当今世界，网络化程度越来越高，人与设备之间的通信方式日新月异、种类繁多。其中的一些通信类型已经为大家所熟知，如IP语音（VoIP）、数字图像、组播、视频点播、对等文件共享、远程视频会议等等。不过，所有这些应用都有一个共同的特点，即对网络带宽的需求可以用“贪得无厌”一词来形容。

    从长远来看，带宽本身总是不够用的。因此，网络基础设施背后的智能“设备”，即交换机和路由器必须承担起以智能化的方式跟上带宽需求脚步的艰难任务。像视频和数字X-光这样的应用总是要求更大、更智能化的“传输管道”，而VoIP应用则要求低延迟或响应时间以及一致的传送速率。上世纪90年代中期，随着传统交换机的没落，人们开始竞相发展速度更快、智能化程度更高的交换机和路由器。硅谷的一群天才们看到了这一市场机会，由此，在一种称为“多层交换路由”新概念的基础上发明了网络硬件及其相关的软件。与当时仅基于软件的路由器相比，这些新的“智能”交换机/路由器能够提供更快的速度和更短的延迟，同时能够将多种网络设备的功能结合在一起。

    原来，当需要增加网络带宽时，网络管理员往往通过对网络进行重新设计来避免路由器发生瓶颈。服务器经常不通过路由器，重新安装在离用户更近的地方。在大型企业中，用户通常被划分为通过路由器实现互连的一些较小的网络（子网）。这种划分通常是按照地域、运行的应用类型、需要的数据量和安全方面的因素来进行。例如，财务部门经常被全部布置在自己的群组中，这样做的原因在于为了有效地保护公司的财务记录，而不是考虑到所使用的带宽。而VoIP电话也经常被放置在自己的网络之中，其原因在于这样可以绕过传统路由器的瓶颈。

    当计算机需要与自己本地网络之外的其他计算机进行通信时，为了将数据包发送到群组外面，它们必须先将数据包发送到离自己最近的路由器。路由器提供公司与互联网之间的连接和安全边界，以及公司内部群组之间的连接（内部网）。

    传统的路由器只有在绝对必要时才使用，如通过广域网连接远程办公室、连接到互联网或隔离公司中具有高带宽要求的群组。传统的路由器很贵，现在仍是如此，而且与最初的设计相比并没有重大的进展，使用的组件与一台标准PC的类似，并使用多个接口卡运行专用的软件。

    与之相比，多层交换路由器将传统路由器的所有功能集中在一个专用集成电路（ASIC）上。ASIC比传统路由器的CPU便宜，而且通常分布在多个网络端口上。现在，典型的交换机/路由器可能在一台设备中包括50个ASIC，可以支持数以百计的接口。另外，新的ASIC允许智能交换机/路由器在所有的端口上以最快的速度转发数据，而不管网络流量是什么类型，可以说，它们是以实际接口速度（经常称为线速）转发数据。目前，市场上针对企业局域网（LAN）的新型交换机/路由器中可在单一个接口上以每秒钟万兆位的带宽（OC-192）转发数据。

    走出旧时代，迈进交换新天地

    由于使用一种集中式的架构，所以传统路由器一般缺乏可扩展能力。对于传统路由器，到达路由器的所有数据包必须被送到一个区域进行处理，这样，您拥有的接口数量越多，系统的负载越重，从而造成资源的过度占用。这大大限制了网络所提供的服务，如VoIP.

    当一个使用集中式架构的路由器需要处理的流量超出自己的处理能力时，它就会开始丢弃数据包。而当网络应用或计算机收不到响应信息时，它们会发送更多的数据包，试图恢复会话。这样，情况变得更糟，因为很容易导致交叉会话过载。这种情况下，过载的路由器会根据应用、用户的优先级或网络目的/源地址有选择性地丢弃数据包。很明显，我们需要一种新的方法来满足流量增长的要求。

#p#

尽管可能还有第二层别的问题存在，至少在这一层看起来情况还不错。接下来，查看第三层。在PC上使用IPCONFIG /ALL命令进行检查，如列表C列所示。

列表C

C:\> ipconfig /all Windows IP Configuration         Host Name . . . . . . . . . . . . : PC100         Primary Dns Suffix  . . . . . . . : TechRepublic.com         Node Type . . . . . . . . . . . . : Peer-Peer         IP Routing Enabled. . . . . . . . : No         WINS Proxy Enabled. . . . . . . . : No         DNS Suffix Search List. . . . . . : TechRepublic.com Ethernet adapter Local Area Connection:         Connection-specific DNS Suffix  . : TechRepublic.com         Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection         Physical Address. . . . . . . . . : 00-C0-B7-68-54-09            Dhcp Enabled. . . . . . . . . . . : Yes         Autoconfiguration Enabled . . . . : Yes         IP Address. . . . . . . . . . . . : 10.80.2.2         Subnet Mask . . . . . . . . . . . : 255.255.0.0         Default Gateway . . . . . . . . . : 10.80.2.1         DHCP Server . . . . . . . . . . . : 10.2.1.26         DNS Servers . . . . . . . . . . . : 10.2.1.26         Primary WINS Server . . . . . . . : 10.2.1.26         Secondary WINS Server . . . . . . : 10.2.1.21         Lease Obtained. . . . . . . . . . : Wednesday, November 02, 2005 5:43:55 AM         Lease Expires . . . . . . . . . . : Thursday, November 10, 2005 5:43:55 AM

这里，我们可以看到PC有IP地址，但是这地址对么？这台PC通过DHCP获得10.80.x.x范围内的地址，但是现在地址却是10.1.x.x。

所以，我们终于发现了问题。DHCP服务器分发的IP地址不属于子网。这种问题多出现在PC从某个子网挪到另一个子网时，PC依然请求旧的IP地址就产生了问题。

可以尝试这样解决问题，让所有接口的租用IP地址重新交付给DHCP服务器（即归还IP地址）。使用IPCONFIG /RELEASE，然后使用IPCONFIG /RENEW命令，然后PC就会获得正确的IP地址，所有的网络应用就都可以使用了。

分而治之
假设情况：某个用户说所有的应用除了IE浏览器都可以使用。当尝试浏览网页时，出现“找不到主机或DNS错误，网页无法显示”的提示。

如何开始：由于是跟应用相关的问题，可能会想采用从上到下的方法从OSI模型的应用层查起。但是，其实有多种原因可能造成这种错误。

采用分而治之的方法，先从我们了解的情况入手。用户说除IE外其他应用都可以工作。问题可能就出现在本地网和外网。

方法1: 既然错误报告提到了DNS, 可以将它看做DNS问题。既然其他应用依然工作，也许存在有一台本地DNS服务器给局域网应用提供服务。

为了检测这一理论，我们可以使用nslookup命令来确定DNS是否在工作。例子如下：

C:\> nslookup www.techrepublic.com
Server: dns.TechRepublic.com
Address: 10.2.1.26

Non-authoritative answer:
Name: c10-sha-redirect-lb.cnet.com
Address: 216.239.115.148
Aliases: www.techrepublic.com

这表示DNS确实在工作，所以还要继续查看。

方法2:用户所要访问的网站是否存在于本地或者远程的子网？就象互联网网站一样，我们称它为外部子网。

既然有些连接以及其它应用还可以使用，我们可以查看第三层，网络层。我们使用ipconfig命令来查看默然网关是否是10.80.2.1。现在需要ping默认网关。如下面的例子。

C:\> ping 10.80.2.1
Pinging 10.80.2.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.80.2.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

从这里，我们可以确定第三层存在问题。默然网关停用或者不可达。

如果所处位置是中央数据中心，远程登陆用户默认网关。登陆以后，使用show ip interface brief命令，如列表D所示。

列表D

Router# show ip interface brief Interface              IP-Address      OK? Method Status       Protocol Serial3/0              unassigned      YES NVRAM  up           up      Serial3/0.1            10.80.100.2     YES NVRAM  up           up      Serial3/0.2            10.80.100.6     YES NVRAM  up           up      BRI3/0                 unassigned      YES NVRAM  up           up      BRI3/0:1               unassigned      YES unset  down         down    BRI3/0:2               unassigned      YES unset  down         down    Dialer1                10.80.100.10    YES NVRAM  up           up      Loopback1              unassigned      YES NVRAM  up           up      Ethernet3/0            10.80.2.1     YES NVRAM  down           down Router#

通过这一输出结果，我们可以确定连接路由器和本地交换机的网线没有连接。我们曾经以为是第三层出了问题，但是实际上问题出在第一层。

在我看来，分而治之的方法需要更多网络和故障排除的知识。但是，这种发法也是发现问题最快的方法。使用故障排除方法类似于使用访问列表，一旦发现相符合的情况，就没有必要继续追查。

 

#p#4 基于电信网的家庭网络参考模型和家庭网关

　　4.1 家庭网络参考模型

　　基于电信网的家庭网络参考模型如图1所示。家庭网络内部的逻辑功能实体有4个，分别是：

　　网络接入功能实体(NAE)，负责终结接入技术。

　　家庭网络核心功能实体(HCE)，负责完成家庭网络的核心功能，包括家庭内部设备的联网、远程管理、QoS、安全等。

　　功能处理实体(FPE)，负责IP/非IP的转换，以及信令和媒体格式的转换。

　　用户终端功能实体(EUTE)，由用户直接使用，提供用户界面(UI)。

　　家庭网络的物理设备可以分为4类：接入网络终端设备、家庭网关、适配设备、用户终端设备。

　　接入网络终端设备实现NAE，如ADSL MODEM就是一种接入网络终端设备；家庭网关实现的逻辑功能实体组合，可以是HCE或HCE+FPE或NAE+HCE或NAE+HCE+FPE；适配设备实现FPE，如IPTV的机顶盒就是一种适配设备；用户终端设备实现的逻辑功能实体组合可以是EUTE或FPE+EUTE，如电视机是用户终端设备，计算机也是用户终端设备。

　　基于电信网络的家庭网络应具有如下功能以支持各种电信业务，将应用延伸到家庭。

　　(1)与电信网络的连接能力

　　家庭网络可以采用各种接入方式与电信网络连接。

　　(2)家庭内部设备之间的联网能力

　　家庭内部设备之间的联网技术应适应业务的发展，具有一定的可扩展性。家庭内部设备之间的联网技术的选择要考虑业务对带宽、QoS以及传输距离的需求。无线联网技术还需要注意空中接口的安全性。

　　(3)设备管理能力

　　家庭网络设备的管理包括本地管理和远程管理。家庭网络设备应具有本地管理界面以支持本地登录以及管理与控制，该管理界面应仅限于本地使用，不能从家庭外部访问该界面。家庭网络相关设备(例如家庭网关、机顶盒等)应支持运营商对其的远程管理，管理方式可以是运营商对设备的直接管理或通过家庭网关代理进行管理。家庭网络设备支持远程管理应具有安全机制以避免非法的远程管理。远程管理的协议可以是TR069或简单网络管理协议(SNMP)。

　　(4)QoS能力

　　家庭网络中使用的QoS保证技术应可以对家庭网络中的业务和应用划分不同的优先级，应能根据业务需求提供满足业务网络要求的端到端传输能力，业务和应用的带宽和优先级可以根据用户或管理系统的要求进行调整；应能够与电信网络中使用的QoS保证技术互联，协调工作；应能兼容不同的家庭接入技术和家庭内部联网技术；应具有QoS监测和统计能力。

　　(5)安全能力

　　家庭网络应能保证家庭网络中的设备安全、信息传送安全。

　　(6)设备自动发现能力

　　家庭网络内部的设备之间应当遵从SJ/T 11310《信息设备资源共享协同服务第1部分：基础协议》或UPnP UDA 1.0《UPnPTM设备架构》的规定，完成设备之间的自动发现和自动配置。

　　(7)业务处理能力

　　家庭网络不仅仅是业务的承载网络，同时还要具有业务处理能力。例如IP语音(VoIP)的业务处理能力，IPTV的业务处理能力等。

　　(8)业务提供能力

　　家庭网络应提供远程用户的外部访问，并提供如视频监控、信息家电远程控制、家庭网站等业务能力。

　　(9)设备供电能力

　　如果家庭网络支持特殊业务需要不中断供电，家庭网络相关设备应具有后备电源，或具有远程供电功能以满足特殊业务的需求。

　　(10)可扩展能力

　　家庭网络上将不断地引入新业务，因此家庭网络必须具有可扩展能力以支持新的业务。

　　4.2 家庭网关

　　4.2.1 家庭网关的定义和分类

　　家庭网关是家庭网络与电信网络之间的网关设备，家庭网络内的其他设备通过它可以与电信网络进行信息交互，也可以进行设备之间的信息交互。

　　家庭网关实现中的逻辑功能实体组合可以是HCE或HCE+FPE或NAE+HCE或NAE+HCE+FPE。本文认为家庭网关应实现NAE＋HCE或NAE＋HCE+FPE。

　　根据家庭网关实现的逻辑功能组合的不同，家庭网关可以分为以下2类：

　　无业务实现功能的家庭网关(类型1)。该类家庭网关实现NAE+HCE的功能，不支持业务/应用相关的功能。

　　支持业务实现功能的家庭网关(类型2)。该类家庭网关实现NAE+HCE+FPE的功能，即除了具有类型1家庭网关支持的各项功能之外，还具有与业务实现相关的各项功能。由于业务的种类很多，该类网关还可以进一步分类。

　　4.2.2 家庭网关具备的功能

　　一般说来，家庭网关包括5个功能模块：

　　接入功能模块。家庭网关的接入功能主要实现家庭网络与电信网络的连接。

　　联网功能模块。家庭网关的联网功能主要实现家庭内部的用户终端设备之间的连接。

　　传送功能模块。家庭网关的传送功能主要实现家庭网络内部设备与电信网络之间的IP包的传送。

　　核心功能模块。核心功能包括地址功能、QoS功能、安全功能、远程管理功能、本地管理功能。地址功能主要实现家庭网关自身IP地址获得以及支持家庭内部终端获得IP地址，QoS功能主要实现多业务流的分级处理及转发，安全功能主要防止外部网络对家庭网络的非法访问以及内部网络的非法接入，远程管理主要实现运营商对家庭网关的远程管理与控制，本地管理主要实现家庭网关的本地登录管理与控制。

　　业务功能模块。业务功能模块与公共电信网络的业务实现相关，由于业务的种类很多，所以具备业务功能的家庭网关有很多类型，其具备的功能也与特定的业务相关。

　　业务功能模块是可选的，其他功能模块是必选的。

 

图2 所示为家庭网关功能模块划分示意图

5 CCSA家庭网络标准化计划

　　5.1 CCSA家庭网络标准体系的结构和名称

　　CCSA从事基于电信网的家庭网络标准的研究和制订工作。基于电信网络的家庭网络系列标准研究的领域在公共网络提供的信息类业务上。

　　CCSA的家庭网络标准及研究课题的体系结构(建议)如图3所示，CCSA以家庭网络业务与应用需求研究为主线开展家庭网络相关标准研究工作。家庭网络业务与应用需求研究是所有其他标准和研究课题的基础。不同发展时期业务与应用不同，会导致课题的研究内容的变化。

　　5.2 业务、网络与技术标准及研究课题

　　(1)业务与应用

　　业务与应用课题研究公网运营商依托家庭网络可以提供的业务与应用的需求和业务流程。业务与应用可以是单一的，也可以是多种组合。

　　(2)总体

　　总体课题研究家庭网络的体系架构、参考模型和功能要求，包括联网技术、编址技术、QoS、安全、管理等的总体要求。

　　(3)连网技术

　　连网技术课题研究家庭网络采用的物理连网技术，包括电力线通信(PLC)、家庭电话线网络联盟(HPNA)、无线个域网(WPAN)等，同时还包括多种连网技术组合时带来的问题。

　　(4)编址技术

　　编址技术课题研究如何在IPv4环境下部署家庭业务，向IPv6网演进过程中的家庭网络设备的地址规划，IPv4和IPv6混合环境下的业务互通。

　　(5)QoS

　　QoS课题研究家庭网络承载和提供多种业务时，保证所有业务服务质量的技术实现方式。

　　(6)安全

　　安全课题研究家庭网络设备的远程访问控制相关的安全问题及技术，包括家庭网络内设备的安全防范，如何对家庭中的智能通信设备的安全进行维护，网络如何抵御来自家庭网络的攻击。

　　(7)管理

　　管理课题研究家庭网络设备如何实现电信业务终端的自动配置、远程维护管理等，以及家庭内部多种发现机制共存的问题。

　　(8)媒体格式

　　媒体格式课题研究家庭网络业务采用的相应的媒体格式，多媒体通信业务媒体格式与家庭内部媒体的格式的互通。

　　(9)数字版权管理

　　数字版权管理课题研究公网运营商依托家庭网络提供音视频业务时涉及的数字版权管理问题及技术，包括如何对多播媒体内容保护，如何对广播内容进行保护，数字版权保护(DRM)系统单元间的互操作问题。

　　(10)电磁兼容

　　电磁兼容(EMC)课题研究家庭网络中设备的电磁兼容问题

　　5.3 设备标准

　　在业务、网络和技术方面的课题研究相对稳定后，接着进行设备方面的标准研究，如网关技术规范和测试方法、终端技术规范和测试方法、适配设备技术规范和测试方法。

　　(1)网关

　　网关技术规范和测试方法包括功能要求、接口要求、性能要求等。

　　(2)通信终端

　　通信终端是指由于家庭网络的发展产生的一些新的支持家庭网络相关业务的固定和移动通信终端。终端技术规范和测试方法包括功能要求、接口要求、性能要求、UI等。

　　(3)适配设备

　　适配设备技术规范和测试方法包括功能要求、接口要求、性能要求等。适配设备在采用私有协议的设备与家庭网关连接时进行适配。

　　目前“基于电信网络的家庭网络总体技术要求”及“基于电信网络的家庭网络设备技术要求-家庭网关”两项标准已经完成了报批稿。

6 家庭网络标准的发展趋势

　　 必须看到，尽管家电/IT行业与电信行业对于家庭网络的理解和最初发展的思路不一样，3个标准化组织的研究领域也不重叠，但家庭网络仍处于不断发展的过程中。从发展趋势来看，两个行业的理念在相互借鉴，相互融合，其最终的发展目标是完全一致的。家庭网络最终将发展成的目标是：家庭网络不仅仅是一个为了完成家庭内部各种设备资源共享、协同工作的网络，还能通过与外部网络(电信网/Internet/社区网)的连接，实现家庭内部设备与外部网络信息交流的目的，通过丰富多彩的业务和应用使用户享受到舒适、便利、安全的新的生活体验。

　　因此，随着家庭网络概念的不断发展以及对其研究的不断深入，中国家庭网络三大标准化组织的发展将最终殊途同归，其标准化的研究领域将会出现必然的重合。为了提高中国在家庭网络领域自主创新的能力，加快中国家庭网络的标准化进程，进一步提升中国自主标准的层次和质量以及在国际上的地位和影响力，三大标准化组织应该打破行业分割，加强合作，实现优势互补，各尽所长，携起手来以合作共赢的态度研究中国自主的家庭网络标准。

#p#4、港湾P系列万兆路由器  

    PowerHammer P640/P320/P160核心交换路由器，集成了港湾网络在基础网络架构解决方案中的高性能标准，来组建高可靠性和多业务的IP核心网络。采用业界最先进的硬件技术，使其能够提供10G平台高速包处理技术来增强海量业务处理能力。从业务驱动的角度实现IP核心网络质的飞跃。

图 PowerHammer P系列

    PowerHammer P640/P320/P160基于新一代10G核心交换路由平台，P640/P320/P160的交换容量高达640G/320G/160G，能够支持10Gbps LAN/WAN、OC192/STM-64c POS、4端口OC48/STM-16c POS等多种高速接口，也可支持高密度的GE、FE、OC-12/STM4 POS 、OC-3/STM1 POS等接口。同时具备端口密度扩展能力，比如10G接口也可以从单板1个扩展到将来的单板4个。  

    PowerHammer P系列路由器基于先进的FPGA+ASIC架构，利用FPGA可编程的特性在硬件基础上支持IPv6, 并全面支持IPv4和IPv6双协议栈，支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPF3、ISISv6等动态路由协议；可支持基于IPv6的组播协议；另外还支持多种IPv4向IPv6的过渡技术，包括手工、自动配置隧道、IPv6 to IPv4隧道、GRE隧道、NAT-PT等；网管更加方便，支持ICMPv6 MIB、UDP6，MIB、TCP6 MIB、IPv6 MIB等。

    点评：PowerHammer P640/P320/P160是高性能、大容量的电信级核心路由器，主要面向电信级骨干IP网络、宽带IP城域网核心网络及行业用户骨干核心网络的发展与建设。PowerHammer P640/P320/160 核心交换路由器具有极高的可靠性，它标志着电信级交换路由器在保证业务不间断的可靠性方面的新高度，是全球极少数已经走向商用的基于10G平台的核心交换路由器之一。   

     三、小结

    由于城域网建设的不断深入，各种内容业务（如流媒体视频应用、多媒体互动游戏）纷纷出现。此时，接入层有愈来愈多的万兆或千兆以太网上连到城域网的汇聚层，而汇聚层也会有愈来愈多的千兆以太网上连到城域网的骨干层，而传统的SDH、DWDM技术作为骨干存在着网络结构复杂、难于维护和建设成本高等问题，这使得像万兆或万兆捆绑这样的宽带需求在城域网中的汇聚层及骨干层有相当多的市场需求。

    万兆以太网路由器设备提供高密度的端口、线速的交换性能、全面的L2交换和L3路由能力，可充分满足超级计算中心服务器机群内部高性能网络互连的要求，也满足同一计算网络中分布在不同地方的服务器机群之间的连接。今天的网格计算在千兆互联的集群之间采用万兆互联。同样，越来越多的企业将会把企业服务器组成集群然后给桌面用户提供超级计算功能。

#p#多年以来，传统路由器的处理速度已经出现了很大的增长，但仍不足以跟上强大应用的脚步。例如，它们现在每秒钟可以转发将近100万个数据包。但考虑一个每秒钟能够发送1，488，000个数据包（pps），同时以1，488，000 pps的速度接收数据包的千兆以太网接口， 2千兆以太网端口就能够轻易使系统过载。与此形成对比的是，多层交换机/路由器以线速转发数据包，并且，交换ASIC以分布式的方式存在，允许整个系统高效地输送流量。

    这些新交换机/路由器使用一种新的网络设计和管理模式。在实现线速转发的今天，阻塞点可以被有效地消除，用户距数据的距离可以更远，而且不必担心性能的下降。我们前面例子中提到的股票交易商现在可以连接到与自己相距数个楼层或数百英里远的服务器或网络数据，具体距离取决于交换机/路由器所支持的接口类型以及所使用的铜缆或光纤类型。此外，新的IP和优化的以太网路由器更易于管理，管理人员仅需花费很少的时间来使网络与新的应用保持同步。像网捷网络的BigIron机箱式系列产品，它们能够简单地传输所有来自应用的流量，同时，可以添加更多的模块来满足容量和速度增加的要求。

    为确定网络流量的类型和容量，当今的ASIC中内置了新的数据包采样技术，以提供对整个系统流量的监控。RFC 3176或sFlow现在已经成为日益普及的方法，为企业和服务供应商提供对网络中所有应用流量的实时监视——说明流量所需的带宽、流量的去向等等。可以说，sFlow允许大型企业更好地监控跨多个部门的网络资源的使用状况；在大学中可以识别网络中非法的无线和有线应用，并在网络性能受到影响之前发现和制止拒绝服务（DoS）攻击。现在，对于那些对安全性非常重视的企业来说，RFC 3176正快速成为必备的要求。

    多层交换机/路由器的功能与传统的路由器和交换机毫无差别，它们只是将分散的局域网（LAN）和城域网（WAN）功能集中在一个单一设备中。它们可在同组的用户之间实现本地交换（即第2层交换），于不同组的用户间实现路由（即第3层交换或路由），同时为应用提供安全特性和特殊服务（即第4层交换）。

    采用路由器来保护网络

    在路由器中使用安全过滤通常非常必要——甚至全世界的政府都建议这样做。路由器之所以成为理想的安全“检查点”，是因为它们是网络的入口和出口。在路由器上创建被称为访问控制列表（ACL）的复杂规则以后，路由器将根据这套规则来检查每一数据包。例如，这些规则可以只允许特殊的授权用户访问公司的数据。

    对于传统路由器，根据安全规则检查数据包是一个费时的过程。当路由器找到每一数据包中的第3层和第4层信息以后，它必须将这些信息与规则进行比较。而启用安全过滤功能一直都是一场“恶梦”，它会使路由器的速度变慢。因此，当对性能的影响太大时，就需要使用特殊的设备来分担工作负载。

    即使是多层交换路由器，它们在执行这一功能（同时保持线速性能）时也会面临挑战。当启用安全功能时，部分新型交换机/路由器的速度也会慢下来。不过，大多数新型的交换机/路由器已经将这些安全策略集成到硬件上，因而，即使在启用ACL的情况下，也能够提供线速转发性能。

    使用多层交换机/路由器进行安全和流量分析正在变得日益流行，主要是因为设备厂商将这种技术内置于多层交换机/路由器中。越来越多的网络设备被整合到同一设备中。您不再需要独立的硬件来监视流量或安全的某些方面，这可以为我们的网络用户带来极大的好处。