二層交換機的升級產(chǎn)品：三層交換機，一個頂倆，很給力。它既有交換機的全部功能，又有路由器的部分功能，一臺設(shè)備就實現(xiàn)局域網(wǎng)內(nèi)的數(shù)據(jù)高速轉(zhuǎn)發(fā)。接下來，我們就詳細介紹下三層交換機。

1、什么是三層交換機？

三層交換機是在二層交換機的基礎(chǔ)上，增加了路由選擇功能的網(wǎng)絡(luò)設(shè)備，能夠基于 ASIC 和 FPGA 實現(xiàn)網(wǎng)絡(luò)功能和轉(zhuǎn)發(fā)分組。

二層交換機能夠基于數(shù)據(jù)鏈路層的 MAC 地址，進行數(shù)據(jù)幀或 VLAN 的傳輸功能。三層交換機能夠基于網(wǎng)絡(luò)層的 IP 地址，實現(xiàn)路由選擇以及分組過濾等功能。

二層交換機通過使用 VLAN 分隔廣播域，位于同一個 VLAN 下的終端才能進行數(shù)據(jù)幀交互。對于不同 VLAN 的終端有通信需求時，就必須使用路由功能，也就是需要額外添加路由器。

二層交換機和路由器組合使用，才能完成跨 VLAN 的通信，但使用三層交換機就不需要其它網(wǎng)絡(luò)設(shè)備，能夠直接完成不同 VLAN 之間的通信。

現(xiàn)在，內(nèi)部網(wǎng)絡(luò)核心交換機都是使用三層交換機。三層交換機用于由以太網(wǎng)構(gòu)成的 Intranet 內(nèi)部轉(zhuǎn)發(fā)分組，而路由器作為連接互聯(lián)網(wǎng)和 Intranet 內(nèi)網(wǎng)之間的網(wǎng)關(guān)來使用。

2、三層交換機和路由器有什么不同？

三層交換機一般只支持以太網(wǎng)的數(shù)據(jù)鏈路層協(xié)議和 IP 網(wǎng)絡(luò)的網(wǎng)絡(luò)層協(xié)議。

路由器的物理層和數(shù)據(jù)鏈路層除了 IEEE 802 標準以外，還支持其它各種協(xié)議，包括 ATM、SDH、串口等。網(wǎng)絡(luò)層和傳輸層也一樣，支持 TCP/IP 協(xié)議簇以外的協(xié)議簇，比如 IPX 、AppleTalk 等。這些功能都是由運行在 CPU 上的軟件來完成，對比三層交換機，速度會慢不少，但是也有很多功能必須由路由器 CPU 來處理，比如遠程接入、安全功能等。

3、三層交換機的架構(gòu)是怎樣的？

三層交換機的構(gòu)成要素有：控制平面、數(shù)據(jù)平面、背板和物理接口。高端路由器和防火墻也是同樣的架構(gòu)。三層交換機把硬件設(shè)備內(nèi)部分成兩個區(qū)域，即以路由選擇、管理功能為主的控制平面和以數(shù)據(jù)轉(zhuǎn)發(fā)功能為主的數(shù)據(jù)平面，從而實現(xiàn)高速轉(zhuǎn)發(fā)分組的系統(tǒng)架構(gòu)。

當硬件內(nèi)部結(jié)構(gòu)分為控制平面和數(shù)據(jù)平面時，分組的傳輸需要使用 FIB（轉(zhuǎn)發(fā)信息庫）和鄰接表的信息。這種利用 FIB 和鄰接表信息的 IP 分組傳輸方式叫做特快轉(zhuǎn)發(fā)。

路由器使用 CPU 完成分組轉(zhuǎn)發(fā)，而三層交換機使用 ASCI 代替 CPU ，分組的轉(zhuǎn)發(fā)更快。

三層交換機將 FIB 和鄰接表合并成一個表項，這個表項叫做 FDB（轉(zhuǎn)發(fā)數(shù)據(jù)庫），注冊在內(nèi)存中并通過硬件處理完成高速檢索。

4、什么是多層交換？

除了二層交換機之外，三層以上功能的交換機統(tǒng)稱為多層交換機。

擁有 IP 路由選擇等網(wǎng)絡(luò)功能、能夠通過訪問控制列表來對傳輸層的 TCP 端口編號進行訪問控制的三層交換機，也叫做四層交換機。

能夠支持到 TCP 層級訪問控制的交換機叫做四層交換機。能夠基于 HTTP 和 HTTPS 這里應(yīng)用層參數(shù)進行負載均衡等操作，這類交換機叫做七層交換機。

有些廠家將處理到應(yīng)用層的網(wǎng)絡(luò)設(shè)備和路由器區(qū)分開來，作為不同類型的產(chǎn)品。但所謂的多層交換機，也就是基于 ASIC 和 FPGA 的硬件處理，高速進行各層業(yè)務(wù)處理的網(wǎng)絡(luò)設(shè)備。

5、什么是負載均衡設(shè)備？

多個客戶端同時連接一臺服務(wù)器，可能導(dǎo)致服務(wù)器的處理能力超過負載。如果使用多臺提供相同服務(wù)的服務(wù)器，通過使用負載均衡設(shè)備，就可以將客戶端的請求分散到各個服務(wù)器進行處理。

負載均衡設(shè)備可以是專用設(shè)備，也可以是在服務(wù)器上運行的應(yīng)用程序。專用設(shè)備會有以太網(wǎng)接口，可以說是多層交換機的一種。也存在擁有負載均衡功能的路由器。

?

負載均衡設(shè)備一般會分配虛擬 IP 地址，所有客戶端的請求是通過虛擬 IP 地址完成的，通過負載均衡算法將客戶端的請求轉(zhuǎn)發(fā)到服務(wù)器的實際 IP 地址上。

負載均衡設(shè)備作用

使用負載均衡設(shè)備可以提高擴展性和可靠性。

負載均衡設(shè)備不僅適用于服務(wù)器，防火墻或代理服務(wù)器這種安全設(shè)備也可以使用負載均衡設(shè)備。

負載均衡算法類型

6、什么是 SSL 加速？

SSL 加速是負載均衡專用設(shè)備的一項功能，執(zhí)行這個功能的內(nèi)部裝置叫做 SSL 加速器。

在服務(wù)器進行 SSL 通信時，對傳輸?shù)臄?shù)據(jù)進行加密解密操作需要執(zhí)行相當復(fù)雜的計算，這會導(dǎo)致服務(wù)器 CPU 的處理負載進一步加大。與不執(zhí)行加密解密的 HTTP 通信對比，HTTPS 的處理負載是 HTTP 的 10 倍。

這時，通過使用 SSL 加速器對客戶端的 HTTPS 請求進行解密，并轉(zhuǎn)換成 HTTP 請求后再轉(zhuǎn)發(fā)到實際的服務(wù)器上，這樣就可以降低服務(wù)器 CPU 的處理負載。

這樣一來，整個系統(tǒng)在提高服務(wù)器響應(yīng)速度的同時，還能減少服務(wù)器的數(shù)量，在單位時間內(nèi)能夠轉(zhuǎn)發(fā)更多 Web 服務(wù)內(nèi)容。

7、根據(jù)性能分類，三層交換機有幾種類型？

根據(jù)三層交換機的背板容量，可分為高端交換機、中端交換機和低端交換機。

高端三層交換機

框式三層交換機由路由引擎、交換結(jié)構(gòu)、線卡模塊、風扇模塊和電源模塊組成，一般作為企業(yè)的核心交換機用在數(shù)據(jù)中心。

為了提高交換機的可靠性，除了線卡模塊之外，其余模塊都提供了冗余結(jié)構(gòu)。電源或風扇模塊通常采用 1+N 或 N+N 冗余結(jié)構(gòu)，路由引擎通常采用 1+1 的冗余結(jié)構(gòu)。三層交換機一般通過多臺設(shè)備堆疊構(gòu)成三層冗余結(jié)構(gòu)，來提高整個系統(tǒng)的可用性。

中端三層交換機

中端三層交換機一般是箱式交換機或最大插槽數(shù)為 4 的框式交換機，用于企業(yè)核心交換機和接入交換機進行匯聚交換。

?

低端三層交換機

低端三層交換機一般為箱式交換機或桌面式交換機，作為企業(yè)的接入交換機使用，設(shè)備通常有 24 端口或 48 端口。有些作為 IP 電話或無線 LAN 的訪問接入點，還能直接使用以太網(wǎng)的電源供電（ PoE ）。

?

8、三層交換機有哪些功能？

盡管各個廠家的三層交換機提供的功能不同，但是這些功能大致有幾個類別：認證類、管理類、路由選擇協(xié)議、QoS 、IP 隧道、VLAN 、STP 等。

在三層交換機中，對分組進行管理的功能是由 CPU（軟件）直接處理的。用戶直接的通信，是由 ASIC（硬件）處理實現(xiàn)分組的高速轉(zhuǎn)發(fā)的。

9、什么是 VLAN ？

由一臺或幾臺集線器組成的一個廣播域可以稱為是一個扁平網(wǎng)絡(luò)。相互連接的終端會接收網(wǎng)絡(luò)發(fā)來的所有廣播幀。隨著連接終端數(shù)量的增加，廣播數(shù)量也會增加，網(wǎng)絡(luò)狀況也就越混雜。

這種情況下，需要采用 VLAN（ Virtual Lan ）技術(shù)把整個扁平網(wǎng)絡(luò)進行邏輯分段。一個 VLAN 對應(yīng)一個廣播域，不同 VLAN 的廣播域互相隔離，因此能夠控制廣播域內(nèi)的廣播通信規(guī)模。

交換機通過設(shè)置，可以輕易的修改物理端口的屬性，讓這個物理端口加入到某一個 VLAN 之中，而不需要改變對應(yīng)的物理線路。

VLAN 之間的通信需要使用路由選擇，不借助路由器或三層交換機就無法與不同 VLAN 的終端進行通信，因此安全性也有了保障。

10、什么是基于端口的 VLAN ？

基于端口的 VLAN 是在交換機的端口上設(shè)置 VLAN ID ，擁有相同 VLAN ID 的多個端口構(gòu)成一個 VLAN 。通常交換機在初始狀態(tài)下，所有端口默認 VLAN ID = 1（即 VLAN 1 ），可以對任意一個端口的 VLAN ID 進行設(shè)置。比如把修改某一個端口配置為 VLAN ID = 2 ，那這個端口就屬于 VLAN 2 。

11、什么是標簽 VLAN ?

當 VLAN 需要跨越多個交換機時，會使用中繼端口（ trunk port ）的標簽 VLAN（ tag VLAN ）。tag VLAN 通過中繼端口完成數(shù)據(jù)幀的接收和發(fā)送，其中數(shù)據(jù)幀需要添加 4 字節(jié) IEEE 802.1Q 定義的頭部信息（即 VLAN 標簽信息）。為數(shù)據(jù)幀添加標簽的過程叫做 tagging 。當 tagging 完成后，數(shù)據(jù)幀的最大長度從 1518 字節(jié)變成 1522 字節(jié)，其中有 12bit 的 VLAN ID 信息，也就是說，最多支持的 VLAN 數(shù)是 4096 個。

在以太網(wǎng)中，數(shù)據(jù)幀中 TPID 的值是 0x8100 。如果源地址后面的值不是 0x8100 ，那么就不是 TPID 信息，而是識別成“長度/類型”。當“長度/類型”的值為 0x05DC 以下時，表示數(shù)據(jù)幀的長度；在0x0600 以上時，表示數(shù)據(jù)幀的類型。數(shù)據(jù)幀類型的值分別是：IPv4 是 0x0800 ，ARP 是 0x0806 、IPv6 是 0x86DD 等。

不支持 IEEE 802.1Q 的交換機，由于無法識別 TPID ，會將 0x8100 視為數(shù)據(jù)幀類型，但是不存在 0x8100 類型的數(shù)據(jù)幀，交換機會作為錯誤幀直接丟棄。

IEEE 802.1Q 還定義了一個字段：TCI ，TCI 可以分為 3 個類型：PCP 、CFI 和 VID 。

12、什么是本征 VLAN ？

本征 VLAN（ native VLAN ）用于中繼端口（ trunk port ）。如果數(shù)據(jù)幀在進入 trunk port 前，是沒有標記的，那么 trunk port 會給它打上 native VLAN 的標記，這個數(shù)據(jù)幀就以 native VLAN 的身份傳輸。如果數(shù)據(jù)幀在進入 trunk 前，已經(jīng)打上標記了，且 trunk port 允許這個 VLAN ID 通過，這個數(shù)據(jù)幀就通過。trunk port 不允許通過的 VLAN 數(shù)據(jù)幀會直接丟棄。交換機默認使用 VLAN ID 為 1 的 VLAN 作為 native VLAN 。native VLAN 是可以自定義的，通常是使用 VLAN 1 以外的 VLAN 作為本征 native VLAN ，作為管理 VLAN 。

13、什么是中繼端口？

使用標簽 VLAN（ tag VLAN ）向其它交換機傳遞 VLAN ID 時，首先設(shè)置中繼端口（ trunk port ）。trunk port 能夠?qū)儆诙鄠€ VLAN ，與其它交換機進行多個 VLAN 的數(shù)據(jù)幀收發(fā)通信。兩臺交換機 trunk port 之間的鏈路叫做中繼鏈路（ trunk link ）。

與 trunk port 和 trunk link 對應(yīng)的，是接入端口（ access port ）和接入鏈路（ access link ）這兩個概念。access port 只屬于一個 VLAN ，access link 也僅傳輸一個 VLAN 數(shù)據(jù)幀。

14、什么是私有 VLAN ？

私有 VLAN（ Private VLAN ）也叫做 PVLAN ，是指在 VLAN 內(nèi)部再構(gòu)建一層 VLAN 的功能，也叫做多層 VLAN 。

PVLAN 能夠進一步分割廣播域，削減 VLAN 內(nèi)部的廣播流量并保障通信的安全性。酒店、公寓等場所使用這個功能，能夠控制服務(wù)器或網(wǎng)關(guān)與終端的連接，讓不同終端之間無法相互通信。

PVLAN 由主 VLAN（ Primary VLAN ）和從 VLAN（ Secondary VLAN ）組成，從 VLAN 與 1 個主 VLAN 關(guān)聯(lián)。

15、靜態(tài) VLAN 和動態(tài) VLAN 的區(qū)別是什么？

通過輸入交換機命令，將一個交換機端口固定分配給某個 VLAN ，這種 VLAN 劃分方式叫做靜態(tài) VLAN 。

相對的，根據(jù)連接端口的終端或用戶信息自動分配某個 VLAN 的方式叫做動態(tài) VLAN 。具體來說，就是交換機根據(jù)終端的 MAC 地址來分配，或者基于 802.1X 的認證來決定端口屬于哪個 VLAN 。在動態(tài) VLAN 中，無論終端與哪臺交換機連接，都會獲取固定的同一個 VLAN 。

通過交換機內(nèi)部的數(shù)據(jù)庫，可以實現(xiàn)基于 MAC 地址的認證，但大部分情況下，動態(tài) VLAN 的實現(xiàn)都是使用 RADIUS 服務(wù)器。

16、VLAN 之間的是如何互通的？

二層交換機

在二層交換機上設(shè)置多個 VLAN 后，單臺交換機內(nèi)，數(shù)據(jù)幀只能在相同 VLAN 內(nèi)轉(zhuǎn)發(fā)，不能在不同 VLAN 之間轉(zhuǎn)發(fā)。

當需要在多個 VLAN 之間轉(zhuǎn)發(fā)數(shù)據(jù)時，一般會使用 trunk link 連接路由器，通過路由器進行 VLAN 之間的路由選擇。

三層交換機

三層交換機能夠在交換機內(nèi)部直接完成 VLAN 之間的路由選擇。

編輯：黃飛

?