交换机技术白皮书

交换机技术白皮书不同层次上的交换机首先我们对一个很普通的网络结构进行讲解，以大概描述在不同层次上的交换机应该具备的功能；接入型2层交换机接入型2层交换机直接接入用户的PC机，为了避免因为办公室内用户的增加而再添加2层交换机，办公室内的2层交换机最好具备16或者24个10/100M以太网接口，然后使用百兆或者千兆以太网接口与汇聚层的3层交换机进行连接；从安全上考虑，交换机、路由器并不会产生恶意的数据，为了最大限度的保护用户PC的安全，需要网络内的2层具备多种功能。比如，如果2层交换机不支持广播速率限制功能，那么办公室内的某台PC因为出故障或者因为故意的破坏而向交换机发出大量的广播数据，那么这些数据就将会被其它PC接收到，从而会浪费其它PC大量的cpu资源而导致PC的速度严重变慢，并且会浪费2层交换机与3层交换机之间的带宽，导致其它PC机上网速度严重下降；再比如，现在网络病毒泛滥，为了保护其它PC不受感染，如果在2层交换机上使能各种ACL策略，也可以使其它PC受到保护、同时也节约了带宽；为了管理上的方便，2层交换机也应该支持可被远程管理；在有些场合，需要对接入的用户进行认证，如果接入交换机不支持认证功能，那么就需要将认证功能交给汇聚层的交换机或者更上层的设备进行，那么未被认证的用户就有可能对其它用户进行恶意的攻击；因此，2层交换机虽然性能不是很高，然而在网络中，对它的要求也是很高的，因为它可以在很大程度上保证网络的正常运行。汇聚层3层以太网交换机根据网络的大小，汇聚层3层以太网交换机的数量上可能不一样，它的功能主要是完成多个子网之间数据的转发（不使用路由器而使用3层交换机的原因主要是价格以及转发性能的原因）。需要3层交换机来进行子网间数据转发的原因是：一个LAN就是一个广播域，如果不划分多个LAN,就会导致LAN内的广播数据报过多而降低网络的性能，导致LAN内通信变得很缓慢。从3层交换机在网络中的层次以及功能上看，3层交换机首要的任务是完成多个子网间数据的快速转发、以及3层交换机之间的数据转发。不使用2层交换机作为汇聚交换机的目的是：随着网络的增大，如果3层交换仅仅由核心层设备完成，那么就需要核心层的设备可以带动数量众多的PC，比如为每个PC维护一个ARP表项，那么如果网络有5000个用户，那么该核心设备就需要至少支持5000个ARP条目，并且更严重的问题是，每个PC机都可能在发送广播数据报（ARP请求、查找网上邻居等等），如果用每台PC机每秒产生2个广播数据报计算，核心层设备每秒种就得处理5000X2=10000个广播包，这将大大的耗费核心层设备的CPU资源，那么用户与核心层设备之间的通信速度将变得很慢、并且延迟很大，如果核心层设备还运行了OSPF等路由协议，那么还可能导致网络内路由的振荡。因此汇聚层3层交换机还在这方面分担了核心层设备的压力。综上所述，汇聚层设备应该具备较多的接口以便可以接入多个2层交换机，它还应该具备3层交换的能力并至少应该能够带动一个1000台PC左右的网络，并且在数据转发上应该是线速的。核心层设备核心层设备可以采用核心交换机或者核心路由器来实现，不管是哪种设备，对它的主要要求都是对大量数据快速的转发、维护网络内路由的正确性。因为汇聚层设备与核心层设备的连接线路一般都在千兆，因此，核心层设备应该具备大量的千兆以太网接口。核心层设备同时还需要与外面的WAN进行连接，如果核心层设备支持防火墙的功能、就可以直接与WAN进行连接，如果没有，那么需要外接防火墙之后再与WAN连接。总之，核心层设备需要具备多个高速接口、支持大容量数据的线速转发、运行路由协议来保证网络内的数据转发正确性。二・相关技术原理在前面简单的介绍了各层次上的交换机应该具备的功能，现在对交换机上的一些技术(主要在数据链路层)进行简单的描述。1.VLAN的概念Vlan就是指虚拟的LAN,下面结合图例来解释该概念端口1端口2端口3端口4端口5端口6端口7端口8上面是一个具备8个接口的交换机，当端口1收到广播数据报时，交换机将把数据转发到端口2—7，而用户出于管理的需要，又不希望端口5—8可以接收到来自1—4的数据，那么就只能购买2个交换机，1个接入端口1—4上的PC，另1个接入端口5—8上的PC；而这就导致2个交换机上都有接口闲置。而实现vlan功能后，可以在同一个交换机上划分不同的vlan，位于不同vlan间的端口不会接收到其它vlan的数据(这里所说的不会收到来自其它vlan的数据是针对2层交换而言)，就好像这些接口位于没有互连的2个交换机上一样。因此，VLAN功能可以实现端口之间数据的隔离。VLAN在交换机上的实现方法，可以大致划分为3类：基于端口划分vlan这种划分VLAN的方法是根据以太网交换机的端口来划分，比如将交换机的1〜4端口为VLAN10，5~17为VLAN20，18~24为VLAN30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机1的1〜6端口和交换机2的1〜4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLANA的用户离开了原来的端口，到了一个新的交换机的某个端口，那么对交换机就必须重新进行配置。基于MAC地址划分vlan这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。基于子网划分vlan这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP,OSPF等路由协议，而是根据生成树算法进行桥交换，这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。2.2层交换的实现2层交换是交换机需要具备的基本功能之一，因此，先对2层交换进行简单的介绍。在以太网网络中，每个网络终端（比如PC的以太网网卡）都需要具备一个不同于其它终端的标识：MAC地址；每个网络终端发送的数据都包含有目的终端的MAC地址以及发送者的MAC地址；每个网络终端都监听网络上的所有数据，如果目的MAC地址为广播地址、或者目的MAC地址是自己的MAC地址、或者目的MAC地址是组播地址并且自己是这个组的成员，那么就需要将该数据发送到自己的CPU进行处理，否则就将收到的数据丢弃。交换机对接收到的数据的处理流程为：如果接收到广播数据，那么就将该数据发送到该VLAN内除了接收该数据接口外的所有其它端口，以让该VLAN内的其余PC可以接收到该数据；如果接收到组播数据，首先根据目的MAC查找在该vlan内是否存在组播条目，如果有，则只向位于该组的成员接口发送（排除掉接收该数据的接口）；如果不存在相应的组播条目则向该vlan内的所有其它接口发送该数据；如果接收到单播数据，那么交换机根据目的MAC在该vlan内查找是否存在相应的MAC条目，如果有，则只向目的端口发送，如果没有，则在vlan内广播该数据；不管是接收到哪种类型的数据，交换机都需要进行MAC地址学习（学习是通过原MAC学习的），即在交换机中添加一条MAC地址记录，其中包含这个MAC地址的值、从哪个接口接收到、属于哪个vlan；MAC地址学习的目的是为了在转发单播2层数据时，可以只发送到特定的端口，而不是向vlan内的所有接口广播。3.生成树协议它具有一定的冗余备份作用，下面以一个图例进行说明3层交换机假设上图中每个2层交换机具有16个10/100M以太网接口，因为LAN上有很多PC,因此使用了4个2层交换机进行级联之后接入这些PC；如果只选用上面的一个2层交换机的接口与3层交换机进行连接，那么如果这根线路出现故障，那么将会导致这4个2层交换机接入的用户都无法与其它LAN进行通信；因此，网络设计者就希望能够采用如上图所示的结构，即采用多个2层以太网交换机与3层交换机进行连接，这样假如其中的一个链路发生故障也可以保证用户可以与其它的LAN进行通信。但是，这样的拓扑将会导致一个问题，前面已经介绍了2层交换的过程，因为4个2层交换机与3层交换机的2个接口属于同一个vlan，因此，只要2层交换机A接收到1个广播数据报，它就会将该数据报发送到其它任何接口，而5个交换机组成了一个环，因此交换机A就会从其它接口接收到自己以前发送的这个数据，就导致数据报在交换机之间不停的交换、永不停止，随着堆积的数据越来越多，最后交换机之间的连接链路的带宽会被这些数据耗尽，用户就不能与外界进行通信。因此生成树协议就被开发出来解决这种情况的出现，生成树协议运行后，会将环中的某些链路置为blocking状态，这个接口就不会再收发数据，从而将环解除，也就不会发生数据在交换机之间永不消失的情况。4.Trunk交换机之间进行数据通信，可以使用网线将交换机之间的2个接口互相连接起来实现，比如，用网线一边连接1个交换机的百兆接口，但是如果交换机之间需要交换的数据超过100M（比如是150M），那么超出的数据就会被丢弃，因此，用户就希望可以使用多个接口来在交换机之间进行连接、来使得交换机之间的带宽可以是多个接口速率的和，但是对于交换机而言，在交换机之间使用多个接口进行连接，就会导致广播风暴，而使能生成树协议又会将其中的多个接口设置为block、而使得只有1个接口可以转发数据，也就是说，针对本例而言交换机之间的带宽仍然是100M。针对此，在交换机上提出了Trunk的概念，目的就是将多个接口捆绑起来之后在逻辑上当成一个接口使用，从而提高交换机之间的交换带宽；并且，trunk还有一个很好的应用，不光是可以增加带宽，还可以用来实现线路冗余备份，下面用图例进行描述：交换机A 交换机B图例中，交换机A与B之间的实际流量是120M，在交换机A与B之间使用2个百兆以太网接口进行连接以实现交换机之间转发数据不发生丢包现象。假设其中的一条线路发生故障，比如被老鼠咬断，那么交换机之间的流量会通过其余的那跟线路进行转发，从而可以保证交换机之间的通信仍然畅通，于是这2跟线路就实现了互相备份的功能。注：trunk逻辑上是一个接口，因此即使运行生成树协议，也不会将其中的物理线路设置为block状态。5.端口镜像交换机大多支持端口镜像功能，它可以让一个接口上接收到的或者发送的数据可以从镜像的端口上发送出来。这个功能的主要目的是为了监测网络上的数据，比如，交换机的一个接口连接了一台PC机，管理员当前希望看看这台PC机到底发送了什么样的数据，或者交换机发送了什么数据给这个用户，就可以为这个接口配置镜像接口，然后在镜像接口上用专门的截包工具来进行数据分析。IEEE802.1Q我们先考虑下面的一种情况:其中用户A属于vlanl,用户B属于vlan2,用户C属于vlan2,用户D属于vlan1,交换机K使用接口1与交换机L的接口1进行连接；并且我们希望用户A与D能通信，B与C能通信，但是A、D不能与B、C通信。我们怎么来实现上面的需求呢？假设把K的1端口以及L的1端口都设置为属于VLAN1以及VLAN2,以实现A/B的数据可以发送到L（同样，C/D的数据也可以发送给K），但是，L收到K的数据（比如一个广播数据报）的时候，L已经不知道数据是从vlan1来的还是vlan2来的，因此在转发时就不知道这个广播数据报发给C还是发给D。于是IEEE802.1Q被开发出来，当一个接口使能了IEEE802.1q后，从这个接口发出的数据报中都带有VLAN标识，以让该数据报的接收者知道这个数据报所属于的VLAN。以上图为例，A发送给D的数据报从交换机K发出时，数据报中指明了属于VLAN1，于是交换机L知道这个数据报属于VLAN1，然后就将其发送给了D，就实现了A与D能够通信，但是A/D与B/C之间不能通信；注：有的厂商有VlanTrunk的概念，就是说一个接口可以承载多个vlan的数据，因此IEEE802.1Q是VlanTrunk的一种技术。PVIDPVID是指端口的缺省vlanid，当交换机的一个接口收到不带VLAN标记的数据报时，交换机认为这个数据报就是属于这个vlan的，从而在转发该数据时只在这个VLAN内进行。GARPGARP的英文全称是GenericAttributeRegistrationProtocol，它提供一种通用的属性分发能力，GARP的应用都可以通过GARP来在一个LAN中实现属性的登记与解除登记，因此GARP只是一个属性的承载与分发协议，具体的属性需要专门的协议来进行定义，目前使用到GARP的协议包括GVRP与GMRP。下面用一个图来简单的讲解一下GARP首先图中的左下的交换机收到了属性A的声明，于是这个交换机在收到这个声明的端口进行属性登记，然后将转发该声明，于是LAN3上的交换机将收到属性A的声明，同时进行登记，然后再次转发该属性声明。不难看到，通过这种方法，LAN上的所有交换机都知道了属性A的存在。这其实也就是GARP的目的所在，不需要网管的配置而达到网络内所有交换机都知道某个属性的存在。GMRPGMRP的英文全称为GARP(GenericAttributeRegistrationProtocol)MulticastRegistrationProtocol，GMRP提供一种机制来使得同一个LAN上的桥(bridge)与终端(endstation)可以动态的注册(register)组成员信息与解除组成员信息的注册，这样就可以让LAN上的桥(也就是我们所的交换机)收到目的为组的数据时知道发送到哪些接口而不是广播这样的数据，这些就避免了不必要的交换，同时也降低了网络的流量。GVRPGVRP的英文全称为GARPVlanRegistrationProtocol,它也是使用GARP协议来实现VLAN在LAN上的动态登记与解除登记，这样当LAN上的一个交换机A创建一个VLAN之后，能够使LAN上的所有交换机都知道这个VLAN的存在(并且在这些交换机上也会创建这个vlan)，那么其它交换机收到这个VLAN的数据报后，就可以把数据报转发到A上来。如果不使用GVRP，那么实现同样的功能就需要对所有的交换机都进行配置，就增加了管理的工作量。不过GARP协议本身很耗费资源，安全性也不是很好，所以如果希望网络的拓扑稳定，还是推荐使用静态的配置。IEEE802.1x该文档的名称为Port-basedNetworkAccessControl（基于端口的网络接入控制），IEEE802.1X的功能就是提供一种功能来实现对交换机端口的认证机制，如果认证通过，那么这个接口就可以使用；如果认证不通过，那么这个接口收到的数据就会被交换机给丢弃掉。这个功能需要在PC机上安装IEEE802.1X的客户端软件，然后让客户端软件与交换机进行IEEE802.1X协议的通信。IEEE802.1X是基于端口认证的，因此该功能最好是在直接连接客户的交换机上使能。。但是网络管理员可能更喜欢集中的认证机制，即用户通过2层交换机连接起来，然后再把这些2层交换机连接到一个功能强大的交换机，认证功能都由这台交换机实现。我们可以比较一下集中认证与分散认证的优缺点：集中认证在配置上简单一些，只需要配置一台设备即可；而分散认证配置就比较麻烦，需要在多个交换机上进行配置，因此工作量大；分散认证的好处在于，如果一个用户是非法用户（即通过不了认证），那么这个用户就对网络造不成什么影响，这个非法用户的数据不会到达其它交换机或者其它PC；而集中认证，只是这个非法用户的数据在集中认证交换机处被终结，但是这个非法用户可以对网络造成影响，比如他可以向网络发送大量的垃圾数据报让网络变得很繁忙、从而导致其它用户也不能上网，或者对网络发送病毒而让其它PC机被感染。因此可以看见，分散认证在安全性方面要比集中认证要好，而在配置方面则是集中认证好一些，网络管理员可以根据自己的需要进行选择。IEEE802.1X虽然是基于端口进行认证的，但是目前很多的厂商都将其进行了扩展，让它可以针对MAC地址或者VLAN+MAN进行认证，目的就是让IEEE802.1X具备集中认证的能力。RSTPRSTP是指快速生成树，它的提出是因为STP（标准生成树）的收敛时间比较长（接近1分钟）。假设两台交换机之间通过2根链路进行连接，那么通过STP的作用，其中的一根链路将会处于block状态（即不转发数据），而另外一根链路正常的转发数据，当这根转发数据的链路坏掉时（不管是由于什么原因），需要几十秒的时间那根处于block状态的链路才会进行数据的转发，而这几十秒的时间中，两台交换机之间都不能进行数据转发，用户就会感觉到网络中断（因为用户PC机上的所有TCP连接都将被关闭），因此STP在网络恢复速度上不很令人满意。RSTP修改了STP的一些相关部分，从而使得链路从blocking进入forwarding状态的时间在几秒钟内实现，这样网络的恢复时间很快，用户对网络中断的感觉就不是很明显。2层交换机、3层交换机、路由器的区别2层交换机：2层交换机只实现VLAN内2层数据的转发，即收到数据之后通过数据报的目的MAC进行转发判断；3层交换机：除了支持2层数据（数据链路层）在同一vlan的转发外，还支持不同VLAN间数据的转发（通过目的IP查找路由来实现转发）；路由器：路由器只支持3层数据转发，不支持2层数据的转发。所以，从功能上看，3层交换机比2层交换机以及路由器都要强大一些。3层交换机2层交换与3层交换的判断标准3层交换机既然支持2层交换与3层交换，那么3层交换机是如何判别对收到的数据是进行2层交换还是3层交换呢？下面我们进行一个简单的讲解。当3层交换机进行3层交换时，对于用户而言，这个3层交换机就表现为用户的网关，因此需要为3层交换机配置IP地址、以及指明子网规模（通过子网掩码获知）同时为了能够收到用户的数据，3层交换机需要有一个物理接口与这个用户位于同一vlan。当用户A发送数据给位于同一VLAN的用户B时，数据报的目的MAC地址是B的mac地址，3层交换机收到这样的数据报时，通过查找MAC地址表，就知道将数据发送到B，因此只做2层交换。当用户A发送数据给位于另一个VLAN的用户C时，数据报的目的MAC地址将是网关的mac地址（即3层交换机为这个vlan所指定的MAC地址，通过ARP告知用户A），3层交换机收到这样的数据时，发现目的MAC地址是自己的3层MAC地址，于是转入3层转发流程，通过查找数据报中的目的IP来决定将数据报转发到C所位于的VLAN。所以，3层交换机进行3层交换的依据是：收到的数据报的目的MAC地址是3层交换机在这个VLAN上的3层MAC地址。三.典型组网方案1.小型企业网接入的用户在600左右的为小型企业网。对于这种小型网络，我们的组网方案为:在此方案中，把各个办公室划分为独立的lan并设置一个单独的子网，使用2层交换机来进行接入与汇聚，使用中型3层交换机作为核心交换设备来在各个子网间进行数据转发，防火墙运行NAT转换后连接到互联网；每个2层交换机接入10-20个用户，并把中型3层交换机的每个接口都设置到不同的vlan之间去，这样做的目的是使各个办公室之间的数据不互相干扰，相应也就提高了每个办公室的上网速度；每个办公室之间的数据都是通过中型3层交换机进行3层转发的，因为交换机的线速转发性能，办公室之间的数据交换并不会出现丢包现象。图中的2层交换机建议使用具有24个10/100M以太网接口或者更多接口的交换机，这样，当网络升级的时候这些交换机仍然可以使用，如果使用端口数小的2层交换机，那么在网络升级时如果不把原有的2层交换机扔掉，就会出现太多的2层交换机而难于管理与维护。该组网方案中并没有出现汇聚层的设备，因为网络的规模太小，就没有必要了。2.中小型企业网我们把接入用户规模在2000-3000的企业网称为中小型企业网，对于这样的网络，可以使用下面的组网方式：随着网络中用户数量的增加，不能再使用小型企业网的组网方案，我们仍然使用2层交换机作为纯粹的接入设备，在图中增加一种设备（2层汇聚交换机）来进行汇聚。在2层汇聚交换机与3层交换机之间采用千兆线路进行连接，这样作可以避免由于在网络中数据经过的设备数量增加，为了不导致网络中的数据交换产生较大的延迟。2层汇聚交换机应该具备众多的10/100M以太网接口（可汇聚多个2层交换机）和多个千兆以太网接口（提供高速上连能力）。该交换机应该支持全线速转发，支持IEEE802.1q、端口聚合（Trunk）、端口速率控制、优先级队列管理等功能，以满足各种接入场合下的特殊要求。比较小型企业网的组网方案与本方案，可以看到，网络只是添加了几台汇聚层的2层交换机，以前的设备都仍然可以使用，因此网络升级的费用很少。中型企业网对于用户数量超过5000但是少于10000的企业网，我们的组网方案为:随着网络规模的进一步扩大，只使用一台3层交换机作为网络核心交换可能会降低网络的处理性能，最大的原因就是：所有用户产生的流量都会到达这台设备，那么它需要处理的协议数据报数量也就非常庞大，比如假设每秒钟每个用户产生2个广播报文（比如ARP请求/或者DHCP请求，还有一些其他的数据），这台3层交换机的CPU必须对这样的数据进行处理，因此每秒这台交换机上的CPU需要处理的数据量为：5000（用户）*2=10000，这个数字还是比较保守的估计，因此如果对于这样规模的网络仍然只有一台核心设备，那么其CPU将会非常繁忙，在应答用户的数据时延迟必然加大，给用户的感觉就是网络的速度好象变慢了。因此，需要多个3层交换机来分担这种压力，这就是网络中出现多个3层交换机的原因在3层交换机之间的连接上，可以把多个千兆链路聚合后形成1个更高速率的连接（比如4G），这样，在多个3层交换机之间并不会导致数据阻塞，仍然保持了网络的高速交换特性。比较本方案与前面介绍的中小型企业网的方案，可以看到，网络仅仅需要添加3层交换机以及2层交换机，以前的设备都仍然在使用并且对原有网络几乎不需要改动，因此网络升级花费少，任务量也小。

大型企业网如果用户的数量超过了10000,我们将其定位为大型企业网，对于这样的网络，我们的组网方案为：2层交换机核心交换机2层汇聚交换机3层交换机22层交换机核心交换机2层汇聚交换机3层交换机2层交换机2层汇聚交换机互联网3层交换机对于这样大规模的网络，如果采用多台（比如超过4台）3层交换机作为核心设备，那就会加大网络数据交换的延迟（可能有些数据需要经过所有的3层交换机，再算上经过2层接入交换机以及2层汇聚交换机的延迟，将导致数据转发延迟过大，从而导致网络速度的下降）。所以，需要引入大型交换设备（核心交换机或者核心路由器）来减少数据经过设备的数量。核心交换机（或者核心路由器）的功能一般都非常强大，因此可以将它直接与互联网相连接，如果企业网需要非常高的安全性，当然也可以在核心交换机与互联网之间使用专门的防火墙设备。四.产品简介S4603路由交换机产品简介F-engineS4603三层交换机定位于电信级产品，面向大型企业网、园区网以及IP城域网汇聚或核心层，实现高密度快速以太网和千兆以太网接口的高速交换和路由。是一款大容量、高密度、模块化的二/三层线速以太网路由交换机。它支持完备和丰富的二/三层协议，以及等级服务、流处理、QOS保证机制以及强大的业务处理和认证计费等应用服务能力，可以适应各种复杂网络的应用要求。产品配置系统采用横插式的机箱，由机架（带背板）单元，风扇单元，电源单元，和线卡组成。机架（带背板）单元提供4个槽位，其中控制模块占用1个槽位，接口模块占用2个槽，扩展模块占用1个槽位；风扇单元和电源单元提供冗余保护配置并支持热插拔，可选的配置如下：模块类型最大可插数量描述S4603R1机架式4槽交换机机箱，LC-NPU-4GBIC1交换和控制线卡含4个GBIC接口线卡LC-E48TX248口10/100M以太网RJ45接口线卡LC-E4GBIC24口1000M以太网GBIC接口线卡LC-EXU-1GBIC1功能扩展卡，可实现NAT,认证等增值功能产品主要特点•二层功能符合IEEE802.3/3u/3z/3ab；支持VLAN及VLANTrunk，符合IEEE802.1q；支持STP协议，符合IEEE802.1d；支持全双工流控，符合IEEE802.3x；支持链路聚合，符合IEEE802.3ad；♦支持N：1端口镜像；♦支持广播风暴控制和削减；♦支持线头阻塞（HOLB）；♦支持用户安全接入控制，符合IEEE802.1x；♦支持端口与MAC地址的绑定；支持QoS，可基于端口、MAC地址、VLAN配置QoS策略，符合IEEE802.1p；支持基于流的速率限制，千兆接口支持基于端口配置速率支持基于端口/MAC地址/子网配置VLAN，支持的VLAN数量为4K♦线卡支持热拔插♦支持多个电源来实现电源冗余•三层功能支持静态路由、RIPv1/v2、OSPF2协议；支持PIM-SM、IGMPv1/v2组播协议；♦支持统一网管；♦具有SNMP，支持各种标准MIB♦支持RMON（第1、2、3、9组）；支持基于源IP地址、目的IP地址、源TCP端口、目的TCP端口、协议类型的包过滤♦支持RADIUS协议；♦支持DHCPserver以及relay功能主要技术指标交换容量24G背板容量48G转发方式存储转发包缓存容量16MB二层/三层转发表项16K/4KVLAN数量4095最大Trunk组18组网管类型Telnet、Console、WEB、SNMPRMON组1-统计、2-历史、3-告警、9-事件工作温度—10°C〜50°C工作湿度10%〜90%，无霜

电源双电源备份220VAC(47〜60Hz)或-48VDC功率<350W体积（宽X深X高）450mmX483mmX300mm重量<35KgF-engineS2000M系列10/100Mbps智能网管型以太网交换机产品简介S2000M系列交换机是多端口的10/100M自适应网管型以太网交换机。S2000M系列产品包括8端口、16端口和24端口三种规格,可达到全线速转发，具有TagVLAN、端口聚合(Trunk)和端口地址绑定等功能，可满足各种场合下宽带网络接入的需求。S2000M网管型交换机提供了形象直观、功能强大的图形界面网管系统，支持SNMP协议和HTTP协议以及灵活方便的带内和带外网络管理。网络管理者可通过统一的网络管理平台(如HPOpenView)或Web方式对网络进行维护和管理。该系列产品支持RMON远程网络监控，使管理应用程序可在任一时间段内提取各种统计、分析数据。并且16端口和24端口交换机具有100M光接口插槽，可插入单模或多模100M光接口模块;支持的传输距离有2km(多模)、20km、40km和60km四种。产品型号型号10/100M以太网接口100M光口应用特点S2008MS2016MS2024MS2024M-2FX8个RJ45电口16个RJ45电口24个RJ45电口24个RJ45电口无提供1个SC光口插槽提供1个SC光口插槽提供2个SC光口插槽功能全面，网管丰富，可提供可靠的运营级服务产品主要特点可编程10/100Mbps自适应端口，支持端口的直通/交叉自适应；具备光纤模块接口，适应长距离传输；支持802.1d生成树协议；支持基于端口VLAN和IEEE802.1qTaggedVLAN；支持IEEE802.1P优先级队列管理；支持IGMPSnooping，最多支持256个组播组；支持2~4端口的链路聚合(Trunk)技术，聚合带宽最高可达800Mb/s；支持端口速率控制，速率限制粒度为100K；(适用于S2024M-2FX)基于端口和基于MAC地址的负载平衡；具有扩散控制(FloodControl)＞广播风暴控制功能；支持IEEE802.3x全双工流量控制和后压式半双工流量控制；支持MAC地址绑定和安全功能；支持IEEE802.1x认证；（适用于S2024M-2FX）超宽电源电压和工作温度范围。网管系统支持RMONGroup1、2、3、9组；支持SNMP、网桥MIB、MIBII；符合Ethernet-likeMIB和BridgeMIB标准；支持多种网管类型，可实现配置管理、故障管理、性能管理、安全管理等功能:-WEB带内、带外图形界面网管；-TELNET远程命令行（CLI）网管；-串行Console口命令（CLI）网管。主要技术指标属性描述标准IEEE802.3,IEEE802.3u，IEEE802.3x，IEEE802.1d、IEEE802.1q、IEEE802.1p、SNMPv1/v2c、IGMPv2接口10/100M电口：RJ45接口 100M光口：SC接口交换带宽9.6Gbps传输方式存储转发最大转发/过滤速度148800ppsVLANPortBasedVLAN:数量不限802.1qTagVLAN：256个，VLANID:4096TRUNK支持2〜4端口Trunk,带宽可达400〜800Mbps网管类型TELNET.SNMP、Web方式的远程管理；Console口本地管理RMON组1-统计、2-历史、3-告警、9-事件缓存容量S2008M2MbS2016M4MbS2024M6MbS2024M-2FX6Mb最大MAC地址数S2008M1KS2016M2KS2024M3KS2024M-2FX 14K工作环境工作温度：-10〜50°C 工作湿度：10〜90%，无霜电源要求AC：90〜260V，50〜60Hz 功耗：＜60W

体积（宽X深X高）S2008M 380mmX210mmX44mmS2016M/S2024M 441mmX192mmX44mmS2024M-2FX 445mmX170mmX45mmF-engineS2205千兆以太网交换机产品简介F-engineS2205交换机是在S2000系列交换机基础上推出的多端口、多功能、可网管的新型千兆以太网交换机；可以满足大型企业、电信运营商高带宽接入的需求。S2205交换机具有24个10/100Mbps以太网电接口和2个扩展插槽，可选配百兆/千兆光纤模块提供高速上连能力。该型交换机支持全线速转发，支持速率和模式自适应；同时具有强大、完备的功能，除支持具备VLAN划分、端口聚合（Trunk）、端口地址绑定、组播（IGMPSnooping）等基本功能外，还支持端口速率控制、优先级队列管理和接入主机数量限制等增强功能，以满足各种接入场合下的特殊要求，是网络运营网商构建IP宽带网的理想选择。S2205系列交换机提供了形象直观、功能齐全的图形界面网管系统，支持Telnet、WEB、SNMP、Console口等网管方式，运营商可以灵活选择来对网络进行全面的维护和管理。产品配置24个10Base-T/100Base-Tx端口+2个扩展插槽可选模块：1端口100Base-Fx光模块（多模2km，单模20km〜120km，SC接口）1端口1000Base-Sx光模块（多模，550m，SC接口）1端口1000Base-Lx光模块（单模，10km、20km，SC接口）产品主要特点♦具备千兆光纤模块接口，适应长距离传输；存储转发（Store-and-Forward）模式，支持全线速过滤和转发；支持IEEE802.1d生成树协议；♦支持IEEE802.1qTaggedVLAN和GVRP；支持IEEE802.1P优先级队列管理；♦支持IGMPSnooping；♦支持MAC地址的自学习和更新；支持IEEE802.3x全双工流量控制和后压式半双工流量控制；支持MAC地址绑定和过滤；支持端口速率控制，速率限制粒度为100K；丰富的QOS管理和安全管理功能；支持DHCPRelay；支持802.1x认证。网管系统支持RMONGroup1、2、3、9组；♦支持SNMP、网桥MIB、MIBII；符合Ethernet-likeMIB和BridgeMIB标准；支持多种网管类型，可实现配置管理、故障管理、性能管理、安全管理等功能：-WEB带内外图形界面网管；-TELNET远程命令行（CLI）网管；-串行Console口命令（CLI）网管。主要技术指标属性描述标准IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.1d、IEEE802.1p、IEEE802.1q、SNMPv1/v2c、IGMPv2接口10/100M电口：RJ45接口1000M光口：SC接口串口：DB9交换带宽9.6Gbps传输模式自动协商（半/全双工，10/100Mbps）传输方式存储转发最大过滤转发速度100M：148800pps1000M：1488000pps

VLANPortBasedVLAN:大于端口数802.1qTagVLAN：256组，VLANID:4096缓存容量6Mb最大MAC地址数14KFlash容量2MB网管类型TELNET、SNMP、Web方式的远程管理；Console口本地管理RMON组1-统计、2-历史、3-告警、9