顧名思義，安全是安全交換機最大的特點，接下來我們主要講解安全交換機中的參數表，了解一下其與普通交換機的內在區(qū)別。用戶在選擇交換機的時候，會看一下它的功能列表。然而，把不同品牌安全交換機的功能列表放在一起比較，就好像是一堆同卵多胞胎，它們長得簡直一模一樣。

其實，它們還是有不小區(qū)別的。同事在測試安全產品時想鏡像兩個交換機端口的流量，但該安全交換機只能同時鏡像一個端口。在功能列表“是否支持端口鏡像”這一欄目里這款安全交換機填寫的是“支持”。

我曾經給用戶組網時用到了生成樹負載均衡，后來當拿到另外一款交換機時，它的“兵器譜”上也注明了支持多個生成樹組。可后來發(fā)現，盡管能夠創(chuàng)建不少棵生成樹，但是承載了多個VLAN信息的Trunk端口卻只能放在一個生成樹里。能用生成樹做的，只是冗余。

現在常見的三層交換機沒一個舉手說“我不支持VRRP”?？墒牵械闹荒馨褍膳_交換機的相關端口放到同一個VLAN中，因為VRRP報文是廣播包?？捎械木椭С址荲LAN內的冗余，兩個路由端口間照樣可以傳送VRRP信息。前者提供了更少的選擇，但它并沒有體現在功能表中。

如果說哪臺安全交換機說自己在防DoS攻擊上束手無策的話，就目前的形勢，它非得爛在庫房里不可。那么，一臺“安全交換機”擺在你面前，它到底為安全奉獻了多少呢？有的交換機拋棄了流轉發(fā)機制，從根本上使多種DoS攻擊變得不值一提，但它的硬件成本也隨之提高了。有的交換機則通過ACL接收某個合法地址的流量，其余統統丟掉。這樣的做法聽起來就感覺會影響到網絡的靈活性，配置起來也足夠麻煩，和前面那種“安全交換機”比起來簡直是走另個極端。還有的交換機可以做某種流量的限速，可以做反向地址解析，可以限制從某個端口學來的MAC地址數目，可以設置掃描某些IP網段的閾值，廠商頗費了一番心思。另外您肯定不喜歡那些不可以看CPU利用率、不可以發(fā)郵件告警的“安全交換機”。所以對于“安全”二字要用戶仔細去辨別。

有的用戶買一個廠商的網絡解決方案就是看上了該公司的網管。同樣，買三層交換機有人就喜歡它的Web管理界面，能看到交換機面板，能在面板上做常見的操作。這種手段常常是基于Java的。不同廠商的做法有所不同，有的根本就不適合在網絡高峰期使用。

也沒有哪臺三層交換機愿意承認自己不支持“QoS”，事實也如此，大家都支持。只不過力度有區(qū)別而已。但這區(qū)別就有可能使您的QoS計劃泡湯。支持的隊列越少，QoS實現的區(qū)別對待就越粗糙。排隊算法越少，支持的QoS場景就越單一。在大家都在表格里注明“支持DiffServ”時，這些就是需要仔細看一看的內容了。

所有項目做得都不錯的機器價格一般也都高人一籌，選擇安全交換機時，既要滿足當前，最好也能適應將來。但是，我覺得還是要果斷地拋棄自己不會用到的東西。我想，IPv6和BGP有些人是不必理睬的，說不定，在一個小型網絡中，OSPF都顯得多余。QoS可能你也不需要太多，假如你開展了視頻會議，為組播源做端口限速來保障帶寬就是一種常見的做法。雖然這樣配置，會導致組播源“休息”時帶寬閑置，但畢竟這對安全交換機的要求降低了，且網絡未必受影響。

不是建議您買身材最“消瘦”或最“強壯”的交換機，而是想告訴您，在大家面孔相像時，想好自己看重哪些項目，不必對自己沒用的功能買單，而自己想買的那部分，看看它是不是打了折扣。