3.3 交换机的选择策略

针对不同的网络需求和投资额度，可以选择不同型号的网络设备，以满足用户对连接带宽、转发速度、稳定性和安全性等不同的需求。

3.3.1 可网管交换机的选择

可网管交换机通常拥有独立的操作系统，可以借助配置启用一些复杂的网络功能，从而实现网络的稳定运行、访问安全，以及复杂的网络应用。通常情况下，可为其指定IP地址信息，从而实现远程管理，甚至使用网管软件进行统一配置、监视和管理的交换机。

1. 可网管交换机的特点

可网管交换机具有以下特点。

● 提高网络稳定性。傻瓜式交换机不能构建冗余网络，否则将由于存在拓扑环而导致网络瘫痪。由于没有线路冗余，所以当线路、设备或模块损坏后，就有可能导致某一部分网络、甚至是整个网络的通信中断。可网管交换机借助Spanning Tree（扩展树）和EtherChannel等技术，不仅可以实现链路的冗余，甚至可以成倍地增加设备之间（交换机之间、交换机与路由器之间、交换机与服务器之间）的连接带宽，并实现网络负载均衡，从而确保了网络运行的稳定。

● 提高网络安全性。傻瓜交换机没有任何安全性可言，而可网管交换机可使用VLAN（虚拟网）、PVLAN（专有虚拟网）和ACL（访问列表）等多种方式，将不同部门的网络隔离开来，拒绝某些用户对敏感数据的访问，从而保障数据的存储和访问安全。另外，借助于访问列表，还可以有效地拒绝蠕虫病毒的传播，限制某些用户的访问权限，从而进一步保证了网络安全。

● 提高网络传输效率。当网络内的计算机数量足够多，并且使用的网络协议也足够多时，会产生大量的广播包，从而严重影响网络的传输效率。借助于可网管交换机的VLAN功能，可以将一个网络划分为若干逻辑子网，缩小广播域的范围，从而提高整个网络的传输效率。而傻瓜交换机只能划分碰撞域，却无法划分广播域，从而不能用于单独构建计算机数量多于150台的网络。

● 支持复杂网络应用。可网管交换机全面支持QoS（服务质量），可以根据数据传输的不同类型，由管理员指定数据传输的优先级别，从而确保了视频会议、IP电话等实时传输的网络应用的需要。在由傻瓜交换机构建的网络中，无论什么数据都要依次排除等待，从而无法适应多媒体等特殊的网络应用。

● 支持远程监视与管理。一旦为可网管交换机配置了IP地址，就可以实现对该交换机的远程监视、配置和管理。对于大中型网络而言，这一点非常重要。这也就意味着，网管只需坐在自己的计算机前，就可以实现对网络中所有交换机的管理，了解交换机的运行状态，并根据需要修改交换机的配置。许多可网管交换机不仅可以借助网管软件（如HP OpenView、CisocWorks）进行统一管理，甚至可以将由若干交换机构成的堆叠当做一台交换机管理，从而降低了管理的难度与强度。

2. 可网管交换机的应用

虽然可网管交换机与不可网管交换机在外观上基本没有差别，但由于性能和功能上的差别，可网管交换机的价格往往是傻瓜交换机价格的5倍甚至更高。所以，可网管交换机通常都被用于比较重要的位置。当然，如果资金比较充裕，也可以在整个网络中都使用可网管交换机，从而实现对网络中每一台计算机的访问控制。可网管交换机在网络中的应用如图3-23所示。

● 核心层交换机。作为网络核心和枢纽的核心层交换机必须选用可网管交换机，而且应当选用三层可网管交换机。原因很简单，所有的网络应用和网络安全都必然会经过中心交换机，因此中心交换机从根本上决定着网络性能，以及所能提供的网络应用。另外，每个大中型网络都需要配置VLAN，而VLAN之间的通信必须借助三层设备才能实现，三层交换机则被用于实现VLAN之间的线速转发。

● 汇聚层交换机。汇聚层交换机大多被放置于每栋建筑物，用于连接工作组交换机。一栋建筑内往往拥有多个部门、需要实现各种不同的网络应用。因此，若欲实现与中心交换机的冗余连接，保障网络连接的稳定；实现VLAN划分，实现网络访问的安全；就必须采用可网管交换机。

● 重要的工作组交换机。工作组交换机用于直接连接计算机。如果交换机所连接的计算机都属于同一类型的用户，并且彼此之间没有对数据访问的限制，那么完全可以采用傻瓜交换机。相反，如果所连接的用户对网络安全有着较高的要求，或者网络应用比较复杂，必须实现对交换机每个端口的控制，那么就必须采用可网管交换机。

3. 选购时应当考虑的问题

不同位置、不同环境、不同应用需要不同的网管交换机。因此，在选购可网管交换机时，应当考虑以下问题。

● 所处位置。不同位置应当选用不同的可网管交换机。中心交换机应当选择三层交换机，汇聚层交换机建议选择高性能二层交换机（如果网络规模较大，也可以选择三层交换机），而工作组交换机则应当选择普通二层交换机。

● 网络应用。不同的网络应用决定着所需设备的性能。性能越高的交换机自然价格也就越高，因此不要盲目追求高性能，而应当根据网络应用、数据流量等诸多因素，选择最适合网络应用的、最具性价比的交换机。

● 所处环境。在选购交换机时，不能将它们相互割裂开来，而应当综合地、联系地进行考虑。考虑下级交换机是否支持上级交换机的功能与应用，考虑上下级交换机在性能上应有的差别，考虑上下级交换机端口的类型与数量，考虑传输距离、网络带宽和通信线缆，从而使所有交换机相互协调，达到彼此之间的最佳组合。

● 设备兼容性。尽管不同的可网管交换机大多遵守相同的国际标准，但每个厂家都有一些特殊的协议，并且使用不同的网络管理软件，因此若欲实现对可网管交换机的统一管理，实现各种复杂的网络应用，达到性能最优化，就应当尽量选择同一厂商的产品。

● 设备性能。设备性能也是在选购交换机时必须注重的因素。其中，背板带宽、转发速率、VLAN数量、MAC地址数量、插槽数量、支持的端口类型、堆叠层数等参数，都必须根据交换机所处的位置与网络应用确定。

3.3.2 不同位置交换机的选择

1. 核心层交换机的选择

局域网络绝大部分的流量都是对网络服务器和Internet的访问，而服务器和Internet设备往往都直接连接在核心层交换机上，因此作为网络核心的核心层交换机无时无刻不在承受着巨大的流量压力，其处理性能将决定着整个网络的传输效率。因此，对核心层交换机的选择也就显得尤其重要。Cisco的Catalyst 6500系列和Catalyst 4500系列，均可以分别充当大中型网络中的核心层交换机。

选择核心层交换机时，应当注重考察以下几个参数。

■ 扩展能力

核心层交换机应当全部采用模块化结构，必须拥有相当数量的插槽，具有强大的网络扩展能力，以保护原有的投资，在网络扩展或应用需求发生变化时，只需更换或添加模块即可满足新的需求。毫无疑问，模块化结构拥有更强劲的性能、更大的灵活性和可扩充性，可以根据现实的或未来的需要选择不同数量、不同速率和不同接口类型的模块，以适应千变万化的网络需求。

■ 处理性能

由于网络内80%的数据流量都发生在核心层交换机上，因此核心层交换机应当拥有强劲的处理能力，即拥有较高的背板带宽和转发速率，以保证数据的无阻塞转发和路由。否则，核心层交换机就会成为整个网络的瓶颈。

■ 多层交换

核心层交换机应当同时支持三层交换和四层交换。

三层交换用于实现局域网络中VLAN之间的线速转发。虚拟网的主要作用有两点，一是将大的网络划分为若干小的子网络，从而减少广播提高网络传输效率；二是提高网络安全性，控制用户对某个子网络的访问，有效地保护敏感数据。由于虚拟VLAN之间无法直接通信，因此必须借助于拥有路由功能的三层交换机，以硬件方式可以实现虚拟网之间的线速转发，解决虚拟网之间的传输瓶颈，从而可以有效地解决网络安全和传输效率的问题，使虚拟网络的广泛应用成为可能。

四层交换用于实现对网络服务的快速访问。在四层交换中，决定传输的依据不仅仅是MAC地址（OSI模型第二层）或源/目标IP地址（OSI参考模型第三层），而且包括TCP/UDP（OSI参考模型第四层）应用端口号，被设计用于高速Intranet应用。四层交换除了负载均衡功能外，还支持基于应用类型和用户ID的传输流控制功能。

■ 冗余能力

冗余能力是网络安全运行的保证。任何厂商都不能保证其产品在运行的过程中不发生故障。而故障发生时能否迅速切换就取决于设备的冗余能力。对于核心层交换机而言，重要部件都应当拥有冗余能力，比如管理模块冗余、电源冗余、风扇冗余等（如图3-24所示）。另外，还必须支持链路冗余和路由冗余，这样才能在最大程度上保证网络稳定运行。

■ 安全性能

核心层交换机应当支持IEEE 802.1x基于端口的访问控制，支持本地和远端认证，EAP终结或者透传；支持RADIUS和TACACS+认证，支持MAC访问列表、IP访问列表和VLAN访问列表，并支持私有VLAN。可实现基于时间段控制，并限制每端口最大用户数。图3-25所示为Cisco Catalyst交换机认证方式设置页面。

2. 汇聚层交换机的选择

由于汇聚层交换机通常只用于连接同一座建筑内的工作组交换机，或者用于连接网络服务器，因此对端口数量通常没有太多的要求。但是，对端口速率、背板带宽、网络功能等要求较高，以获得高速、稳定的网络骨干。Cisco的Catalyst 4500系列、Catalyst 4900M系列和Catalyst 3750E系列，均可以充当楼宇或部门的汇聚层交换机。

选择汇聚层交换机时，应当注重考察以下几个参数。

■ 背板带宽

背板带宽作为交换机的重要参数之一，决定着交换机是否能够实现二层交换的线速转发。例如，Cisco Catalyst 4900系列有3款产品，分别为Catalyst 4948、Catalyst 4948-10GE和Catalyst 4900M（如图3-26所示），分别最多拥有48个、48个或40个1000Mbps端口；或者最多拥有0个、2个和24个10Gbps端口，背板带宽分别为96Gbps、136Gbps和320Gbps，完全可以满足线速交换的需要。

■ 三层交换

对于较大规模的网络，为了减轻核心层交换机的负担，汇聚层交换机通常采用三层交换机，从而实现楼宇内或部门内的数据交换。特别是对于那些划分为有若干VALN，同时大量访问就发生在楼宇内或部门内的子网而言，汇聚层交换机选用拥有三层交换技术的设备就显得更有必要。需要注意的是，当汇聚层采用三层交换机时，汇聚层与核心层之间的端口将不能再配置为VLAN Trunk端口，而只能配置为路由端口，如图3-27所示。

■ 链路汇聚

汇聚层交换机作为核心层交换机和接入层交换机的桥梁，起着承上启下的重要作用。如果接入层交换机不拥有千兆位以太网端口，那么为了避免向上级联时的网络瓶颈，采用链路汇聚成倍地增加网络带宽似乎是唯一正确的选择。同时，为了保证汇聚层交换机与核心层交换机连接的高速和稳定，采用链路汇聚技术，不仅可以增加网络带宽，而且还可以避免由于端口或链路故障而导致的通信失败。

■ 端口类型

汇聚层交换机对网络端口具有以下要求。

● 因为是连接接入层交换机的交换机，所以汇聚层交换机必须拥有大量的千兆位以太网端口。

● 由于垂直布线往往采用光纤，因此汇聚层交换机应当有较多的光纤端口、GBIC插槽或SFP插槽。如果与接入层交换机距离非常近（例如，安装在一个机柜中），并且电磁干扰并不严重，也可以选择采用RJ-45端口。

● 由于汇聚层交换机又必须连接至核心层交换机，因此为了避免在上连链路中产生网络瓶颈，在投资额允许的情况内，可以选择10Gbps端口的产品。

3. 接入层交换机的选择

接入层交换机用于直接连接计算机或其他网络终端，因此对性能要求往往并不太高，只是需要较多数量的RJ-45端口。Cisco的Catalyst 2960系列、Catalyst2950系列和Catalyst 2970系列，以及Catalyst 3750系列、Catalyst 3560系列和Catalyst 3550系列，均可作为接入层交换机。

选择接入层交换机时，应当注重考察以下几个参数。

■ 端口类型

汇聚层交换机对网络端口具有以下要求。

● 接入层交换机通常只用来连接计算机或其他网络终端，而且就目前情况来看，100Mbps速率完全可以胜任所有的网络需求，同时水平布线和工作区布线全部采用双绞线，因此其主要端口应当是100Base-TX端口。

● 交换机端口数量越多，所连接的计算机数量越多，浪费的端口数量越少。所以，通常情况下，应当选择24口或48口，以减少交换机的使用量。

● 为了保证所连接的设备能够无阻塞地访问骨干网络，接入层交换机还应当拥有少量（2～4个）GBIC、SFP插槽或1000Base-T等1000Mbps端口。端口类型视与汇聚层交换机的连接距离、垂直布线所采用的传输介质（光纤还是双绞线），以及电磁干扰的强度而定。

如图3-28所示的Cisco Catalyst 2960系列交换机，都拥有2个或4个千兆位以太网端口，和24个或48个100Mbps端口。因此，既可以连接大量的计算机终端，又可以实现与汇聚层交换机的高速连接。同时，还可以选择使用SFP插槽或RJ-45端口，以适应光纤链路和双绞线链路，从而拥有相当大的灵活性，因此应当作为接入层交换机的当然之选。

■ 延扩方式

当接入的计算机数量非常多（如学生机房、营业大厅等），垂直布线或汇聚层交换机的端口数量又有限时，往往只能采用堆叠或级联的方式实现接入层计算机之间的连接。如果大量访问都产生在子网内部，建议选择可以堆叠的交换机。否则，也可选择不可堆叠交换机，从而借助级联方式实现彼此之间的连接。Cisco Catalyst 2950、Catalyst 2960、Catalyst 2970、Catalyst 3550、Catalyst 3560和Catalyst 3750系列，均可实现彼此之间的堆叠。

■ 网络管理

如果网络对传输性能和网络安全要求较高，那么接入层交换机应当全部采用可网管交换机，从而实现对每个网络端口和每台交换机的管理。