隨著百兆、千兆，甚至萬兆局域網的逐漸普及，寬帶城域網，甚至寬帶廣域網的廣泛應用，不管是Intranet、Extranet、還小區智能網，日益擴張的海量信息量，正迫使著人們對網絡系統中的音頻、視頻、數據等信息的傳輸量的要求越來越高。Internet的迅猛發展，電子商務、電子政務、電子貿易、電子期貨等網絡交易方式的采用，在加速物流、資金流周轉的同時，也加速了信息急速驟增，給網絡信息中心服務器增加了極大的壓力，從而使普遍需要緩解網絡核心系統壓力的需求一浪高過一浪。為此，業界不得不開始考慮第四層交換概念了，以滿足基于策略聯網、高級QoS（Quality of Service：服務質量）以及其它服務改進的要求。巨大的市場潛力，又大大刺激了廣大廠商在網絡關鍵設備方面的重大投入，以至于在極短的時間內出現了從傳統的第二層交換機，到技術先進的第三層交換機，再到近期推出的第四層，甚至第七層交換機產品的喜人局面。
第四層交換機區別時第三層交換機的是，它不僅應用了第三層交換機中的IP交換技術，更重要的是它站在更高層次上，可以查看第三層數據包頭源地址和目的地址的內容，可以通過基于觀察到的信息采取相應的動作，實現帶寬分配、故障診斷和對TCP/IP應用程序數據流進行訪問控制的關鍵功能。顯然，第四層交換機在通過任務分配和負載均衡的同時，完全可以優化網絡/服務器界面，提高服務器的可靠性和可擴充性，并提供詳細的流量統計信息和記帳信息，從而在網絡應用層水平上解決網絡擁塞、網絡安全和網絡管理等問題，使網絡更具“智能”性和可管理性。
組建一個高速、寬帶、穩定、可靠，且能融合安全與保密等全新需求的內外聯網絡系統，是當前企業網絡發展的趨勢。高速局域網的應用，已輕松地將語音、視頻等對延時、抖動、丟包要求非常苛刻的通信類型集成在同一數據網上傳輸。來自企業網絡內部的安全威脅，最理想的防范措施，往往是采取對不同用戶的限權控制，杜絕非授權通信。勿容至疑，這些都要求我們有全新的局域網交換機支持。另外，從提高服務質量方面看，雖然我們有不斷增添網絡帶寬這種有效而又簡單的方法，但無論交換機的背板帶寬有多高，無論交換機的數據包轉發率有多大，無論數據傳輸率有多快，網絡擁塞卻永遠存在于網絡中。這從一個側面告訴我們，沒有服務質量控制，同樣將意味著數據包可能丟失、延遲可能增加。
可見，工作在更高層次、支持質量服務、依靠軟件運作和高層次管理的交換機，在現代企業網中具有多么重要的位置。下面我們就簡單地介紹第四層交換機的相關性能、技術、應用領域和發展趨勢。

一、 什么是第四層交換機

要想認識第四層交換機，先得對傳統的第二層交換機和現在廣泛應用的第三層交換機的基本工作原理和性能，有一些簡單了解，只有通過比效，你才能真正鑒別第四層交換機。
眾所周知，第二層交換機，是根據第二層數據鏈路層的MAC地址和通過站表選擇路由來完成端到端的數據交換的。因為站表的建立與維護是由交換機自動完成，而路由器又是屬于第三層設備，其尋址過程是根據IP地址尋址和通過路由表與路由協議產生的。所以，第二層交換機的最大好處是數據傳輸速度快，因為它只須識別數據幀中的MAC地址，而直接根據MAC地址產生選擇轉發端口的算法又十分簡單，非常便于采用ASIC專用芯片實現。顯然，第二層交換機的解決方案，實際上是一個“處處交換”的廉價方案，雖然該方案也能劃分子網、限制廣播、建立VLAN，但它的控制能力較小、靈活性不夠，也無法控制各信息點的流量，缺泛方便實用的路由功能。
第三層交換機，是直接根據第三層網絡層IP地址來完成端到端的數據交換的。表面上看，第三層交換機是第二層交換器與路由器的合二而一，然而這種結合并非簡單的物理結合，而是各取所長的邏輯結合。其重要表現是，當某一信息源的第一個數據流進行第三層交換后，其中的路由系統將會產生一個MAC地址與IP地址的映射表，并將該表存儲起來，當同一信息源的后續數據流再次進入交換環境時，交換機將根據第一次產生并保存的地址映射表，直接從第二層由源地址傳輸到目的地址，不再經過第三路由系統處理，從而消除了路由選擇時造成的網絡延遲，提高了數據包的轉發效率，解決了網間傳輸信息時路由產生的速率瓶頸。所以說，第三層交換機既可完成第二層交換機的端口交換功能，又可完成部分路由器的路由功能。即第三層交換機的交換機方案，實際上是一個能夠支持多層次動態集成的解決方案，雖然這種多層次動態集成功能在某些程度上也能由傳統路由器和第二層交換機搭載完成，但這種搭載方案與采用三層交換機相比，不僅需要更多的設備配置、占用更大的空間、設計更多的布線和花費更高的成本，而且數據傳輸性能也要差得多，因為在海量數據傳輸中，搭載方案中的路由器無法克服路由傳輸速率瓶頸。
顯然，第二層交換機和第三層交換機都是基于端口地址的端到端的交換過程，雖然這種基于MAC地址和IP地址的交換機技術，能夠極大地提高各節點之間的數據傳輸率，但卻無法根據端口主機的應用需求來自主確定或動態限制端口的交換過程和數據流量，即缺乏第四層智能應用交換需求。第四層交換機不僅可以完成端到端交換，還能根據端口主機的應用特點，確定或限制它的交換流量。簡單地說，第四層交換機是基于傳輸層數據包的交換過程的，是一類基于TCP/IP協議應用層的用戶應用交換需求的新型局域網交換機。第四層交換機支持TCP/UDP第四層以下的所有協議，可識別至少80個字節的數據包包頭長度，可根據TCP/UDP端口號來區分數據包的應用類型，從而實現應用層的訪問控制和服務質量保證。所以，與其說第四層交換機是硬件網絡設備，還不如說它是軟件網絡管理系統。也就是說，第四層交換機是一類以軟件技術為主，以硬件技術為輔的網絡管理交換設備。
最后值得指出的是，某些人在不同程度上還存在一些模糊概念，認為所謂第四層交換機實際上就是在第三層交換機上增加了具有通過辨別第四層協議端口的能力，僅在第三層交換機上增加了一些增值軟件罷了，因而并非工作在傳輸層，而是仍然在第三層上進行交換操作，只不過是對第三層交換更加敏感而已，從根本上否定第四層交換的關鍵技術與作用。我們知道，數據包的第二層IEEE802.1P字段或第三層IP ToS字段可以用于區分數據包本身的優先級，我們說第四層交換機基于第四層數據包交換，這是說它可以根據第四層TCP/UDP端口號來分析數據包應用類型，即第四層交換機不僅完全具備第三層交換機的所有交換功能和性能，還能支持第三層交換機不可能擁有的網絡流量和服務質量控制的智能型功能。

二、第四層交換機支持哪些重要技術

如上所述，第二層交換設備是依賴于MAC地址和802.1Q協議的VLAN標簽信息來完成鏈路層交換過程的，第三層交換/路由設備則是將IP地址信息用于網絡路徑選擇來完成交換過程的，第四層交換設備則是用傳輸層數據包的包頭信息來幫助信息交換和傳輸處理的。也就是說，第四層交換機的交換信息所描述的具體內容，實質上是一個包含在每個IP包中的所有協議或進程，如用于Web傳輸的HTTP，用于文件傳輸的FTP，用于終端通信的Telnet，用于安全通信的SSL等協議。這樣，在一個IP網絡里，普遍使用的第四層交換協議，其實就是TCP（用于基于連接的對話，例如FTP）和UDP（用基于無連接的通信，例如SNMP或SMTP）這兩個協議。
由于TCP和UDP數據包的包頭不僅包括了“端口號”這個域，它還指明了正在傳輸的數據包是什么類型的網絡數據，使用這種與特定應用有關的信息（端口號），就可以完成大量與網絡數據及信息傳輸和交換相關的質量服務，其中最值得說明的是如下五項重要應用技術，因為它們是第四層交換機普遍采用的主要技術。
⑴包過濾/安全控制：在大多數路由器上，采用第四層信息去定義過濾規則已經成為默認標準，所以有許多路由器被用作包過濾防火墻，在這種防火墻上不僅能夠配置允許或禁止IP子網間的連接，還可以控制指定TCP/UDP端口的通信。和傳統的基于軟件的路由器不一樣，第四層交換區別于第三層交換的主要不同之處，就是在于這種過濾能力是在ASIC專用高速芯片中實現的，從而使這種安全過濾控制機制可以全線速地進行，極大地提高了包過濾速率。
⑵服務質量：在網絡系統的層次結構中，TCP/UDP第四層信息，往往用于建立應用級通信優先權限。如果沒有第四層交換概念，服務質量/服務級別就必然受制于第二層和第三層提供的信息，例如MAC地址，交換端口，IP子網或VLAN等。顯然，在信息通信中，因缺乏第四層信息而受到妨礙時，緊急應用的優先權就無從談起，這將大大阻止緊急應用在網絡上的迅速傳輸。第四層交換機允許用基于目的地址、目的端口號（應用服務）的組合來區分優先級，于是緊急應用就可以獲得網絡的高級別服務。
⑶服務器負載均衡：在相似服務內容的多臺服務器間提供平衡流量負載支持時，第四層信息是至關重要的。因此，第四層交換機在核心網絡系統中，擔負服務器間負載均衡是一項非常重要的應用。第四層交換機所支持的服務器負載均衡方式，是將附加有負載均衡服務的IP地址，通過不同的物理服務器組成一個集，共同提供相同的服務，并將其定義為一個單獨的虛擬服務器。這個虛擬服務器是一個有單獨IP地址的邏輯服務器，用戶數據流只需指向虛擬服務器的IP地址，而不直接和物理服務器的真實IP地址進行通信。只有通過交換機執行的網絡地址轉換（NAT）后，未被注冊IP地址的服務器才能獲得被訪問的能力。這種定義虛擬服務器的另一好處是，在隱藏服務器的實際IP地址后，可以有效地防止非授權訪問。
虛擬服務器是基于應用服務（第四層TCP/UDP端口號）定義的，這樣，獨立服務器便可以是虛擬服務器的成員。而使用第四層對話標志信息，第四層交換機則可以使用許多負載均衡方法，在虛擬服務器組里轉換通信流量，其中OSPF、RIP和VRRP等協議與線速交換和負載均衡是一致的。第四層交換機還可以利用被稱之為TRL（Transaction Rate Limiting）功能所提供的復雜機制，針對流量特性來遏制或拒絕不同應用類型服務。可以借助CRL（Connections Rate Limiting）功能，使網絡管理員指定在給定的時間內所允許的連接數，保障QoS。或者借助SYN-Guard功能，確保那些滿足TCP協議的合法連接才可查詢網絡服務。
⑷主機備用連接：主機備用連接為端口設備提供了冗余連接，從而在交換機發生故障時有效保護系統，這種服務允許定義主備交換機，同虛擬服務器定義一樣，它們有相同的配置參數。由于第四層交換機共享相同的MAC地址，備份交換機接收和主單元全部一樣的數據。這使得備份交換機能夠監視主交換機服務的通信內容。主交換機持續地通知備份交換機第四層的有關數據、MAC數據以及它的電源狀況。主交換機失敗時，備份交換機就會自動接管，不會中斷對話或連接。
⑸統計：通過查詢第四層數據包，第四層交換機能夠提供更詳細的統計記錄。因為管理員可以收集到更詳細的哪一個IP地址在進行通信的信息，甚至可根據通信中涉及到哪一個應用層服務來收集通信信息。當服務器支持多個服務時，這些統計對于考察服務器上每個應用的負載尤其有效。增加的統計服務對于使用交換機的服務器負載平衡服務連接同樣十分有用。

三、第四層交換機應用分析
第四層交換機在網絡中的應用非常靈活，既可以是網絡中心的匯接點設備，又可以應用在局域網分布層的邊緣接入處，甚至于作為工作組級支持交換到桌面。特別是在性能和功能方面，被認為較弱的工作組級第四層交換機，不但能夠在網絡中實現端到端的服務質量，能應用于網絡邊緣識別，還能為數據包打上優先級標記，如運行IEEE802.1Q和IP DiffServ協議等。在擁塞控制、擁塞避免和數據整形方面，雖然，某些三層交換機也支持排隊阻塞控制及IEEE802.3X協議等，第四層交換機還支持廣泛應用于路由器而很少應用于第三層交換機上的WRR、WRED、RED、CAR等應用層協議。
第四層交換機在服務質量控制等方面，性能上較之第二層交換機有很大提高。如在優先級方面，原來千兆接入交換機，每個百兆端口僅僅支持2個隊列，而新一代智能邊緣第四層交換機則可以支持4個；在QoS所要做的分類與識別工作中，雖然第二層交換機也支持IEEE802.1P協議，可通過識別端口、MAC地址、VID確定數據的優先級技術等，第三層交換機可通過識別IP地址信息確定交換機優先級設置，可識別IP DiffServ字段，并能重寫這一字段信息，然而第四層交換機，不僅可以識別端口號碼，還可結合優先級策略提供相應的服務。
在傳統的用戶接入系統中，分布式結構郵件系統通常采用前端代理、DNS輪循或第四層交換等方法來實現復雜分擔。其中采用第四層交換機方式的效率較高，特別是采用千兆以太網技術的第四層交換機，可以大大提高系統的效率。因些，在Internet、Intranet、Extranet系統中，郵件系統是第四層交換機的重要應用領域。
我們說在一個由服務器群組支持的企業網應用中，往往要考慮為緊急服務提供健壯連接，這其中第四層交換機便成為關鍵，使之成為必不可少的重要應用設備。因為支持服務器群組連接的第四層交換機，具有獨特方式增強組網能力，且主要反映在如下幾個方面。
⑴提高安全性：第四層交換機的包過濾器能夠為自己所轄網絡和服務器提供保護標準，利用這些保護標準可以對付來自某個IP地址或子網的面向特定應用的非授權訪問。即包過濾器能夠禁止特定的一組用戶或子網訪問服務器，或者反過來，可以賦予一組用戶或子網訪問的權利。
⑵改進對緊急任務的服務質量：為了向基于HTTP的應用提供比服務器群所支持的其它服務級別更高的服務，可以在應用層定義通信優先權（服務質量）。所有給這個服務器的、目標端口為HTTP口的數據可以得到一個比到該機其它端口的數據高的優先權。因為現在可以獲得網絡的邊緣和核心都適用的第四層交換機，這類交換完全能夠用于在整個網絡上為哪些基于Web數據流的服務器提供高水平服務。
⑶優化可訪問能力：服務器負載平衡能力用于根據用戶的需要，公正地分配到每臺服務器的Web流量，性能較高的服務器能夠接收更多的對話，否則可以在特定的服務器上對提供服務的對話數進行限制。為了實現這一點，要定義包括多個服務器的虛擬服務器組，并在其上設置相應的負載均衡尺度，這些正是第四層交換機所特有的支持能力。
⑷增強網絡的可伸縮性：采用第四層交換機來組建的熱備用特性可提高服務器群的可伸縮性。因為服務器做為雙宿主機與兩個交換機分別連接后，這些交換機的地位是平等的，它們有通用的IP地址和MAC地址。如果主交換機發生故障，輔助交換機可以立即接管工作，因為它一直在鏡像主交換機的操作。
⑸改進管理：管理員因使用第四層交換機支持的統計特性，是能夠獲得更加豐富的關于到服務器群的數據的管理信息的。管理員不僅可以跟蹤服務器和客戶機之間的數據，還可以很好地跟蹤哪一個應用服務在工作、服務器上的活動和被打開對話數等重要信息，因而可增強網管性能。

四、高層交換機發展趨勢

IT行業長期追尋的“以內容識別網絡”，其實就是指在傳輸層到應用層的第四到七層中進行的網絡管理。如果一臺交換機能夠逐層解開通過的每一個數據包的每層封裝，并識別其中最深層的信息，那么它就具備了內容識別功能。顯然，要解決區分應用、動態分配資源和用戶計費等人們希望的高層應用問題，用網絡識別設備分發業務流量，是高層交換機一個很有發展潛力的重要途徑。最初出現在市場上的這類網管系統，是一些用軟件來實現的內容識別設備，雖然這些設備沒有達到人們的預期效果，但卻為今天采用硅硬件技術支持的高層應用交換機提供了堅實的技術基礎，雖然這項技術正處于發展中，但它真正解決了四～七層交換機在性能方面的技術困難。
目前，用軟件來實現內容識別網絡的設備有三種類型，即構筑在PC平臺上的設備、加裝通用CPU的第三層交換機，以及基于網絡處理器的系統。如果只是完成簡單的流量交換功能，這些產品的性能還是能夠為用戶所接受。但這些簡單的網絡管理功能，無論如何也不能讓網管通過調整網絡，得到有利潤價值的應用管理。問題的關鍵在于，完成這些功能所需的信息是深埋在數據包的內部，而這些信息只有在網絡會話建立時才出現一次。這就要求基于軟件的內容識別設備，能夠窺視到每個會話的每個數據包的內部，結果就造成了嚴重的延遲和性能惡化。所以，依靠通用CPU或者網絡處理器實現的、基于軟件的內容識別設備，不能以任何接近實時的方式調動運算能力來完成交換任務，它很快成為一個新的瓶頸。
在高層交換設備的發展方向上，還有另一項值得關注的應用技術，Extreme應用交換技術（Application Technology）。所謂Extreme應用交換技術，其實就是一項以PxSilicon為基礎的新技術，而PxSilicon實際上就是一個獨特的、性能卓越的芯片組，即前面所提到的硅技術。與傳統的軟件技術相比，PxSilicon的性能要高出幾個數量級，因為用軟件來實現內容識別的解決方案，只能依靠復雜的軟件與通用CPU或者網絡處理器配合，才能完成同樣的負載均衡任務。利用Extreme應用交換技術，則可以全面實現網絡功能，包括線速千兆比特的TCP會話分析、終結、發起、甚至修改，都可全部用硬件來實現，從而去掉了復雜的軟件、通用CPU和網絡處理器。
網絡智能管理功能從軟件向硬件硅技術的轉移，這并非新思路。九十年代后期從基于軟件的路由器，向今天正在推廣的基于ASIC的第四層交換機的轉移就是一個很好的證明。并且，在任何情況下，當網絡技術被集成到硅片中去時，性能都會得到顯著提高，而相應的總體擁有成本則會大幅度降低。硬件硅技術的應用，其結果是服務提供商和企業用戶可以在不犧牲線速的千兆比特性能的前提下，就可以自由地設置網絡應用和業務所要求的相關規則。
第一次應用硬件硅技術的平臺，是Extreme的SummitPx1應用交換機。從結構和功能上講，SummitPx1應用交換機是一類支持一種完全互補的第七層應用層交換功能的第七層交換機，該交換機具有支持包括對網頁請求進行語法分析的能力，以及按照請求的內容和服務器能力向最合適的網頁服務器進行連接重定向的能力。在SummitPx1第七層應用交換機上，無論你設置多少有關內容的轉發規則，都能保持設備線速的千兆比特性能。另外，SummitPx1第七層應用交換機的服務器選擇算法，還包括循環、加權循環、最少連接和加權的最少連接等，它還可以追蹤客戶機的IP記錄、對客戶機的狀態設置（cookie）做運算、自動檢測和追蹤cookie、處理用于服務器識別的cookie，以及支持持續的安全套接層（SSL）會話標識（ID）等新技術。
總之，高層交換機的發展勢頭將會越來越猛，其結果是由專用的硬件新技術代替目前的高層軟件交換技術，或是軟硬件技術相結合的新技術。也就是說，在未來的高層交換機上，將會集中體現ISO的七層標準，將傳統的網絡分立設備統一起來，這不僅可以極大地提高網絡系統的數據分發、傳輸和交換能力與速率，還能夠降低設備成本、簡化網絡管理、優化組網過程，使高層交換機在管理與控制功能方面直接在第七層應用層上發揮重要作用。