邊緣交換機各種功能詳解，介紹了邊緣交換機的各種功能。執(zhí)行QoS的能力，應(yīng)用智能交換機情況，調(diào)查指定接入速率的能力。如果網(wǎng)絡(luò)的邊緣設(shè)備將QoS、速率限制、ACL、PBR及sFlow集成到硬件芯片上，使得這些智能不致影響到基本二層、三層的線速轉(zhuǎn)發(fā)性能，那么端到端的智能網(wǎng)絡(luò)才得以大規(guī)模開展，從而使得整個網(wǎng)絡(luò)不僅擁有全局的連接能力，也同時擁有全局的網(wǎng)絡(luò)智能。

從過去到現(xiàn)在，網(wǎng)絡(luò)的設(shè)計理念一直存在著幾種不同的思路。就透通與智能這兩個重點來看，側(cè)重程度的不同就影響到網(wǎng)絡(luò)的設(shè)計：透通強調(diào)連接能力、簡單管理、價格低廉；智能強調(diào)控管和增值能力，因此多數(shù)復雜程度較高，成本也相對較高。其實設(shè)計并無高下，只取決于用戶的實際需求與經(jīng)費預算而已。

因此，網(wǎng)絡(luò)架構(gòu)可以是全二層的架構(gòu)，不過擴展度較差；也可以是全三層的架構(gòu)，不過價格較高；而大多的規(guī)劃會在兩者之間取得一定的平衡，這就產(chǎn)生了兩種不同的架構(gòu)——折疊式骨干網(wǎng)絡(luò)架構(gòu)與分散式骨干網(wǎng)絡(luò)架構(gòu)。其中，折疊式骨干將智能收縮到上層的匯聚設(shè)備上，而在下層的接入設(shè)備則只強調(diào)透通與線速。單從智能控管的角度來看，這是一種集中式的設(shè)計。

這兩種架構(gòu)在網(wǎng)絡(luò)邊緣上存在著重大差異。折疊式骨干多以二層交換作為邊緣，而分散式骨干多以三層交換作為邊緣。如果簡單地以交換或路由來判定網(wǎng)絡(luò)的智能，當然三層交換優(yōu)于二層交換。但是由于愈來愈多的業(yè)務(wù)在同一張網(wǎng)上開通，網(wǎng)絡(luò)的智能問題不再單純地以二層/三層來判定，更多時候，執(zhí)行QoS的能力、提供指定接入速率的能力、ACL（訪問控制列表）的安全屏蔽能力、網(wǎng)絡(luò)流量統(tǒng)計與監(jiān)控能力以及策略路由（PBR）的支持能力，都可以更有效地來判定網(wǎng)絡(luò)的智能。

因此，有了這樣一個概念，不管是折疊式骨干中的邊緣二層交換設(shè)備， 是分散式骨干中的邊緣三層交換設(shè)備，在眾多廠家的二層、三層交換設(shè)備中，用戶可以依據(jù)自己業(yè)務(wù)上的實際需要做出更為明確的選擇。

執(zhí)行QoS的能力

在多媒體業(yè)務(wù)中，數(shù)據(jù)、語音、圖像對時延、抖動、掉包的要求不盡相同。為了更好地執(zhí)行多媒體業(yè)務(wù)，用戶最好在數(shù)據(jù)包中加入相應(yīng)的QoS標記，邊緣交換機或者讀取QoS并加以執(zhí)行，或者對于不可信任的來源，采取重行分類、重行標記QoS并加以執(zhí)行的方式。QoS在過去有二層的CoS（服務(wù)等級）或三層的IP Precedence（IP優(yōu)先等級）的做法，而現(xiàn)在則強調(diào)差分服務(wù)（DiffSew）的支持能力。因此，邊緣交換機在端到端的QoS支持上，作為QoS的入站點或出站點，扮演著極為關(guān)鍵的角色。對DiffSew提供硬件支持能力是交換機關(guān)鍵功能之一。

指定接入速率的能力

固然千兆以太網(wǎng)的普及使得骨干有較為充裕的帶寬，但這種資源不是取之不盡、用之不竭的。而且采取使用者付費以管制邊緣帶寬的有效使用是最為可行的手段，因此，在邊緣交換機的接口上，不但要提供十兆、百兆的設(shè)定能力，更要提供基于端口、優(yōu)先等級、VLAN、ACL分類的速率限制能力，而且最好是入站或出站均能執(zhí)行速率限制，范圍由256k一直到千兆，粒度則以硬件芯片能以硬件處理的范圍為宜，一般而言在256k左右。

應(yīng)用智能交換機情況調(diào)查

這里必須特別強調(diào)，硬件處理是希望邊緣設(shè)備不會因為啟動速率限制而影響其線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力，這一點對邊緣設(shè)備來講是很重要的性能指標。有了完整的速率限制功能，而又不影響網(wǎng)絡(luò)的性能指標，才能有效地管理網(wǎng)絡(luò)的帶寬資源。

策略路由支持能力

一般路由不管是透過RIP、OSPF、BGP，還是MPLS標記協(xié)議，多是由目的地址來決定路由路徑，因此無法對網(wǎng)絡(luò)流量進行有效分流，或是對網(wǎng)絡(luò)流量制定策略。 然而，策略路由能力在現(xiàn)今多樣化的網(wǎng)絡(luò)環(huán)境中有時是必要的功能之一。

簡單舉例來說，在大型網(wǎng)絡(luò)運營商（NSP）的環(huán)境中，不同的用戶需要被連接到不同的Internet 運營商（ISP）中；或者在校園網(wǎng)中，作為教學研究的用戶必須被連接到高速的網(wǎng)絡(luò)出口，而宿舍網(wǎng)絡(luò)的用戶則通常被導引到較低速的出口，如此分流才不致影響到校園網(wǎng)的科研性能，同時經(jīng)由適當?shù)姆至鳎咚?低速出口均能分配到相應(yīng)的流量，從而使得帶寬的應(yīng)用得到有效分配。

想要達到這種分流的效果，一般路由是無法做到的，唯有透過策略路由（PBR），將源地址進行分類，并且制定其下一跳出口的IP地址才能達成，而這也是策略路由有別于一般路由之處：基于源地址信息執(zhí)行路由選徑，而不基于目的地址信息執(zhí)行路由選徑。

策略路由能做的不僅是依用戶的類別進行路由選徑及分流，更進一步，它也可以做到依業(yè)務(wù)的類別來指定路由或分流。其具體做法就是在進行分類時，不只看第三層的IP地址，更進一步看第四層的IP端口號，不同的業(yè)務(wù)導引到不同的路由。

比如對所有端口號80的HTTP數(shù)據(jù)流進行分類，并將其導引到特定的四層Web交換機或緩存服務(wù)器上，從而透過Web緩存機制，使得用戶的Web響應(yīng)時間得到大幅度提升，而且網(wǎng)絡(luò)出口的重復流量也得到大幅度緩解。以上的例子都只是策略路由的部分功能而已，實際上它的功能遠超過這些，策略路由因為可以直接在網(wǎng)絡(luò)下端設(shè)備指定，再透過中間設(shè)備的一般路由，到達指定的上端設(shè)備出口。

因此，它并不多是在中間的匯聚設(shè)備上啟動，更多時候為了更有效地分流效果，策略路由將在接入設(shè)備上啟動。跟ACL一樣，在需要策略路由的網(wǎng)絡(luò)設(shè)備上，不但要有完整而多樣化的策略路由支持功能，同時必須強調(diào)有硬件處理能力，才能在啟動的同時，仍然享有三層交換線速轉(zhuǎn)發(fā)的能力。

ACL的安全屏蔽能力

在網(wǎng)絡(luò)中，ACL不但可以讓網(wǎng)絡(luò)管理者用來制定網(wǎng)絡(luò)策略，對個別用戶或特定的數(shù)據(jù)流進行允許或者拒絕的控制，也可以用來加強網(wǎng)絡(luò)的安全屏蔽。從簡單的Ping to Death攻擊、TCP Sync攻擊，一直到更多樣化更復雜的黑客攻擊，ACL都可以起到一定的屏蔽作用。

ACL有標準ACL及擴展ACL（Extended ACL）兩種，不論邊緣是二層交換機還是三層交換機，最好都具備支持標準ACL及擴展ACL的能力，才能將網(wǎng)絡(luò)的安全屏蔽及策略執(zhí)行能力分散到網(wǎng)絡(luò)的邊緣。

跟速率限制一樣，網(wǎng)絡(luò)設(shè)備不但應(yīng)該能執(zhí)行完整的ACL功能，包括進站及出站，同時也必須強調(diào)由硬件處理的能力。如此，才能在啟動ACL的同時，不會影響到二層或三層交換設(shè)備線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力。

網(wǎng)絡(luò)流量統(tǒng)計與監(jiān)控能力

流量統(tǒng)計與監(jiān)控在網(wǎng)絡(luò)建設(shè)中已經(jīng)成為重要的一環(huán)。一個很簡單的思路就是，如果你無法看到網(wǎng)絡(luò)的整體流量，又如何能夠管理整個網(wǎng)絡(luò)？如果我們在提供高效能帶寬的同時，也能充分掌握網(wǎng)絡(luò)的流量信息，便可隨時調(diào)節(jié)網(wǎng)絡(luò)的資源與策略，使得網(wǎng)絡(luò)運行順暢，也使得網(wǎng)絡(luò)故障的排除變得簡單而快速。

所以在邊緣交換機網(wǎng)絡(luò)中，再提供一套完整的、覆蓋全網(wǎng)的、實時的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，就像是在縱橫交錯的高速公路網(wǎng)上處處加裝監(jiān)視攝像頭一般，讓交管人員采取有效的分流手段，同時也可透過完整的統(tǒng)計資料，對路由進行擴容及規(guī)劃提供重要的參考。

流量監(jiān)控與統(tǒng)計在過去因為受限于既有技術(shù)，多數(shù)只能以SNMP、RMON、RMON v2等技術(shù)實現(xiàn)部分功能，而且對網(wǎng)絡(luò)的帶寬占用或網(wǎng)絡(luò)設(shè)備的資源開銷造成相當程度的影響，所以通常無法覆蓋全網(wǎng)，無法實時監(jiān)控，無法在百兆、千兆甚至萬兆端口等高速網(wǎng)絡(luò)上執(zhí)行，這些都使得全網(wǎng)的監(jiān)控與統(tǒng)計無法達到令人滿意的表現(xiàn)。

最近又有NetFlow及sFlow（RFC3176）基于流的流量監(jiān)控與統(tǒng)計技術(shù)，出現(xiàn)在比較高端的網(wǎng)絡(luò)設(shè)備上，包括骨干、邊緣、二層設(shè)備、三層設(shè)備。這兩種技術(shù)基本上提供比較完整的流量信息，不過兩者之間依然有所區(qū)別：NetFlow更擴及IPX及AppleTalk，同時提供更多的信息，包括VLAN統(tǒng)計、MAC地址統(tǒng)計、BGP共同體統(tǒng)計等信息，因此邊緣交換機從統(tǒng)計及計費的角度來看，NetFlow可以提供更令人信服的資料，但相對的開銷及成本也高；

從統(tǒng)計及監(jiān)控的角度來看，sFlow提供更多的信息，對于流量分布的分析、流量的未來趨勢、異常流量的監(jiān)測、故障的發(fā)現(xiàn)與排除都可以在相對較低的開銷及成本下，通過硬件芯片以線速方式達成，sFlow因此可以直接內(nèi)建在邊緣的二層或三層交換設(shè)備上提供覆蓋全網(wǎng)、實時網(wǎng)絡(luò)監(jiān)控的功能。對整體網(wǎng)絡(luò)而言，這實在是相當吸引人的增值功能。同前面所說的功能一樣，sFlow流量統(tǒng)計與監(jiān)控功能也必須是硬件處理，才能不影響到網(wǎng)絡(luò)設(shè)備既有的二層或三層交換線速性能。

在組網(wǎng)的設(shè)計理念上，不管是采用集中式的折疊式骨干，從而強調(diào)采用透通的二層交換設(shè)備作為邊緣接入設(shè)備；或者是采用分散式骨干，從而強調(diào)采用智能的三層交換設(shè)備作為邊緣接入設(shè)備，其智能都不應(yīng)僅限于交換或路由能力的考慮，或是只強調(diào)線速交換或線速路由的能力，畢竟這一部分已經(jīng)是業(yè)界的標準，幾乎所有廠家的二層交換，三層路由設(shè)備都可以達到。

隨著邊緣交換機寬帶網(wǎng)絡(luò)、寬帶業(yè)務(wù)、多媒體應(yīng)用的發(fā)展，用戶更應(yīng)該關(guān)心的是端對端的網(wǎng)絡(luò)智能，以及硬件芯片的集成能力。如果在邊緣設(shè)備（不論是二層交換或三層路由交換設(shè)備）上，都極大程度地將服務(wù)質(zhì)量（QoS）、速率限制（Rating Limiting）、訪問控制列表（ACL）、策略路由（PBR）及流量監(jiān)控（sFlow）集成到硬件芯片上。

使得這些邊緣交換機智能不會影響到基本二層、三層的線速轉(zhuǎn)發(fā)性能，那么端到端的智能網(wǎng)絡(luò)才能得以大規(guī)模開展，從而使得整個網(wǎng)絡(luò)不僅擁有全局的連接能力（Connectivity），也同時擁有全局的網(wǎng)絡(luò)智能（Control）。有了這樣的概念，在眾多的邊緣交換設(shè)備上，用戶才可以對不同的產(chǎn)品有更清楚的定位與選擇。