LinkManager等，可以對本廠商的裝置進行深入細緻的監控、配置和管理，實用性較強且價格也較便宜。但問題是，無法用這類網管系統實現對全網裝置的統一管理，因此使用者往往採用多臺網管工作站分別安裝不同的系統，進行分別管理。

　　隨著使用者對不同裝置進行統一網管的需求日益迫切，各廠商也在考慮採用更加開放的方式實現裝置對網管的支援，例如開放私有MIB庫，乃至完全依照RFC來編寫MIB庫，以實現不同廠商間裝置與網管系統的互操作性。

　　目前，在大中型企業網中，應用網管系統的比例較以前已大幅度提高。因此，使用者在選擇時不能滿足於拓撲發現、流量監控、狀態監控等通用的網管功能，還要對於裝置遠端配置、使用者管理、訪問控制乃至QoS監控等提出更高的要求。

　　另外，為節省IP地址，簡化管理層次，不同的廠商採用堆疊或叢集網管等技術，將多臺裝置作為一臺邏輯上的裝置進行統一管理。使用者也可以關注這類產品。

　　原則二:對不同應用型別資料的分類和處理

　　智慧交換的另外一個重要體現是，對網路中不同型別的資料自動進行分類，並提供不同的傳輸策略，確保關鍵應用的順暢執行，也就是通常所說的服務質量(QoS)。

　　目前常見的QoS技術有IntServ(RSVP)和DiffServ兩種方式。

　　前者採用資源預留的方式，即針對每種不同的應用，都在網路上預留“端到端”的專用通道，確保關鍵應用獨享固定的頻寬資源。資源預留的方式屬於虛擬專線的解決方案，能夠確保關鍵應用的傳輸質量，卻無法實現頻寬的共享，易造成線路資源的浪費;另外，資源預留只適合於較為簡單的網路拓撲，如路由器間點對點的專線連線，對於複雜而龐大的企業網而言，很難實施，更不要說都會網路了。

　　因此，使用者最好採用DiffServ的交換機，以實現“端到端”的QoS。需要指出的是，為實現DiffServ QoS，要求使用者的網路上所有相關的交換機都支援802.1p優先順序功能。

　　原則三:對多媒體傳輸的支援

　　交換機對專用於多媒體傳輸的功能和協議的支援越來越多，其中最為典型的是組播技術。

　　組管理協議IGMP已經成為智慧交換機必備的基本功能。而對於三層交換機，除了RIP、OSPF等單播路由協議外，也開始支援DVMRP、PIM SM/DM等組播路由協議。

　　在進行組播應用時(如視訊會議等)，各交換機均可透過IGMP協議在整個網路範圍內傳遞分組資訊，使各交換機確定每組的成員，而組播路由協議則可對組播資料包進行路由，使得組播包在網路上順暢傳輸。其中，DVMRP相當於單播時的RIP協議，適合於小規模的網路應用;而PIM則是與協議無關的組播路由協議，分為密集模式(DM)和稀疏模式(SM)兩種。密集模式主要適用於網路頻寬較大、使用者分佈較集中的場合，如公司的區域網; 而稀疏模式主要適用於網路頻寬較小、使用者分佈較稀疏的場合，如廣域網或Internet。

　　有的交換機還配置了語音閘道器模組，使得乙太網交換機直接具備VoIP功能，但這樣的應用還需要在客戶端分別佈網線和電話線;若採用客戶端的VoIP閘道器，則可透過一條網線實現語音、資料的傳輸。這兩種方案孰優孰劣，還要根據實際情況來判斷。

　　原則四:使用者分類和訪問控制

　　使用者分類、許可權設定和訪問控制，也是智慧網路的重要功能。由於企業管理的細化，對於不同的網路資源，要針對不同使用者設定不同的訪問許可權。

　　訪問許可權的設定有工作組級和使用者級兩種方式。

　　基於VLAN和三層交換的訪問控制就屬於工作組級的訪問控制。VLAN除了具備隔離廣播、提高網路效能的作用之外，其重要的作用就在於將不同的工作組隔離開來，便於實現可控的相互訪問。三層交換機可以實現跨VLAN的訪問，而透過訪問控制列表ACL，則可設定不同VLAN間乃至不同IP地址的裝置對於不同網路服務的訪問許可權。

　　對於智慧小區寬頻接入應用，將每個使用者都劃分在單獨的VLAN中，也能夠實現使用者級的認證和訪問控制，但這種方式只適用於固定接入的使用者，且無法實現計費。

　　目前在寬頻接入網和企業網中，以往用於電信運營網路中的AAA技術(授權、認證、計費)，如傳統的RADIUS、PPPoE，以及新興的802.1x等使用者認證功能等，開始被整合到智慧交換機中，與認證伺服器配合，從而實現基於使用者的認證和訪問控制。

　　對於企業網來說，通常要實現在使用者訪問不同的網路服務資源時，進行認證、訪問控制及服務認證，而不是針對使用者接入埠進行接入認證。因此，常用的方式是以訪問控制列表或RADIUS認證伺服器，對相關應用服務資源設定不同的訪問許可權，並針對使用者實現認證和授權。

　　對於寬頻接入網來說，則需要透過使用者認證實現對埠聯通狀態的控制，通常要採用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式來實現接入認證。

　　PPPoE是一種較為成熟的認證方式，透過PPP協議封裝乙太網幀，在無連線的乙太網上提供了點對點的連線。PPPoE類似傳統的撥號接入方式，使用者端採用一個撥號軟體，發起PPP連線請求，穿過乙太網交換機或者DSL裝置，終結在集中控制管理層的接入閘道器裝置上。接入閘道器裝置負責終結PPP 連線，並與 RADIUS配合實現使用者管理和策略控制。

　　802.1x起源於802.11協議的EAPOL，是最近出現的一種乙太網認證技術。 802.1x是IEEE為了解決基於埠的接入控制而定義的一個標準。

　　802.1x認證方式主要透過認證前後開啟/關閉使用者接入埠來實現對使用者接入的控制。基於埠的網路接入控制是在 LAN 裝置的物理接入級對接入裝置進行認證和控制。連線在物理埠上的使用者裝置如果能透過認證，就可以訪問 LAN 內的資源;如果不能透過認證，則無法訪問 LAN 內的資源，相當於物理上斷開連線。認證透過時，從遠端認證伺服器可以傳遞來自使用者的資訊，如VLAN、CAR引數、優先順序、使用者的訪問控制列表等; 認證透過後，使用者的流量就將接受上述引數的監管。

　　802.1x要求接入交換機支援EAPOL協議，至少支援該報文的透傳，但現有通常的網路裝置多數不支援。雖然越來越多的廠商開始提供支援802.1x的智慧交換機產品，但由於該協議標準尚未成熟，各廠商實現的方式不盡相同，它的發展受到了一定程度的制約。

　　原則五:防止網路攻擊

　　為確保核心交換機不受類似拒絕服務(DoS)攻擊而導致全網癱瘓，有的廠商在核心路由交換機中採用了防火牆和IDS系統中的防攻擊技術，以確保核心交換機更加穩固和強壯。此舉尤其可以抵禦來自網路內部的攻擊，提高系統的安全性。但是目前，該技術在邊緣交換機中仍較少採用。

　　智慧交換機代表產品:

　　3Com SuperStack 3 Switch 4400簡單易用

　　3Com公司的SuperStack 3 Switch 4400智慧交換機簡單易用、功能豐富。該產品具備更高的埠密度，並且具有在資料穿越網路進行傳輸時為重要業務應用分配較高優先服務級別的能力。除此之外，該產品的效能價格比是最高的。具備兩倍於原有解決方案的埠密度，為客戶降低了產品的總成本。透過SuperStack 3 Switch 4400交換機與其他各類千兆乙太網交換產品之間的結合，3Com公司為使用者提供了整套先進的企業級區域網路解決方案。

　　Cisco Catalyst 3550功能豐富

　　Cisco Catalyst 3550智慧乙太網交換機是一個可堆疊的多層交換機產品，可透過高可用性、服務質量(QoS)和安全性來改進網路執行狀況。憑藉一系列快速乙太網和千兆乙太網配置，Cisco Catalyst 3550適用於企業和城域接入應用，使使用者能利用傳統LAN交換的簡潔性來部署網路智慧服務。憑藉內建Cisco叢集管理套件簡化了接入層和小型骨幹網的部署，用全套千兆介面轉換器(GBIC)裝置提供了強大的千兆乙太網連線。

　　D-Link DES-6300高速交換和路由

　　D-Link公司的DES-6300是一款適用於高速交換和路由的三層交換機。該產品採用了機箱式設計，集和了線速資料包路由、包交換、多埠聚合以及提供多級資料服務質量(QoS)等功能於一身，特別適合於高速率、高階口密度，以及多埠型別的部門級、主幹級、企業級大型主幹網路。該產品埠豐富，滿足了業務擴充套件需求。同時，完全模組化的設計使產品支援乙太網/快速乙太網、銅纜雙絞線/光纖等豐富的埠選擇，並提供了7個擴充套件插槽，可以將傳統的乙太網平滑移植到快速乙太網或千兆乙太網。此外，模組熱插拔的特性使得網路在執行時可以同時安裝、解除安裝埠模組，而不影響交換機的效能。