三層交換機

三層交換機就是具有部分路由器功能的交換機，三層交換機的最重要目的是加快大型局域網內部的數據交換，所具有的路由功能也是爲這目的服務的，能夠做到一次路由，多次轉發。對於數據包轉發等規律性的過程由硬件高速實現，而象路由信息更新、路由表維護、路由計算、路由確定等功能，由軟件實現。

　　 應用背景

　　出於安全和管理方便的考慮，主要是爲了減小廣播風暴的危害，必須把大型局域網按功能或地域等因素劃成一個個小的局域網，這就使VLAN技術在網絡中得以大量應用，而各個不同VLAN間的通信都要經過路由器來完成轉發，隨着網間互訪的不斷增加。單純使用路由器來實現網間訪問，不但由於端口數量有限，而且路由速度較慢，從而限制了網絡的規模和訪問速度。基於這種情況三層交換機便應運而生，三層交換機是爲IP設計的，接口類型簡單，擁有很強二層包處理能力，非常適用於大型局域網內的數據路由與交換，它既可以工作在協議第三層替代或部分完成傳統路由器的功能，同時又具有幾乎第二層交換的速度，且價格相對便宜些。

　　在企業網和教學網中，一般會將三層交換機用在網絡的核心層，用三層交換機上的千兆端口或百兆端口連接不同的子網或VLAN。不過應清醒認識到三層交換機出現最重要的目的是加快大型局域網內部的數據交換，所具備的路由功能也多是圍繞這一目的而展開的，所以它的路由功能沒有同一檔次的專業路由器強。畢竟在安全、協議支持等方面還有許多欠缺，並不能完全取代路由器工作。

　　在實際應用過程中，典型的做法是：處於同一個局域網中的各個子網的互聯以及局域網中VLAN間的路由，用三層交換機來代替路由器，而只有局域網與公網互聯之間要實現跨地域的網絡訪問時，才通過專業路由器。

　　三層交換機工作原理

　　三層交換技術就是二層交換技術＋三層轉發技術。傳統的交換技術是在OSI網絡標準模型中的第二層——數據鏈路層進行操作的，而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。應用第三層交換技術即可實現網絡路由的功能，又可以根據不同的網絡狀況做到最優的網絡性能。

　　爲什麼使用三層交換機？

　　1、網絡骨幹少不了三層交換

　　要說三層交換機在諸多網絡設備中的作用，用“中流砥柱”形容並不爲過。在校園網、城域教育網中，從骨幹網、城域網骨幹、匯聚層都有三層交換機的用武之地，尤其是核心骨幹網一定要用三層交換機，否則整個網絡成千上萬臺的計算機都在一個子網中，不僅毫無安全可言，也會因爲無法分割廣播域而無法隔離廣播風暴。

　　如果採用傳統的路由器，雖然可以隔離廣播，但是性能又得不到保障。而三層交換機的性能非常高，既有三層路由的功能，又具有二層交換的網絡速度。二層交換是基於MAC尋址，三層交換則是轉發基於第三層地址的業務流；除了必要的路由決定過程外，大部分數據轉發過程由二層交換處理，提高了數據包轉發的效率。

　　三層交換機通過使用硬件交換機構實現了IP的路由功能，其優化的路由軟件使得路由過程效率提高，解決了傳統路由器軟件路由的速度問題。因此可以說，三層交換機具有“路由器的功能、交換機的性能”。

　　2、連接子網少不了三層交換

　　同一網絡上的計算機如果超過一定數量（通常在200臺左右，視通信協議而定），就很可能會因爲網絡上大量的廣播而導致網絡傳輸效率低下。爲了避免在大型交換機上進行廣播所引起的廣播風暴，可將其進一步劃分爲多個虛擬網（VLAN）。但是這樣做將導致一個問題：VLAN之間的通信必須通過路由器來實現。但是傳統路由器也難以勝任VLAN之間的通信任務，因爲相對於局域網的網絡流量來說，傳統的普通路由器的路由能力太弱。

　　而且千兆級路由器的價格也是非常難以接受的。如果使用三層交換機上的千兆端口或百兆端口連接不同的子網或VLAN，就在保持性能的前提下，經濟地解決了子網劃分之後子網之間必須依賴路由器進行通信的問題，因此三層交換機是連接子網的理想設備。

　　使用三層交換機的好處：

　　除了優秀的性能之外，三層交換機還具有一些傳統的二層交換機沒有的特性，這些特性可以給校園網和城域教育網的建設帶來許多好處，列舉如下。

　　1、高可擴充性

　　三層交換機在連接多個子網時，子網只是與第三層交換模塊建立邏輯連接，不像傳統外接路由器那樣需要增加端口，從而保護了用戶對校園網、城域教育網的投資。並滿足學校3~5年網絡應用快速增長的需要。

　　2、高性價比

　　三層交換機具有連接大型網絡的能力，功能基本上可以取代某些傳統路由器，但是價格卻接近二層交換機。現在一臺百兆三層交換機的價格只有幾萬元，與高端的二層交換機的價格差不多。

　　3、內置安全機制

　　三層交換機可以與普通路由器一樣，具有訪問列表的功能，可以實現不同VLAN間的單向或雙向通訊。如果在訪問列表中進行設置，可以限制用戶訪問特定的IP地址，這樣學校就可以禁止學生訪問不健康的站點。

　　訪問列表不僅可以用於禁止內部用戶訪問某些站點，也可以用於防止校園網、城域教育網外部的非法用戶訪問校園網、城域教育網內部的網絡資源，從而提高網絡的安全。

　　4、適合多媒體傳輸

　　教育網經常需要傳輸多媒體信息，這是教育網的一個特色。三層交換機具有QoS（服務質量）的控制功能，可以給不同的應用程序分配不同的帶寬。

　　例如，在校園網、城域教育網中傳輸視頻流時，就可以專門爲視頻傳輸預留一定量的專用帶寬，相當於在網絡中開闢了專用通道，其他的應用程序不能佔用這些預留的帶寬，因此能夠保證視頻流傳輸的穩定性。而普通的二層交換機就沒有這種特性，因此在傳輸視頻數據時，就會出現視頻忽快忽慢的抖動現象。

　　另外，視頻點播（VOD）也是教育網中經常使用的業務。但是由於有些視頻點播系統使用廣播來傳輸，而廣播包是不能實現跨網段的，這樣VOD就不能實現跨網段進行；如果採用單播形式實現VOD，雖然可以實現跨網段，但是支持的同時連接數就非常少，一般幾十個連接就佔用了全部帶寬。而三層交換機具有組播功能，VOD的數據包以組播的形式發向各個子網，既實現了跨網段傳輸，又保證了VOD的性能。

　　5、計費功能

　　在高校校園網及有些地區的城域教育網中，很可能有計費的需求，因爲三層交換機可以識別數據包中的IP地址信息，因此可以統計網絡中計算機的數據流量，可以按流量計費，也可以統計計算機連接在網絡上的時間，按時間進行計費。而普通的二層交換機就難以同時做到這兩點。

　　第三層交換機，是直接根據第三層網絡層IP地址來完成端到端的數據交換的。

　　三層交換機的工作原理：

　　使用IP的設備A------------------------三層交換機------------------------使用IP的設備B

　　比如A要給B發送數據，已知目的IP，那麼A就用子網掩碼取得網絡地址，判斷目的IP是否與自己在同一網段。

　　如果在同一網段，但不知道轉發數據所需的MAC地址，A就發送一個ARP請求，B返回其MAC地址，A用此MAC封裝數據包併發送給交換機，交換機起用二層交換模塊，查找MAC地址表，將數據包轉發到相應的端口。

　　如果目的IP地址顯示不是同一網段的，那麼A要實現和B的通訊，在流緩存條目中沒有對應MAC地址條目，就將第一個正常數據包發送向一個缺省網關，這個缺省網關一般在操作系統中已經設好，對應第三層路由模塊，所以可見對於不是同一子網的數據，最先在MAC表中放的是缺省網關的MAC地址；然後就由三層模塊接收到此數據包，查詢路由表以確定到達B的路由，將構造一個新的幀頭，其中以缺省網關的MAC地址爲源MAC地址，以主機B的MAC地址爲目的MAC地址。通過一定的識別觸發機制，確立主機A與B的MAC地址及轉發端口的對應關

　　系，並記錄進流緩存條目表，以後的A到B的數據，就直接交由二層交換模塊完成。這就通常所說的一次路由多次轉發。

　　表面上看，第三層交換機是第二層交換器與路由器的合二而一，然而這種結合並非簡單的物理結合，而是各取所長的邏輯結合。其重要表現是，當某一信息源的第一個數據流進行第三層交換後，其中的路由系統將會產生一個MAC地址與IP地址的映射表，並將該表存儲起來，當同一信息源的後續數據流再次進入交換環境時，交換機將根據第一次產生並保存的地址映射表，直接從第二層由源地址傳輸到目的地址，不再經過第三路由系統處理，從而消除了路由選擇時造成的網絡延遲，提高了數據包的轉發效率，解決了網間傳輸信息時路由產生的速率瓶頸。所以說，第三層交換機既可完成第二層交換機的端口交換功能，又可完成部分路由器的路由功能。即第三層交換機的交換機方案，實際上是一個能夠支持多層次動態集成的解決方案，雖然這種多層次動態集成功能在某些程度上也能由傳統路由器和第二層交換機搭載完成，但這種搭載方案與採用三層交換機相比，不僅需要更多的設備配置、佔用更大的空間、設計更多的佈線和花費更高的成本，而且數據傳輸性能也要差得多，因爲在海量數據傳輸中，搭載方案中的路由器無法克服路由傳輸速率瓶頸。

　　顯然，第二層交換機和第三層交換機都是基於端口地址的端到端的交換過程，雖然這種基於MAC地址和IP地址的交換機技術，能夠極大地提高各節點之間的數據傳輸率，但卻無法根據端口主機的應用需求來自主確定或動態限制端口的交換過程和數據流量，即缺乏第四層智能應用交換需求。第四層交換機不僅可以完成端到端交換，還能根據端口主機的應用特點，確定或限制它的交換流量。簡單地說，第四層交換機是基於傳輸層數據包的交換過程的，是一類基於TCP/IP協議應用層的用戶應用交換需求的新型局域網交換機。第四層交換機支持TCP/UDP第四層以下的所有協議，可識別至少80個字節的數據包包頭長度，可根據TCP/UDP端口號來區分數據包的應用類型，從而實現應用層的訪問控制和服務質量保證。所以，與其說第四層交換機是硬件網絡設備，還不如說它是軟件網絡管理系統。也就是說，第四層交換機是一類以軟件技術爲主，以硬件技術爲輔的網絡管理交換設備。

　　最後值得指出的是，某些人在不同程度上還存在一些模糊概念，認爲所謂第四層交換機實際上就是在第三層交換機上增加了具有通過辨別第四層協議端口的能力，僅在第三層交換機上增加了一些增值軟件罷了，因而並非工作在傳輸層，而是仍然在第三層上進行交換操作，只不過是對第三層交換更加敏感而已，從根本上否定第四層交換的關鍵技術與作用。我們知道，數據包的第二層IEEE802.1P字段或第三層IPToS字段可以用於區分數據包本身的優先級，我們說第四層交換機基於第四層數據包交換，這是說它可以根據第四層TCP/UDP端口號來分析數據包應用類型，即第四層交換機不僅完全具備第三層交換機的所有交換功能和性能，還能支持第三層交換機不可能擁有的網絡流量和服務質量控制的智能型功能。