二层交换机指向智能千兆

    二层交换机从原先的10M交换非网管，逐渐走向10/100M非网管到10/100M普通可网管，现在已经走向智能可网管，并且正在走向1000M的交换能力。二层交换机不断地被增强了智能性，开始能能够处理基于二层到四层的数据包流，这提高了交换机的服务质量（QOS）和安全策略。 而推动“千兆到桌面”的二层千兆交换机也将是即将来到的热点。

    1．网管指向智能

    最初的交换机是没有网管功能的，它只能识别数据包的目的MAC地址，根据这个硬件地址进行数据包的转发。交换环境产生的固有问题，对业务的控制，对安全的需要使得二层交换机需要加上网络的管控能力，这才产生了可网管交换机。而现在的可网管已经指向智能的功能，这包括：服务质量（QOS）和安全策略。

    （1）服务质量

    随着网络中多媒体的应用越来越多，对服务质量的要求较高，网络系统应能保证QoS，可以通过合理的QoS策略保障语音、图像等多媒体数据的网络传输，为用户提供差异化服务；对于企业用户，可以保证VoIP、视频会议、多媒体教学等网络应用的不间断传输，进一步提高企业的工作效率。

    若给众多网络应用进行分类的话，大致可以分为数据、语音、视频三种。数据流、语音流和视频流在网络中混合传输对网络稳定影响很大，而且这些应用均是在网络边缘上发起，因此需要二层交换机能够对不同的业务流进行区分，并按照优先级不同进行不同的带宽分配。边缘智能交换机是在原有可管理交换机技术基础之上增加了服务质量（QoS）。利用高性能的集成芯片，二层智能交换机能够识别并处理包括MAC层、IP层和TCP/UDP层的数据包和业务流，802.1p 优先级可提供优先级队列，能够根据不同的业务流来进行管理和控制，以达到指定带宽，优先转发的目标。从根本上解决目前网络设备的智能交换问题，满足用户的业务多样性需求。

    （2）安全策略

    针对目前网络面临的各种的安全威胁，二层智能交换机具有完备的安全控制机制来有效防止和控制恶意攻击和非法侵入，提供了安全到网络边缘的解决方案。

    •接入安全性方面。基于MAC地址、IP地址、TCP/UDP端口号和协议等L2~L4的ACL访问控制。802.1x 端口安全认证对访问者的有效控制和防止了非法用户对网络的访问。

    •VLAN控制。通过VLANs可以实现交换机各端口间的相互隔离。

    •支持DoS（拒绝服务）攻击的监测和防御。拒绝服务攻击将使网络中受攻击的网络设备、服务器、PC机充斥着大量要求回复的信息，消耗网络带宽和系统资源，导致网络和系统不胜负荷以至于瘫痪而停止提供正常的网络服务。DoS攻击的监测和防御功能把攻击的威胁隔离在网络边缘。交换机运用一定的运算法则监控可能发生的DoS攻击行为，一但检测到则停止接受报文。

    •管理安全性方面。对交换机和网管软件传递的所有信息进行加密。管理访问控制（ACL），可以指定或者限制某个IP或IP子网的PC对交换机的Telnet或WEB管理，防止黑客或非法接入者对交换机的恶意攻击和控制。Radius/TACACS+安全认证，用户登录到交换机上管理需要进行认证。