什么是三層交換機(jī)？三層交換機(jī)和路由器有什么不同

第第頁什么是三層交換機(jī)？三層交換機(jī)和路由器有什么不同？二層（交換機(jī)）的升級(jí)（產(chǎn)品）：三層交換機(jī)，一個(gè)頂倆，很給力。它既有交換機(jī)的全部功能，又有路由器的部分功能，一臺(tái)設(shè)備就實(shí)現(xiàn)局域網(wǎng)內(nèi)的數(shù)據(jù)高速轉(zhuǎn)發(fā)。接下來，我們就詳細(xì)介紹下三層交換機(jī)。

1、什么是三層交換機(jī)？

三層交換機(jī)是在二層交換機(jī)的基礎(chǔ)上，增加了路由選擇功能的（網(wǎng)絡(luò)）設(shè)備，能夠基于（ASIC）和（FPGA）實(shí)現(xiàn)網(wǎng)絡(luò)功能和轉(zhuǎn)發(fā)分組。

二層交換機(jī)能夠基于數(shù)據(jù)鏈路層的MAC地址，進(jìn)行數(shù)據(jù)幀或（VLAN）的傳輸功能。三層交換機(jī)能夠基于網(wǎng)絡(luò)層的IP地址，實(shí)現(xiàn)路由選擇以及分組過濾等功能。

二層交換機(jī)通過使用VLAN分隔廣播域，位于同一個(gè)VLAN下的終端才能進(jìn)行數(shù)據(jù)幀交互。對(duì)于不同VLAN的終端有（通信）需求時(shí)，就必須使用路由功能，也就是需要額外添加路由器。

二層交換機(jī)和路由器組合使用，才能完成跨VLAN的通信，但使用三層交換機(jī)就不需要其它網(wǎng)絡(luò)設(shè)備，能夠直接完成不同VLAN之間的通信。

現(xiàn)在，內(nèi)部網(wǎng)絡(luò)核心交換機(jī)都是使用三層交換機(jī)。三層交換機(jī)用于由（以太網(wǎng)）構(gòu)成的Intranet內(nèi)部轉(zhuǎn)發(fā)分組，而路由器作為連接互聯(lián)網(wǎng)和Intranet內(nèi)網(wǎng)之間的網(wǎng)關(guān)來使用。

2、三層交換機(jī)和路由器有什么不同？

三層交換機(jī)一般只支持以太網(wǎng)的數(shù)據(jù)鏈路層協(xié)議和IP網(wǎng)絡(luò)的網(wǎng)絡(luò)層協(xié)議。

路由器的物理層和數(shù)據(jù)鏈路層除了IEEE802標(biāo)準(zhǔn)以外，還支持其它各種協(xié)議，包括ATM、（SD）H、串口等。網(wǎng)絡(luò)層和傳輸層也一樣，支持TCP/IP協(xié)議簇以外的協(xié)議簇，比如IPX、AppleTalk等。這些功能都是由運(yùn)行在（CPU）上的軟件來完成，對(duì)比三層交換機(jī)，速度會(huì)慢不少，但是也有很多功能必須由路由器CPU來處理，比如遠(yuǎn)程接入、安全功能等。

3、三層交換機(jī)的架構(gòu)是怎樣的？

三層交換機(jī)的構(gòu)成要素有：控制平面、數(shù)據(jù)平面、背板和物理（接口）。高端路由器和防火墻也是同樣的架構(gòu)。三層交換機(jī)把（硬件）設(shè)備內(nèi)部分成兩個(gè)區(qū)域，即以路由選擇、管理功能為主的控制平面和以數(shù)據(jù)轉(zhuǎn)發(fā)功能為主的數(shù)據(jù)平面，從而實(shí)現(xiàn)高速轉(zhuǎn)發(fā)分組的系統(tǒng)架構(gòu)。

當(dāng)硬件內(nèi)部結(jié)構(gòu)分為控制平面和數(shù)據(jù)平面時(shí)，分組的傳輸需要使用FIB（轉(zhuǎn)發(fā)信息庫）和鄰接表的信息。這種利用FIB和鄰接表信息的IP分組傳輸方式叫做特快轉(zhuǎn)發(fā)。

路由器使用CPU完成分組轉(zhuǎn)發(fā)，而三層交換機(jī)使用ASCI代替CPU，分組的轉(zhuǎn)發(fā)更快。

三層交換機(jī)將FIB和鄰接表合并成一個(gè)表項(xiàng)，這個(gè)表項(xiàng)叫做FDB（轉(zhuǎn)發(fā)數(shù)據(jù)庫），注冊(cè)在內(nèi)存中并通過硬件處理完成高速檢索。

4、什么是多層交換？

除了二層交換機(jī)之外，三層以上功能的交換機(jī)統(tǒng)稱為多層交換機(jī)。

擁有IP路由選擇等網(wǎng)絡(luò)功能、能夠通過訪問控制列表來對(duì)傳輸層的TCP（端口）編號(hào)進(jìn)行訪問控制的三層交換機(jī)，也叫做四層交換機(jī)。

能夠支持到TCP層級(jí)訪問控制的交換機(jī)叫做四層交換機(jī)。能夠基于HTTP和HTTPS這里應(yīng)用層參數(shù)進(jìn)行負(fù)載均衡等操作，這類交換機(jī)叫做七層交換機(jī)。

有些廠家將處理到應(yīng)用層的網(wǎng)絡(luò)設(shè)備和路由器區(qū)分開來，作為不同類型的產(chǎn)品。但所謂的多層交換機(jī)，也就是基于ASIC和FPGA的硬件處理，高速進(jìn)行各層業(yè)務(wù)處理的網(wǎng)絡(luò)設(shè)備。

5、什么是負(fù)載均衡設(shè)備？

多個(gè)客戶端同時(shí)連接一臺(tái)服務(wù)器，可能導(dǎo)致服務(wù)器的處理能力超過負(fù)載。如果使用多臺(tái)提供相同服務(wù)的服務(wù)器，通過使用負(fù)載均衡設(shè)備，就可以將客戶端的請(qǐng)求分散到各個(gè)服務(wù)器進(jìn)行處理。

負(fù)載均衡設(shè)備可以是專用設(shè)備，也可以是在服務(wù)器上運(yùn)行的應(yīng)用程序。專用設(shè)備會(huì)有以太網(wǎng)接口，可以說是多層交換機(jī)的一種。也存在擁有負(fù)載均衡功能的路由器。

負(fù)載均衡設(shè)備一般會(huì)分配虛擬IP地址，所有客戶端的請(qǐng)求是通過虛擬IP地址完成的，通過負(fù)載均衡（算法）將客戶端的請(qǐng)求轉(zhuǎn)發(fā)到服務(wù)器的實(shí)際IP地址上。

負(fù)載均衡設(shè)備作用

使用負(fù)載均衡設(shè)備可以提高擴(kuò)展性和可靠性。

負(fù)載均衡設(shè)備不僅適用于服務(wù)器，防火墻或代理服務(wù)器這種安全設(shè)備也可以使用負(fù)載均衡設(shè)備。

負(fù)載均衡算法類型

6、什么是SSL加速？

SSL加速是負(fù)載均衡專用設(shè)備的一項(xiàng)功能，執(zhí)行這個(gè)功能的內(nèi)部裝置叫做SSL加速器。

在服務(wù)器進(jìn)行SSL通信時(shí)，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密解密操作需要執(zhí)行相當(dāng)復(fù)雜的計(jì)算，這會(huì)導(dǎo)致服務(wù)器CPU的處理負(fù)載進(jìn)一步加大。與不執(zhí)行加密解密的HTTP通信對(duì)比，HTTPS的處理負(fù)載是HTTP的10倍。

這時(shí)，通過使用SSL加速器對(duì)客戶端的HTTPS請(qǐng)求進(jìn)行解密，并轉(zhuǎn)換成HTTP請(qǐng)求后再轉(zhuǎn)發(fā)到實(shí)際的服務(wù)器上，這樣就可以降低服務(wù)器CPU的處理負(fù)載。

這樣一來，整個(gè)系統(tǒng)在提高服務(wù)器響應(yīng)速度的同時(shí)，還能減少服務(wù)器的數(shù)量，在單位時(shí)間內(nèi)能夠轉(zhuǎn)發(fā)更多Web服務(wù)內(nèi)容。

7、根據(jù)性能分類，三層交換機(jī)有幾種類型？

根據(jù)三層交換機(jī)的背板容量，可分為高端交換機(jī)、中端交換機(jī)和低端交換機(jī)。

高端三層交換機(jī)

框式三層交換機(jī)由路由引擎、交換結(jié)構(gòu)、線卡模塊、風(fēng)扇模塊和（電源模塊）組成，一般作為企業(yè)的核心交換機(jī)用在數(shù)據(jù)中心。

為了提高交換機(jī)的可靠性，除了線卡模塊之外，其余模塊都提供了冗余結(jié)構(gòu)。（電源）或風(fēng)扇模塊通常采用1+N或N+N冗余結(jié)構(gòu)，路由引擎通常采用1+1的冗余結(jié)構(gòu)。三層交換機(jī)一般通過多臺(tái)設(shè)備堆疊構(gòu)成三層冗余結(jié)構(gòu)，來提高整個(gè)系統(tǒng)的可用性。

中端三層交換機(jī)

中端三層交換機(jī)一般是箱式交換機(jī)或最大插槽數(shù)為4的框式交換機(jī)，用于企業(yè)核心交換機(jī)和接入交換機(jī)進(jìn)行匯聚交換。

低端三層交換機(jī)

低端三層交換機(jī)一般為箱式交換機(jī)或桌面式交換機(jī)，作為企業(yè)的接入交換機(jī)使用，設(shè)備通常有24端口或48端口。有些作為IP電話或無線LAN的訪問接入點(diǎn)，還能直接使用以太網(wǎng)的電源（供電）（（PoE））。

8、三層交換機(jī)有哪些功能？

盡管各個(gè)廠家的三層交換機(jī)提供的功能不同，但是這些功能大致有幾個(gè)類別：（認(rèn)證）類、管理類、路由選擇協(xié)議、QoS、IP隧道、VLAN、STP等。

在三層交換機(jī)中，對(duì)分組進(jìn)行管理的功能是由CPU（軟件）直接處理的。用戶直接的通信，是由ASIC（硬件）處理實(shí)現(xiàn)分組的高速轉(zhuǎn)發(fā)的。

9、什么是VLAN？

由一臺(tái)或幾臺(tái)集線器組成的一個(gè)廣播域可以稱為是一個(gè)扁平網(wǎng)絡(luò)。相互連接的終端會(huì)接收網(wǎng)絡(luò)發(fā)來的所有廣播幀。隨著連接終端數(shù)量的增加，廣播數(shù)量也會(huì)增加，網(wǎng)絡(luò)狀況也就越混雜。

這種情況下，需要采用VLAN（VirtualLan）技術(shù)把整個(gè)扁平網(wǎng)絡(luò)進(jìn)行邏輯分段。一個(gè)VLAN對(duì)應(yīng)一個(gè)廣播域，不同VLAN的廣播域互相隔離，因此能夠控制廣播域內(nèi)的廣播通信規(guī)模。

交換機(jī)通過設(shè)置，可以輕易的修改物理端口的屬性，讓這個(gè)物理端口加入到某一個(gè)VLAN之中，而不需要改變對(duì)應(yīng)的物理線路。

VLAN之間的通信需要使用路由選擇，不借助路由器或三層交換機(jī)就無法與不同VLAN的終端進(jìn)行通信，因此安全性也有了保障。

10、什么是基于端口的VLAN？

基于端口的VLAN是在交換機(jī)的端口上設(shè)置VLANID，擁有相同VLANID的多個(gè)端口構(gòu)成一個(gè)VLAN。通常交換機(jī)在初始狀態(tài)下，所有端口默認(rèn)VLANID=1（即VLAN1），可以對(duì)任意一個(gè)端口的VLANID進(jìn)行設(shè)置。比如把修改某一個(gè)端口配置為VLANID=2，那這個(gè)端口就屬于VLAN2。

11、什么是（標(biāo)簽）VLAN?

當(dāng)VLAN需要跨越多個(gè)交換機(jī)時(shí)，會(huì)使用中繼端口（trunkport）的標(biāo)簽VLAN（tagVLAN）。tagVLAN通過中繼端口完成數(shù)據(jù)幀的接收和發(fā)送，其中數(shù)據(jù)幀需要添加4字節(jié)IEEE802.1Q定義的頭部信息（即VLAN標(biāo)簽信息）。為數(shù)據(jù)幀添加標(biāo)簽的過程叫做tagging。當(dāng)tagging完成后，數(shù)據(jù)幀的最大長度從1518字節(jié)變成1522字節(jié)，其中有12bit的VLANID信息，也就是說，最多支持的VLAN數(shù)是4096個(gè)。

在以太網(wǎng)中，數(shù)據(jù)幀中T（PI）D的值是0x8100。如果源地址后面的值不是0x8100，那么就不是TPID信息，而是識(shí)別成“長度/類型”。當(dāng)“長度/類型”的值為0x05（DC）以下時(shí)，表示數(shù)據(jù)幀的長度；在0x0600以上時(shí)，表示數(shù)據(jù)幀的類型。數(shù)據(jù)幀類型的值分別是：IPv4是0x0800，ARP是0x0806、IPv6是0x86DD等。

不支持IEEE802.1Q的交換機(jī)，由于無法識(shí)別TPID，會(huì)將0x8100視為數(shù)據(jù)幀類型，但是不存在0x8100類型的數(shù)據(jù)幀，交換機(jī)會(huì)作為錯(cuò)誤幀直接丟棄。

IEEE802.1Q還定義了一個(gè)字段：TCI，TCI可以分為3個(gè)類型：PCP、CFI和VID。

12、什么是本征VLAN？

本征VLAN（na（ti）veVLAN）用于中繼端口（trunkport）。如果數(shù)據(jù)幀在進(jìn)入trunkport前，是沒有標(biāo)記的，那么trunkport會(huì)給它打上nativeVLAN的標(biāo)記，這個(gè)數(shù)據(jù)幀就以nativeVLAN的身份傳輸。如果數(shù)據(jù)幀在進(jìn)入trunk前，已經(jīng)打上標(biāo)記了，且trunkport允許這個(gè)VLANID通過，這個(gè)數(shù)據(jù)幀就通過。trunkport不允許通過的VLAN數(shù)據(jù)幀會(huì)直接丟棄。交換機(jī)默認(rèn)使用VLANID為1的VLAN作為nativeVLAN。nativeVLAN是可以自定義的，通常是使用VLAN1以外的VLAN作為本征nativeVLAN，作為管理VLAN。

13、什么是中繼端口？

使用標(biāo)簽VLAN（tagVLAN）向其它交換機(jī)傳遞VLANID時(shí)，首先設(shè)置中繼端口（trunkport）。trunkport能夠?qū)儆诙鄠€(gè)VLAN，與其它交換機(jī)進(jìn)行多個(gè)VLAN的數(shù)據(jù)幀收發(fā)通信。兩臺(tái)交換機(jī)trunkport之間的鏈路叫做中繼鏈路（trunklink）。

與trunkport和trunklink對(duì)應(yīng)的，是接入端口（（ac）cessport）和接入鏈路（accesslink）這兩個(gè)概念。accessport只屬于一個(gè)VLAN，accesslink也僅傳輸一個(gè)VLAN數(shù)據(jù)幀。

14、什么是私有VLAN？

私有VLAN（PrivateVLAN）也叫做PVLAN，是指在VLAN內(nèi)部再構(gòu)建一層VLAN的功能，也叫做多層VLAN。

PVLAN能夠進(jìn)一步分割廣播域，削減VLAN內(nèi)部的廣播流量并保障通信的安全性。酒店、公寓等場(chǎng)所使用這個(gè)功能，能夠控制服務(wù)器或網(wǎng)關(guān)與終端的連接，讓不同終端之間無法相互通信。

PVLAN由主VLAN（PrimaryVLAN）和從VLAN（SecondaryVLAN）組成，從VLAN與1個(gè)主VLAN關(guān)聯(lián)。

15、靜態(tài)VLAN和動(dòng)態(tài)VLAN的區(qū)別是什么？

通過輸入交換機(jī)命令，將一個(gè)交換機(jī)端口固定分配給某個(gè)VLAN，這種VLAN劃分方式叫做靜態(tài)VLAN。

相對(duì)的，根據(jù)連接端口的終端或用戶信息自動(dòng)分配某個(gè)VLAN的方式叫做動(dòng)態(tài)VLAN。具體來說，就是交換機(jī)根據(jù)終端的MAC地址來分配，或者基于802.1X的認(rèn)證來決定端口屬于哪個(gè)VLAN。在動(dòng)態(tài)VLAN中，無論終端與哪臺(tái)交換機(jī)連接，都會(huì)獲取固定的同一個(gè)VLAN。

通過交換機(jī)內(nèi)部的數(shù)據(jù)庫，可以實(shí)現(xiàn)基于MAC地址的認(rèn)證，但大部分情況下，動(dòng)態(tài)VLAN的實(shí)現(xiàn)都是使用RADIUS服務(wù)器。

16、VLAN之間的是如何互通的？