局域网（LAN）不断变化的需求迫使企业将特性和功能从核心扩展到边缘。当网络管理员尝试支持复杂的移动性、客户访问和虚拟化的需求时，智能边缘交换机变得越来越重要。

　　“[在过去]大多数围绕网络设计的常见想法是将更高价格的部署在数据中心核心，而在边缘则部署较低智能、较低价格的交换机，”位于Boston的调查公司Yankee Group的副总裁，Zeus Kerravala说道。“如果你看看今天的网络正在发生什么，你会发现现在网络的边界[越来越复杂]，连接到网络设备的数目——包括物理的和虚拟的——越来越多。”

　　过去，一般的边缘交换机是在足够为员工提供统一访问方法的企业中使用的。大多数用户都拥有类似的连接到办公室LAN端口的终端设备。每个人都拥有简单的用户配置文件，并且只有内部员工需要进行网络访问。现在一切都改变了。企业中到处都有移动设备，同时新的应用和设备都全天候地在LAN上运行。

　　Kerravala提到，在医院里，所有的医疗设备都是直接连接到网络边缘的。而在工厂，制造设备也同样连接到网络上。

　　“加上虚拟化技术的更广泛应用，理论上你在任何时间都在使用网络的应用，[同时]原本在数据中心的智能也已经遍布整个网络了，”他说道。

　　网络访问控制需求推动智能边缘交换机发展

　　Milpitas, Calif.的ConSentry Networks已经尝试投资边缘智能的这个新生需求了。起初，网络访问控制供应商，ConSentry已经将其业务模式转向建立名为“上下文感知交换机”，也就是直接植入了访问控制和安全性功能的边缘交换机。

　　最近，ConSentry所发起的调查数据证明了边缘交换机必须拥有原先由核心交换机所处理的一些安全性和管理功能的观点。在对200名美国和英国IT管理员的调查中，64%的被调查者表示他们需要提高对一般用户访问公司网络的控制，而66%表示新设备和应用的增加让他们更难以审计网络。93%表示他们更迫切需要管理拥有多个网络ID和身份的用户，而83%表示多身份问题正迫使他们重新检查网络控制方法。

　　管理LAN访问权限也变得越来越复杂。46%的被调查者表示他们必须支持访客用户，而38%表示他们必须激活审计人员或者其他临时人员来访问LAN资源。另外47%表示他们必须能够通过LAN与外包供应商和客户一起工作。

　　此外，企业内部的跨职能小组也带来更复杂的访问权限管理。比如，一位CIO，他拥有一组作为IT管理员职能范围内的应用和数据访问权限。同时他还可能是董事会管理团队的一员而拥有第二组访问权限。当企业更强调移动性和协作性时，能够同时管理这两组访问权限在网络边缘是至关重要的。

　　“最初是客户、临时人员和外部人员促使人们进行网络访问控制的，”Jeff Prince，ConSentry的CTO说道。“这方面高度强调的仍然是驱动因素。但是最主要的驱动因素实际上是回到组织的内部组——跨职能小组。我们认为‘LAN杂乱化’正使得这方面变得更难处理。用户以这么多不同的方式连接，你该如何控制他们的访问呢？其中包括有线的、无线的访问，还有本地和远程的访问。用户以许多不同的方式进行连接，而[企业]事实上正在为如何以统一的安全策略覆盖这么多不同的连接方式而犯难。

　　智能边缘交换机：考验安全性

　　据Probation、 Parole 和Pardon Services 在South Carolina Department 的IT系统和服务主管David O'Berry看来，网络节点，特别是边缘交换机，需要更多的参与安全性。

　　“我将之称为中央分布式计算，”O'Berry 说道。“你将拥有大量的边界，而不是一个固定的边界。网络上的每一个节点都必须关注它周遭正在发生的事情。”

　　O'Berry的组织四年来已经达到95%移动覆盖率了，现在他正朝着100%而努力。目前，他的大多数员工都以非标准方法来连接网络。“我们的节点中95%是Lenovo平板电脑，因此人们可以到不同的地方做各种不同的事情，这可以提高生产力，”他说道。“但是非标准的接入方式是非常显著的。因此，你将在所有的地方看到这样的连接问题。如果对这些问题进行控制，那么你将中断所有人的网络连接，然后没有人能够做事情了。”

　　将所有安全性功能和决策放到网络核心去实现也不是最佳的策略，他补充道。

　　“你拥有这些巨大的核心层设备，同时你必须在某个地方创建交互关系，然后做出一个决策，”O'Berry说道。“有时候，我们连一分钟都抽不出来。”

　　用户以小智能设备取代老的边缘交换机

　　必须网络硬件使用改进的芯片，这样边缘交换机才可以能够来处理关键访问决策。虽然供应商正在改进这个领域，但是我们还需要更多的投入，他说道。同时，O'Berry目前正在用更智能的边缘交换机取代传统的ProCurve边缘交换机，该交换机来自Juniper Networks，它将有助于他们更好地管理LAN访问。

　　“我们打算采用Juniper交换机，它们功能很强大，”他说道。“Juniper已经在每个交换机中使用了UAC[统一访问控制]，因此每台交换机都可以根据我们所制定的模板来进行端口配置。这就如同你可以开始做DLP[数据丢失保护]或者白名单，但是它达不到交换机的级别，同时你并不需要担心在有人能在你不知道的情况下下载蠕虫并感染你的系统。”

　　智能边缘交换机的需要远不止于安全性和访问控制，它也关乎网络管理和性能管理，Kerravala说道。

　　“有了将Netflow 或者 Sflow[从终端交换机]传输到不同的管理应用的功能，你才可以在网络上跟踪虚拟设备，这是很重要的，”他说道。“当你开始处理vMotion时，那么你可以开始在网络上传输虚拟工作流。你必须能够跟踪这些变化，同时你需要边缘交换机与管理工具进行交互。”