2.5 交换机的选择策略

了解交换机的相关参数后，接下来要做的就是如何选择一款适合自己网络环境的高性价比交换机。任何设备都是如此，最贵的未必就是最适合的。假如将一款功能强大的三层交换机用作接入层交换机，如果开启管理功能，则无疑会给管理员的统一管理带来麻烦，如果用作傻瓜交换机，又是一种资源浪费。总而言之，网络环境需求是选购交换机的首要要素之一。

>>>2.5.1 核心交换机的选择

局域网络绝大部分的流量都是对网络服务器和Internet的访问，而服务器和Internet设备往往都直接连接在核心层交换机上，因此，作为网络核心的核心层交换机无时无刻不在承受着巨大的流量压力，其处理性能将决定着整个网络的传输效率。因此，对核心层交换机的选择也就显得尤其重要。Cisco的Catalyst 6500系列和Catalyst 4500系列交换机均可分别充当大中型网络中的核心层交换机。

1.扩展能力

核心交换机应当全部采用模块化结构，且必须拥有相当数量的插槽，同时具有强大的网络扩展能力，以保护原有的投资，在网络扩展或应用需求发生变化时，只需更换或添加模块即可满足新的需求。毫无疑问，模块化结构拥有更强劲的性能、更大的灵活性和可扩充性，可以根据现实的或未来的需要选择不同数量、不同速率和不同接口类型的模块，以适应千变万化的网络需求。

2.性能参数

由于网络内80%的数据流量都发生在核心层交换机上，因此，核心层交换机应拥有强劲的性能，即拥有较高的背板带宽和转发速率，以保证数据的无阻塞转发和路由，否则，核心层交换机就会成为整个网络通信的瓶颈。

3.VLAN支持

在网络中应广泛支持多种VLAN划分方式，从而划分广播域，保障网络的访问安全。基于端口的VLAN将端口静态地划分至不同VLAN，适用于连接交换机或台式机；支持基于MAC地址的VLAN，便于根据计算机的MAC地址动态地划分VLAN，适用于移动计算机的灵活接入。另外，还应支持私有VLAN（Private Virtual Local Area Network，PVLAN），实现端口之间相互隔离，仅可通过上联端口访问到企业网络或借助三层交换实现路由转发。PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的，而且采用PVLAN技术有助于网络的优化。

4.三层交换

三层交换用于实现局域网络内部中VLAN之间线速转发。虚拟局域网的主要作用有两点，一是将大的网络划分为若干小的子网络，从而减少广播提高网络传输效率；二是提高网络安全性，控制用户对某个子网络的访问，有效地保护敏感数据。由于虚拟VLAN之间无法直接通信，因此，必须借助于拥有路由功能的三层交换机，以硬件方式实现VLAN之间的线速转发，解决VLAN之间的传输瓶颈，从而有效地解决网络安全和传输效率的问题。

5.四层交换

第四层交换用于实现对网络服务的快速访问。在四层交换中，决定传输的依据不仅仅是MAC地址（OSI模型第二层）或源/目标IP地址（OSI模型第三层），而且包括TCP/UDP（OSI模型第四层）应用端口号，被设计用于高速Intranet应用。四层交换除了负载均衡功能外，还支持基于应用类型和用户ID的传输流控制功能。此外，四层交换机直接安放在服务器前端，了解应用会话内容和用户权限，因而使之成为防止非授权访问服务器的理想平台。

6.模块冗余

冗余能力是网络稳定运行的保证。任何厂商都不能保证其产品在持续运行的过程中不发生故障，而故障发生时能否迅速切换则取决于设备的冗余能力。对于核心层交换机而言，重要部件都应拥有冗余能力，如管理模块冗余、电源冗余、风扇冗余等（如图2-50所示），这样才可以在最大限度地保证网络稳定运行。

7.链路冗余

借助生成树协议（Spanning Tree Protocol，STP），核心交换机可以在网络设备之间创建多条冗余链路，其中只有一条链路用于正常通信，其他链路则处于警戒状态。当一条链路发生故障后，另外一条链路迅速接替其工作，从而保障网络的畅通。

生成树的产生源于链路的冗余连接。在大中型网络中，与主干网和服务器的连接是非常重要的，而端口或交换机的损坏却是不可避免的。为了保证在一条链路损坏之后，还能有其他的链路保持连接，就需要采用冗余链接。冗余链接固然增加了系统的安全性，但同时也带来了另外一个问题，那就是拓扑环。借助生成树协议可以在网络中只保留一条最优链路，阻塞其他链路并将其作为备份，从而消除拓扑环，并在原有链路发生故障后，迅速启用备用链路。另外，使用该协议也可有效防止因错误连接而导致的拓扑环。

8.路由冗余

利用HSRP（热备份路由协议）和VRRP（虚拟路由冗余协议）协议可以实现核心设备的负载分担和热备份，在核心层交换机和双汇聚交换机中的某台交换机出现故障时，迅速切换三层路由设备和虚拟网关，达成双线路的冗余备份，从而保证整个网络的稳定性。

由于核心交换机往往支持三层路由技术，因此，可以借助三层路由的热备份技术来大幅提高网络的可靠性。在一个三层路由完全不能工作的情况下，其全部功能便被系统中的另一个备份路由完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（如图2-51所示）。

9.路由表项

三层交换用于实现VLAN之间的连接。借助于三层交换可以实现VLAN之间的线速连接，解决VLAN之间的传输瓶颈。路由表项限制了路由表的大小，对于网络结构复杂、需要设置大量静态路由或各种访问列表的核心交换机而言，路由表项也将在很大程度上决定着网络安全和应用。

10.路由协议

除了支持静态IP路由外，核心交换机还应支持支持广泛的IP路由协议，如开放最短路径优先（Open Shortest Path First，OSPF）、路由信息协议（RIP与RIP2，Router Information Protocol）、边界网关协议（Border Gateway Protocol，BGP）、中间协议（Intermediate System，IS-IS）、Internet组管理协议（Internet Group Management Protocol，IGMP）、组播注册协议（Group Multicast Registration Protocol，GMRP）、PIM（Protocol Independent Muiticast）、组播边界网关协议（Muticast Border Gateway Protocol，MBGP）以及互联网分组交换（IPX）和AppleTalk软件路由，从而支持复杂的网络拓扑和应用。

11.QoS

QoS（Quality of Service，服务质量）机制具有能够识别通过交换机数据包的特征（如端口、VLAN成员、TOS、MAC地址、IP地址或子网、TCP带宽等），可根据流量的不同类别采取不同的传输策略。QoS对于多媒体传输的意义也很重大，在实现视频点播、视频会议等多媒体信息应用时，三层交换机应拥有QoS控制功能，为不同的应用程序分配不同的带宽。

12.安全性能

核心层交换机应支持IEEE 802.1x基于端口的访问控制，支持本地和远端认证、EAP终结或者透传，支持RADIUS和TACACS+认证，支持MAC访问列表、IP访问列表和VLAN访问列表支持私有VLAN。可实现基于时间段控制，并限制每端口最大用户数。图2-52所示为Cisco Catalyst交换机认证方式的设置界面。

13.技术潜力

核心交换机的技术潜力主要体现在对万兆以太网和IPv6的支持。

➢ 所谓万兆以太网，其实就是10Gbps以太网。随着多媒体技术应用的不断扩大，以及千兆端口的不断增加，核心层交换机与汇聚层交换机之间的连接将逐渐成为网络的瓶颈，因此，10Gbps技术就成为必需。所以，核心交换机应提供对万兆以太网的支持。

➢ IPv6有许多优良的特性，尤其在IP地址量、安全性、服务质量、移动性等方面优势明显。采用IPv6的网络将比现有的网络更具扩展性、更安全，更容易为用户提供质量服务。目前，中国IPv6标准化工作已经启动，并且已经建成了试验性质的CERNET 2。因此，提供对IPv6的支持是技术发展的必然要求。

>>>2.5.2 汇聚层交换机的选择

由于汇聚层交换机通常只用于连接同一座建筑内的工作组交换机，或者用于连接网络服务器，因此，对端口数量通常没有太多的要求。但是，对端口速率、背板带宽、网络功能等要求较高，以获得高速、稳定的网络骨干。Cisco的Catalyst 4900系列和Catalyst 3750系列交换机均可以充当楼宇或部门的汇聚交换机。

1.背板带宽

背板带宽作为交换机的重要参数之一决定着能否实现二层交换的线速转发。对于一些规模较小的网络而言，汇聚层往往采用二层交换机，其主要作用就是将接入层交换机的数据转发至核心层交换机，因此，判断交换机能否胜任其工作，主要考察的性能参数就是其背板带宽。例如，Cisco Catalyst 3560G系列有4款产品（如图2-53所示），分别Catalyst 3560G-48TS、Catalyst 3560G-48PS、Catalyst 3560G-24TS和Catalyst 3560G-24PS，分别拥有48或24个10/100/1000Mbps端口和4个基于SFP的千兆以太网端口，合计有42或28个1000Mbps端口，而其背板带宽为32Gbps，因此，对于Catalyst 3560G-24TS和Catalyst 3560G-24PS而言，基本上可以满足线速交换的需要。但是，对于Catalyst 3560G-48TS、Catalyst 3560G-48PS而言，则背板带宽显然有些“捉襟见肘”。

2.三层交换

对于较大规模的网络，为了减轻核心层交换机的负担，部分汇聚层交换机往往采用三层交换机，从而实现楼宇内或部门内的数据交换。特别是对于那些划分为若干VALN，同时，大量访问就发生在楼宇内或部门内的子网而言，汇聚层交换机选用拥有三层交换技术的设备就显得更有必要。需要注意的是，当汇聚层采用三层交换机时，汇聚层与核心层之间的端口将不能再配置为VLAN Trunk端口，而只能配置为路由端口，如图2-54所示。

3.链路汇聚

汇聚层交换机作为核心层交换机和接入层交换机的桥梁，起着承上启下的重要作用。如果接入层交换机没有提供千兆以太网端口，则为了避免向上级联时产生网络瓶颈，采用链路汇聚成倍地增加网络带宽是唯一正确的选择。同时，为了保证汇聚交换机与核心交换机连接的高速和稳定，采用链路汇聚技术，不仅可以增加网络带宽，而且还可以避免由于端口或链路故障而导致的通信失败。

4.端口类型

汇聚层交换机对网络端口具有以下要求：

➢ 汇聚层交换机必须提供多个千兆以太网端口。

➢ 汇聚层交换机应当具有较多的光纤端口、GBIC插槽或SFP插槽。如果与接入层交换机距离非常近（例如就安装在一个机柜中），并且电磁干扰并不严重，也可以选择采用RJ-45端口。

➢ 为了避免在上行链路中产生网络瓶颈，在投资额允许的情况内，可以选择拥有10Gbps端口的产品。

>>>2.5.3 接入层交换机的选择

接入层交换机用于直接连接计算机或其他网络终端，因此，对性能要求往往并不太高，只是需要数量的RJ-45端口。Cisco的Catalyst 2950、Catalyst 2960和Catalyst 2970系列以及安装SMI版本IOS系统的Catalyst 3550和Catalyst 3560系列，均可作为接入交换机。

1.端口类型

汇聚层交换机对网络端口具有以下要求：

➢ 接入层交换机通常只用来连接计算机或其他网络终端，而且就目前情况来看，100Mbps速率完全可以胜任所有的网络需求，同时，水平布线和工作区布线全部采用双绞线，因此，其主要端口应是100Base-TX端口。

➢ 交换机端口数量越多，则所连接的计算机数量越多，同时浪费的端口数量就越少。所以，通常情况下，应当选择24口或48口，以减少交换机的使用量。

➢ 为了保证所连接的设备能够无阻塞地访问骨干网络，接入层交换机还应当拥有少量（1～4个）GBIC、SFP插槽或1000Base-T等1000Mbps端口。端口类型视与汇聚交换机的连接距离及垂直布线所采用的传输介质（光纤还是双绞线）以及电磁干扰的强度而定。

图2-55所示的Cisco Catalyst 2960系列交换机均拥有两个或4个千兆以太网端口和24个或48个100 Mbps端口，因此，其既可以连接大量的计算机终端，又可以实现与汇聚层交换机的高速连接。同时，还可以选择使用SFP插槽或RJ-45端口，以适应光纤链路和双绞线链路，从而拥有较大的灵活性，因此，该系列交换机应当作为接入层交换机的当然之选。

2.延扩方式

当接入的计算机数量非常多（如学生机房、营业大厅等场所）且垂直布线汇聚交换机的端口数量又有限时，往往只能采用堆叠或级联的方式实现接入层计算机之间的连接。如果大量访问都产生在子网内部，则建议选择可以堆叠的交换机。若此时选择不可堆叠交换机，则需借助级联方式实现彼此之间的连接。Cisco Catalyst 2950、Catalyst 2960、Catalyst 2970、Catalyst 3550、Catalyst 3560和Catalyst 3750系列均可实现彼此之间的堆叠。

3.网络管理

如果网络对传输性能和网络安全要求较高，那么，接入层交换机应全部采用可网管交换机，从而实现对每个网络端口和每台交换机的管理。当然，这是以高投入作为代价的。通常情况下，可网管交换机的价格为傻瓜交换机的2～5倍。

事实上，对于一些普通接入的计算机用户（如学生机房、网吧等场所），只需采用少量可网管交换机，然后，将其他不可网管交换机分别级联在可网管交换机上，从而实现对网络用户的分组（连接至同一傻瓜交换机上的计算机为一组）管理，获得最佳性价比。图2-56所示为D-Link DES-1024D傻瓜交换机。

>>>2.5.4 可网管交换机的选购

可网管交换机通常拥有独立的操作系统，可以借助配置启用一些复杂的网络功能，从而实现网络的稳定运行、访问安全以及复杂的网络应用。通常情况下，可为其指定IP地址信息，从而实现远程管理，甚至使用网管软件进行统一配置、监视和管理的交换机。

1.可网管交换机的特点

可网管交换机具有以下特点：

➢ 提高网络稳定性。由于傻瓜化交换机不能构建冗余网络，否则将由于存在拓扑环而导致网络瘫痪。由于没有线路冗余，所以当线路、设备或模块损坏后，就有可能导致某一部分网络甚至是整个网络的通信中断。可网管交换机借助Spanning Tree（扩展树）和EtherChannel等技术，不仅可以实现链路的冗余，甚至可以成倍地增加设备之间（交换机之间、交换机与路由器之间、交换机与服务器之间）的连接带宽，并实现网络负载均衡，从而确保网络运行的稳定。

➢ 提高网络安全性。傻瓜交换机没有任何安全性而言，而可网管交换机可使用VLAN、PVLAN和ACL（访问列表）等多种技术将不同部门的网络隔离开，拒绝某些用户对敏感数据的访问，从而保障数据的存储和访问安全。另外，借助于访问列表，还可以有效地拒绝蠕虫病毒的传播，限制某些用户的访问权限，从而进一步地保证网络安全。

➢ 提高网络传输效率。当网络内的计算机数量足够多，并且使用的网络协议也足够多时，会产生大量的广播包，从而严重影响网络的传输效率。借助于可网管交换机的VLAN功能，可以将一个网络划分若干逻辑子网，缩小广播域的范围，从而提高整个网络的传输效率。而傻瓜交换机只能划分碰撞域，却无法划分广播域，从而不能用于单独构建计算机数量多于150台的网络。

➢ 支持复杂网络应用。可网管交换机全面支持QoS（服务质量），可以根据数据传输的不同类型，由管理员指定数据传输的优先级别，从而确保视频会议、IP电话等实时传输的网络应用需要。在由傻瓜交换机构建的网络中，无论什么数据都要依次排除等待，从而无法适应多媒体等特殊的网络应用。

➢ 支持远程监视与管理。一旦为可网管交换机配置了IP地址，就可以实现对该交换机的远程监视、配置和管理。对于大中型网络而言，这一点非常重要。这也就意味着，网管只需坐在自己的计算机前，就可以实现网络中所有交换机的管理，了解交换机的运行状态，并根据需要修改交换机的配置。许多可网管交换机不仅可以借助网管软件（如HP OpenView、CiscoWorks）进行统一管理，甚至可以将由若干交换机构成的叠堆当作一台交换机管理，从而减小了管理的难度与强度。

2.可网管交换机的应用

虽然可网管交换机与不可网管交换机在外观上基本没有差别，但是，由于性能和功能上的差别，可网管交换机的价格往往是傻瓜交换机价格的5倍，甚至更高。所以，可网管交换机通常都被用于比较重要的位置。当然，如果资金比较充裕，也可以在整个网络中都使用可网管交换机，从而实现对网络中每一台计算机的访问控制。可网管交换机在网络中的应用如图2-57所示。

可网管交换机通常用于如下网络位置：

➢ 中心交换机。作为网络核心和枢纽的中心交换机必须选用可网管交换机，而且应选用三层可网管交换机。原因很简单，所有的网络应用和网络安全都必然会经过中心交换机，因此，中心交换机从根本上决定着网络性能以及所能提供的网络应用。另外，每个大中型网络都需要配置VLAN，而VLAN之间的通信必须借助三层设备才能实现，三层交换机则被用于实现VLAN之间的线速转发。

➢ 汇聚层交换机。汇聚层交换机大多被放置于每栋建筑物中，用于连接工作组交换机。一栋建筑内往往拥有多个部门，需要实现各种不同的网络应用。因此，若欲实现与中心交换机的冗余连接，保障网络连接的稳定，实现VLAN划分，实现网络访问的安全，就必须采用可网管交换机。

➢ 重要的工作组交换机。工作组交换机用于直接连接计算机。如果交换机所连接的计算机都属于同一类型的用户，并且彼此之间没有对数据访问的限制，那么，完全可以采用傻瓜交换机。相反，如果所连接的用户对网络安全有着较高的要求，或者网络应用比较复杂，必须实现对交换机每个端口的控制，那么，就必须采用可网管交换机。

3.选购时应当考虑的问题

不同位置、不同环境、不同应用需要使用不同的网管交换机。因此，在选购可网管交换机时，应当考虑以下问题：

➢ 所处位置。不同位置应当选用不同的可网管交换机。中心交换机应当选择三层交换机，汇聚层交换机建议选择高性能二层交换机（如果网络规模较大，也可以选择三层交换机），而工作组交换机则应当选择普通二层交换机。

➢ 网络应用。不同的网络应用决定着所需设备的性能。性能越高的交换机自然价格也就越高，因此，不要盲目追求高性能，而应当根据网络应用、数据流量等诸多因素，选择最适合网络应用、最具性价比的交换机。

➢ 所处环境。在选购交换机时，不能将它们相互割裂开来，而应当综合、有联系地进行考虑，包括：考虑下级交换机是否支持上级交换机的功能与应用；考虑上下级交换机在性能上应有的差别；考虑上下级交换机端口的类型与数量；考虑传输距离、网络带宽和通信线缆，从而使所有交换机相互协调，达到彼此之间的最佳组合。

➢ 设备兼容性。尽管不同的可网管交换机大多遵守相同的国际标准，但是，每个厂家都有一些特殊的协议，并且使用不同的网络管理软件，因此，若要实现对可网管交换机的统一管理，实现各种复杂的网络应用，达到性能最优化，就应当尽量选择同一厂商的产品。

➢ 设备性能。设备性能也是在选购交换机必须注重的因素。其中，背板带宽、转发速率、VLAN数量、MAC地址数量、插槽数量、支持的端口类型和堆叠层数等参数，都必须根据交换机所处的位置与网络应用确定。