二層交換機的升級產品：三層交換機，一個頂倆，很給力。它既有交換機的全部功能，又有路由器的部分功能，一臺設備就實現局域網內的數據高速轉發。接下來，我們就詳細介紹下三層交換機。

1、什么是三層交換機？

三層交換機是在二層交換機的基礎上，增加了路由選擇功能的網絡設備，能夠基于 ASIC 和 FPGA 實現網絡功能和轉發分組。

二層交換機能夠基于數據鏈路層的 MAC 地址，進行數據幀或 VLAN 的傳輸功能。三層交換機能夠基于網絡層的 IP 地址，實現路由選擇以及分組過濾等功能。

二層交換機通過使用 VLAN 分隔廣播域，位于同一個 VLAN 下的終端才能進行數據幀交互。對于不同 VLAN 的終端有通信需求時，就必須使用路由功能，也就是需要額外添加路由器。

二層交換機和路由器組合使用，才能完成跨 VLAN 的通信，但使用三層交換機就不需要其它網絡設備，能夠直接完成不同 VLAN 之間的通信。

現在，內部網絡核心交換機都是使用三層交換機。三層交換機用于由以太網構成的 Intranet 內部轉發分組，而路由器作為連接互聯網和 Intranet 內網之間的網關來使用。

2、三層交換機和路由器有什么不同？

三層交換機一般只支持以太網的數據鏈路層協議和 IP 網絡的網絡層協議。

路由器的物理層和數據鏈路層除了 IEEE 802 標準以外，還支持其它各種協議，包括 ATM、SDH、串口等。網絡層和傳輸層也一樣，支持 TCP/IP 協議簇以外的協議簇，比如 IPX 、AppleTalk 等。這些功能都是由運行在 CPU 上的軟件來完成，對比三層交換機，速度會慢不少，但是也有很多功能必須由路由器 CPU 來處理，比如遠程接入、安全功能等。

3、三層交換機的架構是怎樣的？

三層交換機的構成要素有：控制平面、數據平面、背板和物理接口。高端路由器和防火墻也是同樣的架構。三層交換機把硬件設備內部分成兩個區域，即以路由選擇、管理功能為主的控制平面和以數據轉發功能為主的數據平面，從而實現高速轉發分組的系統架構。

當硬件內部結構分為控制平面和數據平面時，分組的傳輸需要使用 FIB（轉發信息庫）和鄰接表的信息。這種利用 FIB 和鄰接表信息的 IP 分組傳輸方式叫做特快轉發。

路由器使用 CPU 完成分組轉發，而三層交換機使用 ASCI 代替 CPU ，分組的轉發更快。

三層交換機將 FIB 和鄰接表合并成一個表項，這個表項叫做 FDB（轉發數據庫），注冊在內存中并通過硬件處理完成高速檢索。

4、什么是多層交換？

除了二層交換機之外，三層以上功能的交換機統稱為多層交換機。

擁有 IP 路由選擇等網絡功能、能夠通過訪問控制列表來對傳輸層的 TCP 端口編號進行訪問控制的三層交換機，也叫做四層交換機。

能夠支持到 TCP 層級訪問控制的交換機叫做四層交換機。能夠基于 HTTP 和 HTTPS 這里應用層參數進行負載均衡等操作，這類交換機叫做七層交換機。

有些廠家將處理到應用層的網絡設備和路由器區分開來，作為不同類型的產品。但所謂的多層交換機，也就是基于 ASIC 和 FPGA 的硬件處理，高速進行各層業務處理的網絡設備。

5、什么是負載均衡設備？

多個客戶端同時連接一臺服務器，可能導致服務器的處理能力超過負載。如果使用多臺提供相同服務的服務器，通過使用負載均衡設備，就可以將客戶端的請求分散到各個服務器進行處理。

負載均衡設備可以是專用設備，也可以是在服務器上運行的應用程序。專用設備會有以太網接口，可以說是多層交換機的一種。也存在擁有負載均衡功能的路由器。

?

負載均衡設備一般會分配虛擬 IP 地址，所有客戶端的請求是通過虛擬 IP 地址完成的，通過負載均衡算法將客戶端的請求轉發到服務器的實際 IP 地址上。

負載均衡設備作用

使用負載均衡設備可以提高擴展性和可靠性。

負載均衡設備不僅適用于服務器，防火墻或代理服務器這種安全設備也可以使用負載均衡設備。

負載均衡算法類型

6、什么是 SSL 加速？

SSL 加速是負載均衡專用設備的一項功能，執行這個功能的內部裝置叫做 SSL 加速器。

在服務器進行 SSL 通信時，對傳輸的數據進行加密解密操作需要執行相當復雜的計算，這會導致服務器 CPU 的處理負載進一步加大。與不執行加密解密的 HTTP 通信對比，HTTPS 的處理負載是 HTTP 的 10 倍。

這時，通過使用 SSL 加速器對客戶端的 HTTPS 請求進行解密，并轉換成 HTTP 請求后再轉發到實際的服務器上，這樣就可以降低服務器 CPU 的處理負載。

這樣一來，整個系統在提高服務器響應速度的同時，還能減少服務器的數量，在單位時間內能夠轉發更多 Web 服務內容。

7、根據性能分類，三層交換機有幾種類型？

根據三層交換機的背板容量，可分為高端交換機、中端交換機和低端交換機。

高端三層交換機

框式三層交換機由路由引擎、交換結構、線卡模塊、風扇模塊和電源模塊組成，一般作為企業的核心交換機用在數據中心。

為了提高交換機的可靠性，除了線卡模塊之外，其余模塊都提供了冗余結構。電源或風扇模塊通常采用 1+N 或 N+N 冗余結構，路由引擎通常采用 1+1 的冗余結構。三層交換機一般通過多臺設備堆疊構成三層冗余結構，來提高整個系統的可用性。

中端三層交換機

中端三層交換機一般是箱式交換機或最大插槽數為 4 的框式交換機，用于企業核心交換機和接入交換機進行匯聚交換。

?

低端三層交換機

低端三層交換機一般為箱式交換機或桌面式交換機，作為企業的接入交換機使用，設備通常有 24 端口或 48 端口。有些作為 IP 電話或無線 LAN 的訪問接入點，還能直接使用以太網的電源供電（ PoE ）。

?

8、三層交換機有哪些功能？

盡管各個廠家的三層交換機提供的功能不同，但是這些功能大致有幾個類別：認證類、管理類、路由選擇協議、QoS 、IP 隧道、VLAN 、STP 等。

在三層交換機中，對分組進行管理的功能是由 CPU（軟件）直接處理的。用戶直接的通信，是由 ASIC（硬件）處理實現分組的高速轉發的。

9、什么是 VLAN ？

由一臺或幾臺集線器組成的一個廣播域可以稱為是一個扁平網絡。相互連接的終端會接收網絡發來的所有廣播幀。隨著連接終端數量的增加，廣播數量也會增加，網絡狀況也就越混雜。

這種情況下，需要采用 VLAN（ Virtual Lan ）技術把整個扁平網絡進行邏輯分段。一個 VLAN 對應一個廣播域，不同 VLAN 的廣播域互相隔離，因此能夠控制廣播域內的廣播通信規模。

交換機通過設置，可以輕易的修改物理端口的屬性，讓這個物理端口加入到某一個 VLAN 之中，而不需要改變對應的物理線路。

VLAN 之間的通信需要使用路由選擇，不借助路由器或三層交換機就無法與不同 VLAN 的終端進行通信，因此安全性也有了保障。

10、什么是基于端口的 VLAN ？

基于端口的 VLAN 是在交換機的端口上設置 VLAN ID ，擁有相同 VLAN ID 的多個端口構成一個 VLAN 。通常交換機在初始狀態下，所有端口默認 VLAN ID = 1（即 VLAN 1 ），可以對任意一個端口的 VLAN ID 進行設置。比如把修改某一個端口配置為 VLAN ID = 2 ，那這個端口就屬于 VLAN 2 。

11、什么是標簽 VLAN ?

當 VLAN 需要跨越多個交換機時，會使用中繼端口（ trunk port ）的標簽 VLAN（ tag VLAN ）。tag VLAN 通過中繼端口完成數據幀的接收和發送，其中數據幀需要添加 4 字節 IEEE 802.1Q 定義的頭部信息（即 VLAN 標簽信息）。為數據幀添加標簽的過程叫做 tagging 。當 tagging 完成后，數據幀的最大長度從 1518 字節變成 1522 字節，其中有 12bit 的 VLAN ID 信息，也就是說，最多支持的 VLAN 數是 4096 個。

在以太網中，數據幀中 TPID 的值是 0x8100 。如果源地址后面的值不是 0x8100 ，那么就不是 TPID 信息，而是識別成“長度/類型”。當“長度/類型”的值為 0x05DC 以下時，表示數據幀的長度；在0x0600 以上時，表示數據幀的類型。數據幀類型的值分別是：IPv4 是 0x0800 ，ARP 是 0x0806 、IPv6 是 0x86DD 等。

不支持 IEEE 802.1Q 的交換機，由于無法識別 TPID ，會將 0x8100 視為數據幀類型，但是不存在 0x8100 類型的數據幀，交換機會作為錯誤幀直接丟棄。

IEEE 802.1Q 還定義了一個字段：TCI ，TCI 可以分為 3 個類型：PCP 、CFI 和 VID 。

12、什么是本征 VLAN ？

本征 VLAN（ native VLAN ）用于中繼端口（ trunk port ）。如果數據幀在進入 trunk port 前，是沒有標記的，那么 trunk port 會給它打上 native VLAN 的標記，這個數據幀就以 native VLAN 的身份傳輸。如果數據幀在進入 trunk 前，已經打上標記了，且 trunk port 允許這個 VLAN ID 通過，這個數據幀就通過。trunk port 不允許通過的 VLAN 數據幀會直接丟棄。交換機默認使用 VLAN ID 為 1 的 VLAN 作為 native VLAN 。native VLAN 是可以自定義的，通常是使用 VLAN 1 以外的 VLAN 作為本征 native VLAN ，作為管理 VLAN 。

13、什么是中繼端口？

使用標簽 VLAN（ tag VLAN ）向其它交換機傳遞 VLAN ID 時，首先設置中繼端口（ trunk port ）。trunk port 能夠屬于多個 VLAN ，與其它交換機進行多個 VLAN 的數據幀收發通信。兩臺交換機 trunk port 之間的鏈路叫做中繼鏈路（ trunk link ）。

與 trunk port 和 trunk link 對應的，是接入端口（ access port ）和接入鏈路（ access link ）這兩個概念。access port 只屬于一個 VLAN ，access link 也僅傳輸一個 VLAN 數據幀。

14、什么是私有 VLAN ？

私有 VLAN（ Private VLAN ）也叫做 PVLAN ，是指在 VLAN 內部再構建一層 VLAN 的功能，也叫做多層 VLAN 。

PVLAN 能夠進一步分割廣播域，削減 VLAN 內部的廣播流量并保障通信的安全性。酒店、公寓等場所使用這個功能，能夠控制服務器或網關與終端的連接，讓不同終端之間無法相互通信。

PVLAN 由主 VLAN（ Primary VLAN ）和從 VLAN（ Secondary VLAN ）組成，從 VLAN 與 1 個主 VLAN 關聯。

15、靜態 VLAN 和動態 VLAN 的區別是什么？

通過輸入交換機命令，將一個交換機端口固定分配給某個 VLAN ，這種 VLAN 劃分方式叫做靜態 VLAN 。

相對的，根據連接端口的終端或用戶信息自動分配某個 VLAN 的方式叫做動態 VLAN 。具體來說，就是交換機根據終端的 MAC 地址來分配，或者基于 802.1X 的認證來決定端口屬于哪個 VLAN 。在動態 VLAN 中，無論終端與哪臺交換機連接，都會獲取固定的同一個 VLAN 。

通過交換機內部的數據庫，可以實現基于 MAC 地址的認證，但大部分情況下，動態 VLAN 的實現都是使用 RADIUS 服務器。

16、VLAN 之間的是如何互通的？

二層交換機

在二層交換機上設置多個 VLAN 后，單臺交換機內，數據幀只能在相同 VLAN 內轉發，不能在不同 VLAN 之間轉發。

當需要在多個 VLAN 之間轉發數據時，一般會使用 trunk link 連接路由器，通過路由器進行 VLAN 之間的路由選擇。

三層交換機

三層交換機能夠在交換機內部直接完成 VLAN 之間的路由選擇。

編輯：黃飛

?