交换机．路由器．防火墙-技术提升【1.9】

3. 延时

交换机延时（ Latency）也称为延迟时间，是指从交换机接收到数据包到开始向目的端口复制数据包之间的时间间隔，所采用的转发技术等因素均会影响延时。延时越小，数据的传输速率越快，网络的效率也就越高。特别是对于多媒体网络而言，较长的数据延迟，往往导致多媒体的短暂中断，所以交换机的延迟时间越短越好。

4. MAC 地址数

不同交换机每个端口所能够支持的 MAC 数量不同。在交换机的每个端口，都有足够内存（ Buffer）记忆多个 MAC 地址，从而“记住”该端口所连接站点的情况。由于 Buffer 容量的大小限制了这个交换机所能够提供的交换地址容量，所以当该端口所容纳的计算机数量超过了地址容量时，目的站的 MAC 地址将很可能并没有保存在该交换机端口的 MAC 地址表中，那么该帧即将以广播方式发向交换机的每个端口。当这种情况频频发生时，将在很大程度上影响网络中数据的传输效率。不过，对于接入层交换机而言，由于实施通信的计算机和网络设备的数量有限，所以只要能够记忆 1024 个 MAC 地址基本上就可以了，而一般的交换机通常都能做到这一点。

5. VLAN 表项

VLAN 的主要作用有两点，一是将大的网络划分为若干小的子网络，从而减少广播提高网络传输效率；二是提高网络安全性，控制用户对某个子网络的访问，有效地保护敏感数据。VLAN 表项限制了网络内可容纳的 VLAN 数量， 以及对 VLAN 访问控制的能力。如果 VLAN表项较小，将限制对 VLAN 的划分，从而不适宜于安全和应用较为复杂的网络。

6. 扩展方式

交换机扩展端口的方式有两种，一是级联，二是堆叠。采用级联方式时，交换机之间只能借助一个端口通信，从而使得交换机之间的连接成为网络瓶颈。采用堆叠方式时，借助于专用的模块和电缆，可以堆叠交换机间的高速无阻塞连接，并可实现统一配置与管理。显然，堆叠更适合为大量的计算机提供接入服务，通常被接入层交换机所采用。无论是二层的 Cisco Catalyst 2950/2960 系列，还是三层的 Cisco Catalyst 3550/3560 系列和 Catalyst 3850/3750 系列交换机，都是既支持级联又支持堆叠。图 3-25 所示为 Cisco Catalyst 2960-SF 系列交换机。

7. 链路汇聚

使用端口聚合协议，可以将多个端口绑定在一起，从而成倍地增加连接带宽，并实现链路备份，以及端口间的负载均衡，保证交换机在几秒钟内快速从失败中恢复。

链路汇聚技术是将多台设备之间的多条物理链路捆绑为一个逻辑链路，使得该逻辑链路的容量为所有物理链路的容量之和。同时，当其中一条物理链路中断时，整个逻辑链路也不会中断，大大地提高了网络连接的可靠性。因此，链路汇聚技术也经常被用于接入层交换机与汇聚层交换机之间，尤其是没有千兆位级联的端口的交换机，在提高向上级联带宽的同时，还可以提高网络的稳定性和可用性。图 3-26 所示为只拥有 1000 Mbps 端口的 Cisco Catalyst 接入交换机与汇聚交换机之间采用 4 条链路绑定， 从而实现接入层交换机与汇聚层交换机之间 4000 Mbps 的连接带宽，保证了所连接计算机与网络骨干的高速连接。

8. 管理功能

应用于大中型网络中的交换机应当都拥有管理功能，并且能够被第三方管理软件所管理。可网管交换机借助 VLAN、扩展树、 QoS、端口聚合等，用于实现广播域的划分、冗余链路的智能选择、服务质量控制，以及将若干端口绑定在一起以成倍地增加网络带宽，从而适应大中型网络对网络安全、网络应用、网络控制和网络管理的需要。

3.3 交换机的选择策略

针对不同的网络需求和投资额度，可以选择不同型号的网络设备，以满足用户对连接带宽、转发速度、稳定性和安全性等不同的需求。

3.3.1    可网管交换机的选择

可网管交换机通常拥有独立的操作系统，可以借助配置启用一些高级的网络功能，从而实现网络的稳定运行、访问安全，以及复杂的网络应用。通常情况下，可为其指定管理 IP 地址信息，从而实现远程管理，甚至使用网管软件进行统一配置、监视和管理的交换机。 CiscoCatalyst 系列交换机全部为可网管交换机（如图 3-27 所示）。

1. 可网管交换机的特点

可网管交换机具有以下特点。

 提高网络稳定性。傻瓜式交换机不能构建冗余网络，否则将由于存在拓扑环而导致网络瘫痪。由于没有线路冗余，所以当线路、设备或模块损坏后，就有可能导致某一部分网络、甚至是整个网络的通信中断。可网管交换机借助 Spanning Tree（扩展树）和 EtherChannel 等技术，不仅可以实现链路的冗余，甚至可以成倍地增加设备之间（交换机之间、交换机与路由器之间、交换机与服务器之间）的连接带宽，并实现网络负载均衡，从而确保了网络运行的稳定。

 提高网络安全性。傻瓜交换机没有任何安全性可言，而可网管交换机可使用 VLAN（虚拟网）、 PVLAN（专有虚拟网）和 ACL（访问列表）等多种方式，将不同部门的网络隔离开来，拒绝某些用户对敏感数据的访问，从而保障数据的存储和访问安全。另外，借助于访问列表，还可以有效地拒绝蠕虫病毒的传播，限制某些用户的访问权限，从而进一步保证了网络安全。

 提高网络传输效率。当网络内的计算机数量足够多，并且使用的网络协议也足够多时，会产生大量的广播包，从而严重影响网络的传输效率。借助于可网管交换机的 VLAN功能，可以将一个网络划分为若干逻辑子网，缩小广播域的范围，从而提高整个网络的传输效率。而傻瓜交换机只能划分碰撞域，却无法划分广播域，从而不能用于单独构建计算机数量多于 150 台的网络。

 支持复杂网络应用。可网管交换机全面支持QoS（服务质量），可以根据数据传输的不同类型，由管理员指定数据传输的优先级别，从而确保了视频会议、 IP 电话等实时传输的网络应用的需要。在由傻瓜交换机构建的网络中，无论什么数据都要依次排除等待，从而无法适应多媒体等特殊的网络应用。如图 3-28 所示为支持无线网络和 VoIP 语音电话的 Cisco Catalyst 4500-E 交换机。

 支持远程监视与管理。一旦为可网管交换机配置了 IP 地址，就可以实现对该交换机的远程监视、配置和管理。对于大中型网络而言，这一点非常重要。这也就意味着，网管只需坐在自己的计算机前，就可以实现对网络中所有交换机的管理，了解交换机的运行状态，并根据需要修改交换机的配置。许多可网管交换机不仅可以借助网管软件（如 HP OpenView、 CisocWorks）进行统一管理，甚至可以将由若干交换机构成的堆叠当做一台交换机管理，从而降低了管理的难度与强度。

2. 可网管交换机的应用

虽然可网管交换机与不可网管交换机在外观上基本没有差别，但由于性能和功能上的差别，可网管交换机的价格往往是傻瓜交换机价格的 5 倍甚至更高。所以，可网管交换机通常都被用于比较重要的位置。当然，如果资金比较充裕，也可以在整个网络中都使用可网管交换机，从而实现对网络中每一台计算机的访问控制。可网管交换机在网络中的应用如图 3-29所示。

 核心层交换机。作为网络核心和枢纽的核心层交换机必须选用可网管交换机，而且应当选用三层可网管交换机。原因很简单，所有的网络应用和网络安全都必然会经过核心交换机，因此核心交换机从根本上决定着网络性能，以及所能提供的网络应用。另外，每个大中型网络都需要配置 VLAN，而 VLAN 之间的通信必须借助三层设备才能实现，三层交换机则被用于实现 VLAN 之间的线速转发。

 汇聚层交换机。汇聚层交换机大多被放置于每栋建筑物，用于连接接入层交换机。一栋建筑内往往拥有多个部门、需要实现各种不同的网络应用。因此，若欲实现与核心交换机的冗余连接，保障网络连接的稳定；实现 VLAN 划分，实现网络访问的安全；就必须采用可网管交换机。

 重要的接入层交换机。接入层交换机用于直接连接计算机。如果交换机所连接的计算机都属于同一类型的用户，并且彼此之间没有对数据访问的限制，那么完全可以采用傻瓜交换机。相反，如果所连接的用户对网络安全有着较高的要求，或者网络应用比较复杂，必须实现对交换机每个端口的控制，那么就必须采用可网管交换机。

3. 选购时应当考虑的问题

不同位置、不同环境、不同应用需要不同的网管交换机。因此，在选购可网管交换机时，应当考虑以下问题。

 所处位置。不同位置应当选用不同的可网管交换机。中心交换机应当选择模块化的四层或三层交换机，汇聚层交换机建议选择高性能的、固定配置的三层交换机，而工作组交换机则一般选择二层交换机，网络应用较为复杂、安全性要求严格、对传输性能要求较高的接入层交换机，也可选择中低端的三层交换机。

 网络应用。不同的网络应用决定着所需设备的性能。性能越高的交换机自然价格也就越高，因此不要盲目追求高性能，而应当根据网络应用、数据流量等诸多因素，选择最适合网络应用的、最具性价比的交换机。当然，适当地性能冗余还是必须的。

 所处环境。在选购交换机时，不能将它们相互割裂开来，而应当综合地、联系地进行考虑。考虑下级交换机是否支持上级交换机的功能与应用，考虑上下级交换机在性能上应有的差别，考虑上下级交换机端口的类型与数量，考虑传输距离、网络带宽和通信线缆，从而使所有交换机相互协调，达到彼此之间的最佳组合。

 设备兼容性。尽管不同的可网管交换机大多遵守相同的国际标准，但每个厂家都有一些特殊的协议，并且使用不同的网络管理软件，因此，若欲实现对可网管交换机的统一管理，实现各种复杂的网络应用，达到性能最优化，就应当尽量选择同一厂商的产品。

 设备性能。设备性能也是在选购交换机时必须注重的因素。其中，背板带宽、转发速率、 VLAN 数量、 MAC 地址数量、插槽数量、支持的端口类型、堆叠层数等参数，都必须根据交换机所处的位置与网络应用确定。

3.3.2    不同位置交换机的选择

1. 核心层交换机的选择

局域网络绝大部分的流量都是对网络服务器和 Internet 的访问，而服务器和 Internet 设备往往都直接连接在核心层交换机上，或者通过核心交换机再连接到汇聚交换机上。因此，作为网络核心的核心层交换机无时无刻不在承受着巨大的流量压力，其处理性能将决定着整个网络的传输效率。因此，对核心层交换机的选择也就显得尤其重要。 Cisco 的 Catalyst 6800 系列、Catalyst 6500 系列、 Catalyst 4900 系列和 Catalyst 4500 系列，均可以分别充当大中型网络中的核心层交换机。

选择核心层交换机时，应当注重考察以下几个参数。

 扩展能力

核心层交换机应当全部采用模块化结构，必须拥有相当数量的插槽，具有强大的网络扩展能力，以保护原有的投资，在网络扩展或应用需求发生变化时，只需更换或添加线卡或模块即可满足新的需求。毫无疑问，模块化结构拥有更强劲的性能、更大的灵活性和可扩充性，可以根据现实的或未来的需要选择不同数量、不同速率和不同接口类型的模块，以适应千变万化的网络需求。

 处理性能

由于网络内 80%的数据流量都发生在核心层交换机上，因此，核心层交换机应当拥有强劲的处理能力，即拥有较高的背板带宽和转发速率，以保证数据的无阻塞转发和路由。否则，核心层交换机就会成为整个网络的瓶颈。如图 3-30 所示为 Cisco Catalyst 4500-E Supervisor Engine 8-E 管理引擎，提供高达 928 Gbps 的背板带宽，每插槽 48 Gbps 无阻塞传输， 8 个无阻塞 10 Gbps 上行链路。同时，还内置有无线控制器，支持高达 20 Gbps 无线吞吐量， 50 个无线访问点， 2000 个无线客户端。

 多层交换

核心层交换机应当同时支持三层交换和四层交换。

三层交换用于实现局域网络中 VLAN 之间的线速转发。虚拟网的主要作用有两点，一是将大的网络划分为若干小的子网络，从而减少广播提高网络传输效率；二是提高网络安全性，控制用户对某个子网络的访问，有效地保护敏感数据。由于虚拟 VLAN 之间无法直接通信，因此必须借助于拥有路由功能的三层交换机，以硬件方式可以实现虚拟网之间的线速转发，解决虚拟网之间的传输瓶颈，从而可以有效地解决网络安全和传输效率的问题，使虚拟网络的广泛应用成为可能。

四层交换用于实现对网络服务的快速访问。在四层交换中，决定传输的依据不仅仅是 MAC地址（ OSI 模型第二层）或源/目标 IP 地址（ OSI 参考模型第三层），而且包括 TCP/UDP（ OSI参考模型第四层）应用端口号，被设计用于高速 Intranet 应用。四层交换除了负载均衡功能外，还支持基于应用类型和用户 ID 的传输流控制功能。

 冗余能力

冗余能力是网络安全运行的保证。任何厂商都不能保证其产品在运行的过程中不发生故障。而故障发生时能否迅速切换就取决于设备的冗余能力。对于核心层交换机而言，重要部件都应当拥有冗余能力，比如管理引擎冗余、电源冗余、风扇冗余等（如图 3-31 所示）。另外，还必须支持链路冗余和路由冗余，这样才能在最大程度上保证网络稳定运行。