【正文】 交換機是一臺第三層交換機，通過它來劃分不同功能的邏輯子網(wǎng)（圖中有 4 個），并通過網(wǎng)絡(luò)管理系統(tǒng)對整個網(wǎng)絡(luò)進行集中式控制和管理，包括監(jiān)控、調(diào)整網(wǎng)絡(luò)的運行狀態(tài)、自動分配用戶的 IP 地址、統(tǒng)計網(wǎng)上信息流量及用戶的使用情況等內(nèi)容。第三層交換機支持內(nèi)部具有硬件的過濾器，能在不降低系統(tǒng)性能的情況下對所有數(shù)據(jù)包進行過濾，而且能根據(jù)從第二層到第七層的任意內(nèi)容對數(shù)據(jù)包進行過濾。根據(jù)學習到的信息，交換機將建立和維護路由表中的路由信息，并且自動地為所有 IP 數(shù)據(jù)包提供路由服務。 第三層交換機還可以支持自學習功能，它能自動發(fā)現(xiàn)主機的 IP 地址與連接端口的對應關(guān)系，而不使用任何路由協(xié)議。性能良好的第三層交換機全面支持Trunk 協(xié)議，一些可支持 8 組 Trunk，從而能夠有效解決了企業(yè)局域網(wǎng)中的連接帶寬問題。采用 Trunk 技術(shù)能將若干條相同的源交換機與目的交換機的以太網(wǎng)連接線從邏輯上看成一條連接線。這類交換機有機柜式的，也有可堆疊的，可以根據(jù)不同的情況選用?；诓呗缘腝oS 使得網(wǎng)絡(luò)管理員能為各種不同類型的網(wǎng)絡(luò)流量包括 TCP/UDP 會話按優(yōu)先級分配帶寬，而且沒有任何交換性能上的損失。這樣的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)簡單，同時還具有可伸縮性和基于策略的 QoS 服務等功能。 1．擔當骨干交換機 17 / 52 第三層交換機一般用于網(wǎng)絡(luò)的骨干交換機和服務器群交換機，也可作為網(wǎng)絡(luò)節(jié)點交換機?？上驳氖牵S多國內(nèi)廠商紛紛推出第三層以太網(wǎng)交換機，而且性能良好。正如路由器統(tǒng)治廣域網(wǎng)一樣，第三層交換機將在今后主宰局域網(wǎng)已成為不爭的事實。 另外，其不需要較多的控制功能，并且成本較低。 在企業(yè)網(wǎng)和校園網(wǎng)中，一般會將第三層交換機用在網(wǎng)絡(luò)的核心層，用第三層交換機上的千兆端口或百兆端口連接不同的子網(wǎng)或 VLAN。 三、第三層交換的應用 第三層交換機的應用其實很簡單，主要用途是代替?zhèn)鹘y(tǒng)路由器作為網(wǎng)絡(luò)的核心。 第三層交換在現(xiàn)在的網(wǎng)絡(luò)建設(shè)中起著越來越重要的作用，它不需要將廣播封包擴散，而是直接利用動態(tài)建立的 MAC 地址來通信，如 IP 地址、ARP 等，具有多路廣播和虛擬網(wǎng)間基于 IP 和 IPX 等協(xié)議的路由功能，這方面功能的順利實現(xiàn)，主要依靠專用集成電路（ASIC）?，F(xiàn)在的第三層交換、路由交換或其他名詞都是這種思路的結(jié)果。 16 / 52 和路由技術(shù)相比，交換技術(shù)的好處就是速度快，當網(wǎng)絡(luò)規(guī)模很大時，高速、大容量路由器是十分必要的。路由器更注重對多種介質(zhì)類型和多種傳輸速度的支持，而目前數(shù)據(jù)緩沖和轉(zhuǎn)換能力比線速吞吐能力和低時延更為重要。IP 包途經(jīng)每個路由器時，需經(jīng)過排隊、協(xié)議處理和尋址選擇路由等軟件處理環(huán)節(jié)，造成延時加大。 傳統(tǒng)的路由器主要功能是實現(xiàn)路由選擇與網(wǎng)絡(luò)互聯(lián)，即通過一定途徑獲得子網(wǎng)的拓撲信息與各物理線路的網(wǎng)絡(luò)特性，并通過一定的路由算法獲得達到各子網(wǎng)的最佳路徑，建立相應路由表，從而將每個 IP 包跳到跳（hop to hop）傳到目的地。這種變化對原來用于網(wǎng)絡(luò)分段的傳統(tǒng)路由器產(chǎn)生了直接的沖擊。而現(xiàn)在，情況卻發(fā)生了根本性的變化，以至形成了20/80規(guī)則。 一般來說，第三層交換產(chǎn)品都采用可編程可擴展的 ASIC 芯片技術(shù)，可以提供以下一些豐富的特性： (1)在所有端口，針對所有網(wǎng)絡(luò)接口和協(xié)議的無阻塞線速交換和路由； (2)具有極高的吞吐量，數(shù)據(jù)包的轉(zhuǎn)發(fā)速度（即轉(zhuǎn)發(fā)包／每秒，pps）通常比中高端路由器還要快 10～100 倍； (3)多種協(xié)議的路由選擇，如 IP（RIPv1/vOSPF）、IP Multicast（DVMRP、PIM）和 IPX 等； (4)支持多種 VLAN 的劃分，能夠根據(jù)端口/MAC 地址、協(xié)議、IP 子網(wǎng)、IEEE 或 3COM ISL 等劃分； 15 / 52 (5)具有帶寬預留（RSVP）及具有服務類別（CoS）和服務質(zhì)量（QoS）的業(yè)務量優(yōu)先級處理，支持 IEEE 和業(yè)務分類（DifferServ）； （6)可設(shè)定訪問列表控制(Access List Control)的過濾規(guī)則，或基于防火墻的安全策略； (7)支持通過以太網(wǎng)的點到點協(xié)議（PPPoE），支持安全用戶認證，配合用戶計費，增強用戶管理特性； (8)支持以太網(wǎng)帶寬單元遞增分配服務； (9)ASIC 的可編程性，支持諸如 IPv6 的技術(shù)和其他未來技術(shù)，保護用戶投資。接口層包含了所有重要的局域網(wǎng)接口，如 10/100Mbps 以太網(wǎng)、千兆以太網(wǎng)、FDDI 和 ATM 等；交換層集成了多種局域網(wǎng)接口，并輔之以策略管理，同時還提供鏈路匯聚、VLAN 和標記機制；路由層提供主要的局域網(wǎng)路由協(xié)議，包括 IP、IPX 和 AppleTalk 等，并通過策略管理，提供傳統(tǒng)路由或直通的第三層轉(zhuǎn)發(fā)技術(shù)。這種集成化的結(jié)構(gòu)還引進了策略管理屬性，不僅使第二層與第三層相互關(guān)聯(lián)起來，而且還提供流量優(yōu)先化處理、安全訪問機制以及其他多種功能。簡單來說，所謂的第三層交換機就是在基于協(xié)議的 VLAN 劃分時，增加了路由功能。 2．第三層交換 14 / 52 第二層交換機工作在 OSI 參考模型的第二層數(shù)據(jù)鏈路層上，主要功能包括物理編址、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、錯誤校驗、幀序列以及流量控制等。但第二層交換也有其弱點，包括不能有效解決廣播風暴、異種網(wǎng)絡(luò)互聯(lián)和安全性控制等問題。 局域網(wǎng)交換機是一種第二層網(wǎng)絡(luò)設(shè)備，它在運行過程中不斷收集和建立自己的MAC 地址表，并且定時刷新。路由器在子網(wǎng)間互聯(lián)、安全控制和廣播風暴限制等方面起了關(guān)鍵的作用，但復雜的算法、較低的數(shù)據(jù)吞吐量使其成為網(wǎng)絡(luò)的瓶頸。當時采用了第二層（數(shù)據(jù)鏈路層）設(shè)備網(wǎng)橋，它起到細化網(wǎng)段和減小沖突域的作用，從而優(yōu)化了局域網(wǎng)的性能。隨著網(wǎng)絡(luò)規(guī)模的日益擴大，先前的網(wǎng)絡(luò)系統(tǒng)已不能勝任，這是因為在局域網(wǎng)中，最早的網(wǎng)絡(luò)互聯(lián)設(shè)備是集線器，它是第一層（物理層）設(shè)備。13 / 52 第三層交換與路由一、交換技術(shù)的發(fā)展 計算機技術(shù)與通信技術(shù)的結(jié)合促進了計算機局域網(wǎng)的飛速發(fā)展，從 20 世紀 60 年代末 Aloha 網(wǎng)的出現(xiàn)，到 90 年代后期千兆交換式以太網(wǎng)的登臺亮相，短短的 30 年間，經(jīng)歷了從單工到雙工、從共享到交換、從低速到高速、從簡單到復雜、從昂貴到普及、從第二層交換到多層交換的飛躍。一般的以太網(wǎng)交換機實現(xiàn)的都是基于端口的 VLAN，個別的會實現(xiàn)基于MAC 地址和網(wǎng)絡(luò)層地址的 VLAN，而路由器中可以通過 IGMP 多播協(xié)議實現(xiàn)所謂的組播形式的 VLAN 。安全性，由于配置了 VLAN 后，一個 VLAN 的數(shù)據(jù)包不會發(fā)送到另一個 VLAN，這樣，其他 VLAN 的用戶的網(wǎng)絡(luò)上是收不到任何該 VLAN 的數(shù)據(jù)包，從而就確保了該 VLAN 的信息不會被其他 VLAN 的人竊聽，從而實現(xiàn)了信息的保密。限制廣播包，按照 透明網(wǎng)橋的算法，如果一個數(shù)據(jù)包找不到路由，那么交換機就會將該數(shù)據(jù)包向所有的其他端口發(fā)送，這就是橋的廣播方式的轉(zhuǎn)發(fā)，這樣的結(jié)果，毫無疑問極大的浪費了帶寬，如果配置了 VLAN，那么，當一個數(shù)據(jù)包沒有路由時，交換機只會將此數(shù)據(jù)包發(fā)送到所有屬于該 VLAN 的其他端口，而不是所有的交換機的端口，這樣，就將數(shù)據(jù)包限制到了一個 VLAN 內(nèi)。12 / 52虛擬工作組，VLAN 的最具雄心的目標就是建立虛擬工作組模型，例如，在校園網(wǎng)中，同一個系的就好象在同一個 LAN 上一樣，很容易的互相訪問，交流信息，同時，所有的廣播包也都限制在該虛擬 LAN 上，而不影響其他 VLAN 的人，一個人如果從一個辦公地點換到另外一個地點，而他仍然在該系，那么，他的配置無須改變，同時，如果一個人雖然辦公地點沒有變，但他換了一個系，那么，只需網(wǎng)絡(luò)管理者那配置一下就行了。下面講述一下 VLAN 的優(yōu)點:減少移動和改變的代價，即所說的動態(tài)管理網(wǎng)絡(luò)，也就是當一個用戶從一個位置移動到另一個位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。以前，各個廠商都聲稱他們的交換機實現(xiàn)了 VLAN，但各個廠商實現(xiàn)的方法都不相同，所以彼此是無法互連，這樣，用戶一旦買了某個廠商的交換機，就沒法買其他廠商的了。IP 組播作為 VLANIP 組播實際上也是一種 VLAN 的定義，即認為一個組播組就是一個 VLAN，這種劃分的方法將 VLAN 擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網(wǎng)，主要是效率不高，對于局域網(wǎng)的組播，有二層組播協(xié)議 GMRP。11 / 52這種方法的缺點是效率，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是很費時的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)楨頭，但要讓芯片能檢查 IP 楨頭，需要更高的技術(shù)，同時也更費時。它雖然查看每個數(shù)據(jù)包的 IP 地址，但由于不是路由，所以，沒有 RIP，OSPF 等路由協(xié)議，而是根據(jù)生成樹算法進行橋交換。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN 就必須不停的配置。這種劃分 VLAN 的方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN 不用重新配置，所以，可以認為這種根據(jù)MAC 地址的劃分方法是基于用戶的 VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。它的缺點是如果 VLAN A 的用戶離開了原來的端口，到了一個新的交換機的某個端口，那么就必須重新定義。實際上，VLAN 成員的定義可以分為 4 種:根據(jù)端口劃分 VLAN10 / 52這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機的端口來劃分，比如 CISCO3550 的 1~4端口為 VLAN A，5~17 為 VLAN B，18~24 為 VLAN C，當然，這些屬于同一 VLAN 的端口可以不連續(xù)，如何配置，由管理員決定，如果有多個交換機的話，例如，可以指定交換機 1 的 1~6 端口和交換機 2 的 1~4 端口為同一 VLAN，即同一 VLAN 可以跨越數(shù)個以太網(wǎng)交換機，根據(jù)端口劃分是目前定義 VLAN 的最常用的方法，IEEE 協(xié)議規(guī)定的就是如何根據(jù)交換機的端口來劃分 VLAN。虛擬網(wǎng)(VLAN)是將一組彼此相關(guān)的用戶和服務器邏輯地分成工作群組，這樣的邏輯劃分與物理位置無關(guān)，用戶、工作站或服務器能夠在網(wǎng)絡(luò)網(wǎng)部任意移動，而始終維持通訊上原有的邏輯關(guān)系不變。根據(jù)當前的技術(shù)發(fā)展趨勢，針對 醫(yī)藥公司域網(wǎng)的應用需求，我們建議采用交換技術(shù)構(gòu)筑內(nèi)部局域網(wǎng)，網(wǎng)絡(luò)主干采用千兆以太網(wǎng)，而客戶機以 100M 以太網(wǎng)接入網(wǎng)。第三層交換機則應運而生，結(jié)合了第二層交換的高吞吐量、低延遲的特性，和路由器的安全控制和管理能力。這就需要采用路由技術(shù)將一個大的廣播域分割成互連的幾個小的廣播域。而另一方面，隨著網(wǎng)絡(luò)規(guī)模的擴大，如果采用全交換方式，而不具備路由能力時，那么整個局域網(wǎng)將不得不作為一個單一的龐大的廣播域來運作，這樣會造成任何一個與網(wǎng)絡(luò)連接的端點發(fā)出一個廣播報文時，它將穿透所有的交換器而影響整個網(wǎng)絡(luò)效率，進而引起廣播擁塞，導致網(wǎng)絡(luò)響應時間緩慢到不能接受的地步。下一個瓶頸將在哪里出現(xiàn)是很難預料的。 根據(jù)上述當前的技術(shù)發(fā)展趨勢，針對醫(yī)藥公司網(wǎng)絡(luò)的需求，我們建議采用交換技術(shù)構(gòu)筑局域網(wǎng)，為了保護以前的投資，網(wǎng)絡(luò)主干采用快速以太網(wǎng)，同時具備向千9 / 52兆以太網(wǎng)升級的能力，而客戶機以 100M 以太網(wǎng)接入網(wǎng)。適用環(huán)境如：ISP、數(shù)據(jù)交換中心及企業(yè)Intra 之主干技術(shù)。 面對 IEEE 802．3 類以太網(wǎng)絡(luò)在頻寬管理能力方面的缺乏，IEEE 在其規(guī)范中不斷采取它種技術(shù)以修正，如在服務質(zhì)量方面(QOS)，積極制定 IEEE802．1p 優(yōu)先權(quán)級別，同時利用 RSVP，使用頻寬保留的技術(shù)提供服務類(Class of Service)，供語音及影像等多媒體信息應用。1000BaseSX 支持多模光纖(850nm 短波長)，傳輸距離 500m：1000Base—LX(1300波長)，支持多模光纖或單模光纖，多模方式，傳輸距離不低于 550m，單模方式，傳輸距離最遠可達 70km。1EEE802．3z 規(guī)范于近期完成，市面上已在產(chǎn)品問世。 而在快速以太網(wǎng)規(guī)范完成的同時，千兆以太網(wǎng)(Gigabit Ether)的規(guī)范即已著手制定，希望能將以太網(wǎng)絡(luò)的頻寬從 10Mbps、100Mbps 提升到 1000Mbps。由于在網(wǎng)絡(luò)市場中，以太網(wǎng)的用戶數(shù)比例高達 80％以上，如此雄厚的用戶基礎(chǔ)，加上快速以太網(wǎng)良好的性能價格比，使其迅速成為市場主流。100VGAnyLAN 支持優(yōu)先級調(diào)度，平心而論，它確實是很好的通訊協(xié)議，但在業(yè)界及使用者的選擇下，100VGAnyLAN 被淘汰出局，成為叫好不叫座的明星。 為了能與 ATM 分庭抗禮，以太網(wǎng)絡(luò)的忠實擁護者于數(shù)年前推出了 100Mbps 快速以太網(wǎng)絡(luò)。然而就是因為 ATM 集合了這么多的優(yōu)點，造成規(guī)格及標準的制定困難，進度緩慢，同時也因為以前的應用程序均是以 NDIS 及 ODI 作為應用編程接口(APl)，若要使用 ATM 的優(yōu)點，則必須通過 LAN Emulation 或 MPOA 之轉(zhuǎn)換，但經(jīng)由此等轉(zhuǎn)換后，ATM 的優(yōu)異性將蕩然無存。最特別的是，在 ATM 的通訊架構(gòu)中，早已建置了服務質(zhì)量(QOS)的功能。所謂面向連接是指傳送一方在送資料時需和接收一方建立連線，就如同我們打電話一般。對此，我們必須進行探討，慎重選擇。采用高速網(wǎng)絡(luò)技術(shù)勢在必行。另外，Intra／Inter 應用模