如何处理智能交换机多端口问题

由于智能交换对多数端口的数据进行同时交换，这就要求具有很宽的交换总线带宽，如果二层交换机有N个端口，多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。

为了能对用户的关键业务进行保证，对不同等级的用户进行区别对待，就需要宽带IP网络能够对用户提供端到端的服务质量，也要求从边缘接入层设备到核心层设备都能够提供统一的QoS特性，除此之外，对用户的管理及计费也是宽带设备，尤其是对智能交换机智能化的一个要求。

需要端到端的QoS

对QoS的需求，为了满足三网合一的应用，在交换设备上必须能够对不同的业务流进行区别对待，比如对于某些关键业务可以提供较高带宽，而对于优先级比较低的业务可以分配较小的带宽，以此保证同一个网络对不同的业务提供不同的服务，实现区别服务。

首先就要能够对业务流进行合理全面的流分类，要求设备至少可以支持2到4层的流分类（OSI分层标准），更好的设备可以真正实现按用户需要自定义、实现2～7层的流分类。智能交换机必须能够支持802.1p（强制优先级）、diffserv（区别服务）、CAR（流量监管）等服务策略、WRR以及RED、HOLB、flowcontrol等前期后期拥塞控制。

完善ACL功能

第二个需求就是ACL（访问控制）功能的完善，能够对经过本设备的数据流按照一定的原则进行一定的访问过滤，最常用的策略就是基于流分类来进行访问控制。常见的应用就是对某些非法网站的IP地址在本地出口设备上配置ACL规则，禁止本地用户对非法网站的访问。

ACL访问控制具体能控制到哪一个层面完全取决于流分类的能力，流分类能力越强能够控制的层面就越大，当然也不是说能流分类就能访问控制，而是说流分类是实现访问控制的一个必要条件，有了这个必要条件还要看访问控制的实现到底能达到哪个层面。

这就要求智能交换机能够基于用户的源MAC、目的MAC、源物理端口号、目的物理端口号、源IP地址、目的IP地址、源网段地址、目的网段地址、按四层协议类型（socket）、按用户自定义规则等来对数据业务进行分类，同时按照这些的分类对不同的业务流提供不同的服务质量或进行ACL控制，即禁止或允许特定流的转发。

适应多业务应用

第三个需求是对多业务应用的需求。这里所谓的多业务包含几个方面：一是对组播业务的支持，二层交换机上应该实现IGMPSnooping功能，三层交换机上应该实现PIM－SM、PIM－DM、DVMRP等三层组播协议至少一种以上，目前业界比较认可、应用比较广泛的主要是PIM协议；

二是用户的安全策略问题，包括对用户身份的认证、用户的计费、基本的防攻击策略等。目前在以太网交换机上采用的用户身份的认证方式简单的主要有mac＋port绑定、mac＋IP绑定、IP＋mac＋port绑定，复杂点认证方式主要是802.1x、portal认证、强制portal等。

802.1x实现可以有本地认证和远端认证两种方式，本地认证意味着智能交换机内置了RADIUSServer，用户可以直接在本地交换机上进行认证而不需要在智能交换机上外挂RADIUSServer，远端认证就需要在交换机之外提供外挂的RADIUSServer，交换机本身只完成认证报文的中继。

Portal认证是独立的认证协议，经过交换设备对认证报文进行终结，同时转换为标准的RADIUS认证报文去远端RADIUS服务器上进行RADIUS认证，分为Portal认证和强制Portal两种方式。

组播业务现在已经成为IP网络的主要业务之一，基于组播的视频业务得到越来越广泛的应用。传统的组播业务只是关注业务的可行性、网络带宽的合理化使用，并不能实现对下属用户接收权限的控制。

智能以太网交换机应该能够提供对组播业务权限的控制，只有通过认证的用户才能接收相应的组播业务，没有经过组播权限认证的用户只能实现数据业务的通信不能接收组播业务，这一概念称为可控组播或受控组播。能够在接入层设备支持基于复杂流分类的ACL。

能够基于用户的源mac、目的mac、源物理端口号、目的物理端口号、源IP地址、目的IP地址、源网段地址、目的网段地址、按四层协议类型（socket）、按用户自定义规则等来对数据业务进行分类，同时按照上述的分类对不同的业务流提供不同的服务质量或进行ACL控制，即禁止或允许特定流的转发。