細(xì)心的觀察我們可以發(fā)現(xiàn)，從2001年的中期開(kāi)始直到現(xiàn)在，一些在以太網(wǎng)交換領(lǐng)域領(lǐng)先的廠商推出了一系列新的以太網(wǎng)交換機(jī)。其中有一類固定配置交換機(jī)，工作在網(wǎng)絡(luò)的邊緣，如網(wǎng)絡(luò)的接入層或者是匯聚層（分布層）的邊緣，并且支持第四層交換。   

那么在連接最終用戶的交換機(jī)上為什么要實(shí)現(xiàn)四層交換呢？這些新的交換機(jī)會(huì)給企業(yè)網(wǎng)帶來(lái)什么變化呢？帶著這些疑問(wèn)，我們展開(kāi)了此次四層交換到桌面的采訪，非常感謝3Com公司技術(shù)市場(chǎng)經(jīng)理唐勇、思科系統(tǒng)中國(guó)網(wǎng)絡(luò)技術(shù)有限公司營(yíng)銷運(yùn)作部產(chǎn)品經(jīng)理陶欣先生、北京港灣有限公司產(chǎn)品部總經(jīng)理李劍先生接受我們的采訪。也感謝一些廠商填寫了我們的功能列表，幫助讀者對(duì)這類產(chǎn)品有一個(gè)更為感性的認(rèn)識(shí)。   

企業(yè)網(wǎng)的新需求   

高速、融合、更安全是今天企業(yè)網(wǎng)的新需求。融合網(wǎng)絡(luò)的話題已經(jīng)談了很久，將語(yǔ)音、視頻等對(duì)延遲、抖動(dòng)要求非常高的通信與數(shù)據(jù)通信在同一個(gè)網(wǎng)絡(luò)上傳輸，現(xiàn)在看已經(jīng)是一個(gè)必然的趨勢(shì)。另一方面，一些關(guān)鍵性的應(yīng)用比如供應(yīng)鏈管理等對(duì)數(shù)據(jù)傳輸?shù)囊蠓浅８撸瑢?duì)網(wǎng)絡(luò)的丟包、延遲等提出了很高的要求。承載如此重要的商業(yè)應(yīng)用同時(shí)也對(duì)網(wǎng)絡(luò)管理提出了很高的要求，由于數(shù)據(jù)網(wǎng)絡(luò)基本上都采用帶內(nèi)管理的方式，一些管理信息也對(duì)網(wǎng)絡(luò)的通信質(zhì)量提出了很高的要求。   

企業(yè)網(wǎng)的另一個(gè)新的發(fā)展趨勢(shì)是網(wǎng)絡(luò)速度的提高。從提高服務(wù)質(zhì)量的角度看，不斷增添網(wǎng)絡(luò)帶寬是一種有效而且相對(duì)簡(jiǎn)單的方法。但是，無(wú)論交換機(jī)的背板帶寬有多高，無(wú)論交換機(jī)的數(shù)據(jù)包轉(zhuǎn)發(fā)率有多大，無(wú)論數(shù)據(jù)交換得有多快，擁塞卻永遠(yuǎn)在所有網(wǎng)絡(luò)中存在。比如說(shuō)，在從高速的局域網(wǎng)到低速的廣域網(wǎng)的地方、在多個(gè)鏈路的流量匯聚到一個(gè)上聯(lián)鏈路的地方、在從一個(gè)高速鏈路向一個(gè)低速鏈路傳輸?shù)臅r(shí)候，都會(huì)產(chǎn)生擁塞。沒(méi)有服務(wù)質(zhì)量的控制，將意味著數(shù)據(jù)包的丟失和延遲的增加。   

網(wǎng)絡(luò)的融合趨勢(shì)需要網(wǎng)絡(luò)能夠依據(jù)不同的應(yīng)用，以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)。   

企業(yè)網(wǎng)另一個(gè)需求是安全性，特別是針對(duì)來(lái)自內(nèi)部的安全威脅。有數(shù)據(jù)表明，80%的安全攻擊來(lái)自于企業(yè)的內(nèi)部。企業(yè)網(wǎng)需要加強(qiáng)對(duì)訪問(wèn)者的控制，限制非授權(quán)用戶的通信。

你用過(guò)IEEE802.1P嗎？這是李劍先生問(wèn)我的一句話。想必大多數(shù)網(wǎng)絡(luò)管理人員，對(duì)IEEE802.1P仰慕已久，而實(shí)際上真正在網(wǎng)絡(luò)上部署的人鳳毛麟角。記者在采訪中，幾位被采訪者都談到以往交換機(jī)的IEEE802.1P實(shí)際上并沒(méi)有什么意義。市場(chǎng)上僅有很少的網(wǎng)卡支持IEEE802.1P，而桌面的應(yīng)用軟件也不支持IEEE802.1P。而在配置的角度上看，上次測(cè)試的交換機(jī)都停留在打開(kāi)或者關(guān)閉的水平，而不是做到能夠?yàn)槟骋活悜?yīng)用提供相應(yīng)的服務(wù)質(zhì)量策略。如果想在全網(wǎng)實(shí)施QoS，需要到每一臺(tái)PC機(jī)上設(shè)置應(yīng)用與IEEE802.1P的映射關(guān)系（比如3Com網(wǎng)卡的附帶軟件）。而李劍認(rèn)為如果QoS的定義在桌面實(shí)現(xiàn)，將會(huì)導(dǎo)致網(wǎng)絡(luò)的混亂，就如同每個(gè)人可以自己定義電話號(hào)碼一樣。   

在網(wǎng)絡(luò)中實(shí)施QoS，依賴這樣的接入交換機(jī)，除非我們的網(wǎng)絡(luò)管理員有一臺(tái)智能多層的核心骨干交換機(jī)否則無(wú)法做到。而核心骨干交換機(jī)價(jià)格不菲。   

我們測(cè)試的千兆接入交換機(jī)也有安全的設(shè)置，比如說(shuō)靜態(tài)的MAC地址表，能實(shí)現(xiàn)MAC地址的過(guò)濾，能夠劃分VLAN。但是對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)，手段還不夠多也不夠靈活。   

我們此次關(guān)注的這些部署在網(wǎng)絡(luò)邊緣的四層交換機(jī)正在力圖解決這些問(wèn)題。讓我們來(lái)結(jié)合后面的功能列表來(lái)認(rèn)識(shí)一下新一代的網(wǎng)絡(luò)交換機(jī)。   

此四層非彼四層   

雖然我們此次的專題名稱叫做“四層交換到桌面”，但是在我們功能列表中的網(wǎng)絡(luò)交換機(jī)與以前我們常提到的四層或者四至七層交換機(jī)并不一樣。   

首先從交換機(jī)在網(wǎng)絡(luò)中的位置來(lái)看，過(guò)去的四到七層交換機(jī)，一般放置在企業(yè)或者運(yùn)營(yíng)商的數(shù)據(jù)中心，專門用來(lái)連接Web服務(wù)器或者其他相關(guān)的服務(wù)器群組。它們的出現(xiàn)是為了提高互聯(lián)網(wǎng)站點(diǎn)的服務(wù)性能。   

我們收集在表格中的交換機(jī)則明顯不同。在這8款交換機(jī)中，一類是具備第二層和第四層交換能力，如3Com公司的SuperStack 3 Switch 4400、Avaya公司的P134G2和Cisco公司的Catalyst 2950、華為公司的Quidway S3026E。它們工作在網(wǎng)絡(luò)的接入層，直接連接到用戶的桌面終端，比如PC機(jī)、以太網(wǎng)電話機(jī)，并用高速的千兆鏈路上聯(lián)到分布層交換機(jī)。剩下的交換機(jī)為2/3/4層交換機(jī)，比如港灣公司的FlexHammer 5010/5020、華為公司的Quidway S3526、Cisco公司的Catalyst 3550和Extreme公司Summit48si。這些交換機(jī)一般位于網(wǎng)絡(luò)的分布層邊緣，下連接入交換機(jī)，或者直接連接桌面的終端，上聯(lián)核心骨干交換機(jī)。這也是我們將此次專題命名為四層交換到桌面的原因。    　

從對(duì)數(shù)據(jù)包的操作來(lái)看，二者也有很大的不同。以前的四到七層交換機(jī)，根據(jù)數(shù)據(jù)包的第四層乃至更高層的信息，決定不同數(shù)據(jù)包發(fā)往交換機(jī)的不同端口，比如端口的重定向、負(fù)載均衡等等操作。   

四層交換到桌面的交換機(jī)，并沒(méi)有根據(jù)四層的信息進(jìn)行交換，而是對(duì)四層的信息進(jìn)行識(shí)別，更深層次的講是對(duì)應(yīng)用進(jìn)行識(shí)別，然后按照網(wǎng)絡(luò)設(shè)備預(yù)設(shè)的服務(wù)策略，提供服務(wù)質(zhì)量保證，根據(jù)已定策略保證企業(yè)網(wǎng)絡(luò)的安全性。  

按照陶欣的說(shuō)法，實(shí)現(xiàn)四層交換到桌面的交換機(jī)實(shí)際上是二層和三層交換的擴(kuò)展，提供更多的服務(wù)。#p#   

端到端的服務(wù)質(zhì)量   

翻看我們的表格，我們會(huì)發(fā)現(xiàn)這一類交換機(jī)在服務(wù)質(zhì)量控制方面，比較原先的二層交換機(jī)有了很大的提升。   

在優(yōu)先級(jí)隊(duì)列方面，原來(lái)的千兆接入交換機(jī)，每個(gè)百兆端口僅僅支持2個(gè)隊(duì)列，新一代的智能邊緣交換機(jī)可以支持4個(gè)。   

在QoS所要做的分類與識(shí)別工作中，第二層都能夠識(shí)別IEEE802.1P的信息，有一點(diǎn)表上沒(méi)有反應(yīng)的是，一般這類交換機(jī)在識(shí)別應(yīng)用之后可以根據(jù)QoS策略改寫以太網(wǎng)幀的IEEE802.1P的標(biāo)記字段。另外，它們也可以通過(guò)識(shí)別端口、MAC地址、VID確定數(shù)據(jù)的優(yōu)先級(jí)。第三層，他們可以通過(guò)識(shí)別IP地址的信息，確定交換機(jī)的優(yōu)先級(jí)設(shè)置，同時(shí)也可以識(shí)別IP DiffServ字段，并重寫這一字段的信息。第四層，他們可以識(shí)別第四層的端口號(hào)碼，結(jié)合優(yōu)先級(jí)策略提供相應(yīng)的服務(wù)。   

唐勇先生說(shuō)，對(duì)于邊緣交換機(jī)來(lái)說(shuō)，24個(gè)百兆口或者48個(gè)百兆口，通過(guò)一個(gè)千兆鏈路上聯(lián)，一般不會(huì)發(fā)生擁塞。他認(rèn)為從現(xiàn)在到未來(lái)幾年內(nèi)的桌面應(yīng)用看，只要不超過(guò)100個(gè)百兆口，在接入交換機(jī)的千兆上聯(lián)端口處，一般不會(huì)出現(xiàn)擁塞的情況。所以說(shuō)，四層交換到桌面不是為了解決邊緣交換機(jī)的擁塞問(wèn)題，而是為了能夠在網(wǎng)絡(luò)中實(shí)現(xiàn)端到端的服務(wù)質(zhì)量，能夠在網(wǎng)絡(luò)邊緣識(shí)別應(yīng)用，為數(shù)據(jù)包打上優(yōu)先級(jí)的標(biāo)記，比如IEEE802.1Q或者是IP DiffServ。   

在擁塞控制、擁塞避免和數(shù)據(jù)整形方面，除了一些2層交換機(jī)會(huì)支持的隊(duì)頭阻塞控制、IEEE802.3X以外，實(shí)現(xiàn)四層交換到桌面的產(chǎn)品還支持了WRR、WRED、RED、CAR這樣的協(xié)議，這些協(xié)議過(guò)去更多的應(yīng)用在路由器產(chǎn)品上，在邊緣交換機(jī)中很少見(jiàn)到。   

豐富的安全設(shè)置   

在安全方面，新一代的交換機(jī)有更豐富的設(shè)置選項(xiàng)，對(duì)于網(wǎng)管員來(lái)說(shuō)有更多的手段。   

在二層，一般的交換機(jī)都會(huì)支持基于MAC地址過(guò)濾的訪問(wèn)控制，也會(huì)支持IEEE 802.1Q的VLAN。而新一代的交換機(jī)有一個(gè)特征是，大多準(zhǔn)備或者已經(jīng)支持IEEE802.1X協(xié)議。   

在第三層，絕大部分的交換機(jī)支持基于IP地址信息的訪問(wèn)控制。在第四層支持基于四層端口號(hào)的訪問(wèn)控制，也有廠商稱之為數(shù)據(jù)流的過(guò)濾，限制一些用戶的操作，比如說(shuō)非法的下載。這樣網(wǎng)絡(luò)管理員可以基于應(yīng)用來(lái)部署網(wǎng)絡(luò)內(nèi)的安全策略，方式更為靈活。比如說(shuō)在同一個(gè)交換機(jī)連接的用戶中，有些人不能訪問(wèn)Web站點(diǎn)，有些人不能下載MP3和視頻等等，而過(guò)去的交換機(jī)是無(wú)法做到的。   

按照李劍的說(shuō)法，新一代的交換機(jī)讓企業(yè)網(wǎng)變成了業(yè)務(wù)型的網(wǎng)絡(luò)，從而能夠?qū)崿F(xiàn)業(yè)務(wù)型的安全。而昨天的網(wǎng)絡(luò)是職能型的網(wǎng)絡(luò)，VLAN則是職能型的安全。   

還要提到的一點(diǎn)是，新一代的交換機(jī)在實(shí)現(xiàn)三層和四層的訪問(wèn)控制時(shí)，都是利用硬件完成的。這意味著交換機(jī)從四層信息的識(shí)別，到進(jìn)行控制、提供服務(wù)，所進(jìn)行的操作對(duì)交換機(jī)的性能應(yīng)該沒(méi)有太多的影響。   

在安全方面，新一代交換機(jī)大都支持與RADIUS服務(wù)器的連接，并結(jié)合了IEEE 802.1X技術(shù)，實(shí)現(xiàn)安全認(rèn)證。   

對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)，新一代的交換機(jī)可以將多種安全手段捆綁在一起，更有效的防止非法用戶的侵入，對(duì)網(wǎng)絡(luò)造成危害，實(shí)現(xiàn)端到端的安全控制。   

基于策略的網(wǎng)管   

基于對(duì)業(yè)務(wù)的智能識(shí)別，使用新一代的交換機(jī)，網(wǎng)絡(luò)管理人員可以基于統(tǒng)一的服務(wù)質(zhì)量策略和安全控制策略，在整個(gè)網(wǎng)絡(luò)中進(jìn)行部署。而且對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)，部署的工作更為簡(jiǎn)單。   

在網(wǎng)絡(luò)的邊緣實(shí)現(xiàn)四層交換之后，企業(yè)網(wǎng)絡(luò)將變得更可運(yùn)營(yíng)。對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)，對(duì)不同的業(yè)務(wù)、應(yīng)用制定服務(wù)和安全策略，在網(wǎng)絡(luò)中集中部署。我們看到大多數(shù)的交換機(jī)都支持配置的分發(fā)。李劍認(rèn)為未來(lái)在網(wǎng)絡(luò)中，可以通過(guò)后臺(tái)的策略服務(wù)器，更方便的在全網(wǎng)中實(shí)施服務(wù)質(zhì)量控制策略，就像ATM網(wǎng)絡(luò)那樣。   

新一代的交換機(jī)也提供了非常友善的配置頁(yè)面。陶欣認(rèn)為增加了對(duì)業(yè)務(wù)的識(shí)別，服務(wù)質(zhì)量的控制和更多的安全策略，就增加了邊緣交換機(jī)的配置難度，但是Cisco為新一代的交換機(jī)提供了更為方便的圖形化的配置軟件減輕難度。這樣的情況在其他公司提交的信息上也有體現(xiàn)。   

低廉的價(jià)格和高性能   

我們走訪的幾家公司都談到，新一代的交換機(jī)與過(guò)去網(wǎng)絡(luò)中處于同樣位置的二層接入交換機(jī)的價(jià)格相差不多。陶欣告訴記者Catalyst 3550和2950交換機(jī)與原來(lái)的35系列和29系列交換機(jī)價(jià)格相當(dāng)。   

我們?cè)诿襟w廣告上可以看到，3Com公司新推出了一款名為Super Stack 3 4400SE的交換機(jī)，唐勇告訴記者這款交換機(jī)與二層交換機(jī)的價(jià)格相差無(wú)幾，花一點(diǎn)錢用軟件升級(jí)的方式使交換機(jī)具備四層交換功能。陶欣告訴記者，Catalyst 2950系列交換機(jī)中也有類似可以通過(guò)軟件升級(jí)為四層的產(chǎn)品。   

新一代的交換機(jī)性能指標(biāo)都非常高，這從我們表格中配置那一欄就可以看得出來(lái)，交換機(jī)的交換能力都非常強(qiáng)。   

智能新紀(jì)元   

新一代的交換機(jī)帶來(lái)了企業(yè)網(wǎng)絡(luò)的革新，網(wǎng)絡(luò)以應(yīng)用為核心。交換機(jī)能夠智能的識(shí)別桌面應(yīng)用，根據(jù)應(yīng)用提供服務(wù)質(zhì)量。它使網(wǎng)絡(luò)管理人員能夠根據(jù)應(yīng)用在全網(wǎng)實(shí)施端到端的服務(wù)質(zhì)量控制策略，以及依據(jù)業(yè)務(wù)應(yīng)用的安全策略。   

四層交換到桌面也改變著網(wǎng)絡(luò)的模型。唐勇先生談到，四層交換到桌面，將減輕核心交換機(jī)的通信壓力，減輕用戶對(duì)核心交換機(jī)的依賴。核心交換機(jī)不用對(duì)應(yīng)用進(jìn)行識(shí)別，只要支持IP DiffServ和IEEE802.1P識(shí)別，并提供服務(wù)質(zhì)量就可以。另外，骨干交換機(jī)對(duì)每一個(gè)數(shù)據(jù)包識(shí)別到第四層，并且要保證全線速，成本要比邊緣高很多。四層交換到達(dá)桌面后，骨干交換機(jī)的功能將非常簡(jiǎn)單。   

李劍先生認(rèn)為，現(xiàn)在的網(wǎng)絡(luò)技術(shù)在吸收ATM的精髓，變成一個(gè)可以運(yùn)營(yíng)的網(wǎng)絡(luò)。另外，他反復(fù)提到企業(yè)網(wǎng)的通信模型在從職能型的網(wǎng)絡(luò)向業(yè)務(wù)型的網(wǎng)絡(luò)轉(zhuǎn)變。這一方面要求在邊緣實(shí)現(xiàn)智能，同時(shí)要求在網(wǎng)絡(luò)的分布層提供高性能的第三層交換。過(guò)去第三層交換是為了VLAN之間的通信，因?yàn)槁毮苄推髽I(yè)網(wǎng)的通信流量集中在VLAN內(nèi)部。今天，業(yè)務(wù)型的企業(yè)網(wǎng)，用戶有大量通信是訪問(wèn)整個(gè)企業(yè)的業(yè)務(wù)服務(wù)器，是跨VLAN的通信，需要在分布層提供第三層的交換。另外，三層網(wǎng)絡(luò)更穩(wěn)定，在發(fā)生網(wǎng)絡(luò)連接故障之后，三層的收斂速度超過(guò)2層的生成樹(shù)的收斂速度。

【編輯推薦】

1. 大勢(shì)所趨第四層交換器技術(shù)入門分析
2. 淺談第四層交換機(jī)技術(shù)及應(yīng)用