二層交換機(jī)的升級產(chǎn)品：三層交換機(jī)，一個(gè)頂倆，很給力。它既有交換機(jī)的全部功能，又有路由器的部分功能，一臺設(shè)備就實(shí)現(xiàn)局域網(wǎng)內(nèi)的數(shù)據(jù)高速轉(zhuǎn)發(fā)。接下來，我們就詳細(xì)介紹下三層交換機(jī)。

1、什么是三層交換機(jī)？

三層交換機(jī)是在二層交換機(jī)的基礎(chǔ)上，增加了路由選擇功能的網(wǎng)絡(luò)設(shè)備，能夠基于 ASIC 和 FPGA 實(shí)現(xiàn)網(wǎng)絡(luò)功能和轉(zhuǎn)發(fā)分組。

二層交換機(jī)能夠基于數(shù)據(jù)鏈路層的 MAC 地址，進(jìn)行數(shù)據(jù)幀或 VLAN 的傳輸功能。三層交換機(jī)能夠基于網(wǎng)絡(luò)層的 IP 地址，實(shí)現(xiàn)路由選擇以及分組過濾等功能。

二層交換機(jī)通過使用 VLAN 分隔廣播域，位于同一個(gè) VLAN 下的終端才能進(jìn)行數(shù)據(jù)幀交互。對于不同 VLAN 的終端有通信需求時(shí)，就必須使用路由功能，也就是需要額外添加路由器。

二層交換機(jī)和路由器組合使用，才能完成跨 VLAN 的通信，但使用三層交換機(jī)就不需要其它網(wǎng)絡(luò)設(shè)備，能夠直接完成不同 VLAN 之間的通信。

現(xiàn)在，內(nèi)部網(wǎng)絡(luò)核心交換機(jī)都是使用三層交換機(jī)。三層交換機(jī)用于由以太網(wǎng)構(gòu)成的 Intranet 內(nèi)部轉(zhuǎn)發(fā)分組，而路由器作為連接互聯(lián)網(wǎng)和 Intranet 內(nèi)網(wǎng)之間的網(wǎng)關(guān)來使用。

2、三層交換機(jī)和路由器有什么不同？

三層交換機(jī)一般只支持以太網(wǎng)的數(shù)據(jù)鏈路層協(xié)議和 IP 網(wǎng)絡(luò)的網(wǎng)絡(luò)層協(xié)議。

路由器的物理層和數(shù)據(jù)鏈路層除了 IEEE 802 標(biāo)準(zhǔn)以外，還支持其它各種協(xié)議，包括 ATM、SDH、串口等。網(wǎng)絡(luò)層和傳輸層也一樣，支持 TCP/IP 協(xié)議簇以外的協(xié)議簇，比如 IPX 、AppleTalk 等。這些功能都是由運(yùn)行在 CPU 上的軟件來完成，對比三層交換機(jī)，速度會(huì)慢不少，但是也有很多功能必須由路由器 CPU 來處理，比如遠(yuǎn)程接入、安全功能等。

3、三層交換機(jī)的架構(gòu)是怎樣的？

三層交換機(jī)的構(gòu)成要素有：控制平面、數(shù)據(jù)平面、背板和物理接口。高端路由器和防火墻也是同樣的架構(gòu)。三層交換機(jī)把硬件設(shè)備內(nèi)部分成兩個(gè)區(qū)域，即以路由選擇、管理功能為主的控制平面和以數(shù)據(jù)轉(zhuǎn)發(fā)功能為主的數(shù)據(jù)平面，從而實(shí)現(xiàn)高速轉(zhuǎn)發(fā)分組的系統(tǒng)架構(gòu)。

當(dāng)硬件內(nèi)部結(jié)構(gòu)分為控制平面和數(shù)據(jù)平面時(shí)，分組的傳輸需要使用 FIB（轉(zhuǎn)發(fā)信息庫）和鄰接表的信息。這種利用 FIB 和鄰接表信息的 IP 分組傳輸方式叫做特快轉(zhuǎn)發(fā)。

路由器使用 CPU 完成分組轉(zhuǎn)發(fā)，而三層交換機(jī)使用 ASCI 代替 CPU ，分組的轉(zhuǎn)發(fā)更快。

三層交換機(jī)將 FIB 和鄰接表合并成一個(gè)表項(xiàng)，這個(gè)表項(xiàng)叫做 FDB（轉(zhuǎn)發(fā)數(shù)據(jù)庫），注冊在內(nèi)存中并通過硬件處理完成高速檢索。

4、什么是多層交換？

除了二層交換機(jī)之外，三層以上功能的交換機(jī)統(tǒng)稱為多層交換機(jī)。

擁有 IP 路由選擇等網(wǎng)絡(luò)功能、能夠通過訪問控制列表來對傳輸層的 TCP 端口編號進(jìn)行訪問控制的三層交換機(jī)，也叫做四層交換機(jī)。

能夠支持到 TCP 層級訪問控制的交換機(jī)叫做四層交換機(jī)。能夠基于 HTTP 和 HTTPS 這里應(yīng)用層參數(shù)進(jìn)行負(fù)載均衡等操作，這類交換機(jī)叫做七層交換機(jī)。

有些廠家將處理到應(yīng)用層的網(wǎng)絡(luò)設(shè)備和路由器區(qū)分開來，作為不同類型的產(chǎn)品。但所謂的多層交換機(jī)，也就是基于 ASIC 和 FPGA 的硬件處理，高速進(jìn)行各層業(yè)務(wù)處理的網(wǎng)絡(luò)設(shè)備。

5、什么是負(fù)載均衡設(shè)備？

多個(gè)客戶端同時(shí)連接一臺服務(wù)器，可能導(dǎo)致服務(wù)器的處理能力超過負(fù)載。如果使用多臺提供相同服務(wù)的服務(wù)器，通過使用負(fù)載均衡設(shè)備，就可以將客戶端的請求分散到各個(gè)服務(wù)器進(jìn)行處理。

負(fù)載均衡設(shè)備可以是專用設(shè)備，也可以是在服務(wù)器上運(yùn)行的應(yīng)用程序。專用設(shè)備會(huì)有以太網(wǎng)接口，可以說是多層交換機(jī)的一種。也存在擁有負(fù)載均衡功能的路由器。

?

負(fù)載均衡設(shè)備一般會(huì)分配虛擬 IP 地址，所有客戶端的請求是通過虛擬 IP 地址完成的，通過負(fù)載均衡算法將客戶端的請求轉(zhuǎn)發(fā)到服務(wù)器的實(shí)際 IP 地址上。

負(fù)載均衡設(shè)備作用

使用負(fù)載均衡設(shè)備可以提高擴(kuò)展性和可靠性。

負(fù)載均衡設(shè)備不僅適用于服務(wù)器，防火墻或代理服務(wù)器這種安全設(shè)備也可以使用負(fù)載均衡設(shè)備。

負(fù)載均衡算法類型

6、什么是 SSL 加速？

SSL 加速是負(fù)載均衡專用設(shè)備的一項(xiàng)功能，執(zhí)行這個(gè)功能的內(nèi)部裝置叫做 SSL 加速器。

在服務(wù)器進(jìn)行 SSL 通信時(shí)，對傳輸?shù)臄?shù)據(jù)進(jìn)行加密解密操作需要執(zhí)行相當(dāng)復(fù)雜的計(jì)算，這會(huì)導(dǎo)致服務(wù)器 CPU 的處理負(fù)載進(jìn)一步加大。與不執(zhí)行加密解密的 HTTP 通信對比，HTTPS 的處理負(fù)載是 HTTP 的 10 倍。

這時(shí)，通過使用 SSL 加速器對客戶端的 HTTPS 請求進(jìn)行解密，并轉(zhuǎn)換成 HTTP 請求后再轉(zhuǎn)發(fā)到實(shí)際的服務(wù)器上，這樣就可以降低服務(wù)器 CPU 的處理負(fù)載。

這樣一來，整個(gè)系統(tǒng)在提高服務(wù)器響應(yīng)速度的同時(shí)，還能減少服務(wù)器的數(shù)量，在單位時(shí)間內(nèi)能夠轉(zhuǎn)發(fā)更多 Web 服務(wù)內(nèi)容。

7、根據(jù)性能分類，三層交換機(jī)有幾種類型？

根據(jù)三層交換機(jī)的背板容量，可分為高端交換機(jī)、中端交換機(jī)和低端交換機(jī)。

高端三層交換機(jī)

框式三層交換機(jī)由路由引擎、交換結(jié)構(gòu)、線卡模塊、風(fēng)扇模塊和電源模塊組成，一般作為企業(yè)的核心交換機(jī)用在數(shù)據(jù)中心。

為了提高交換機(jī)的可靠性，除了線卡模塊之外，其余模塊都提供了冗余結(jié)構(gòu)。電源或風(fēng)扇模塊通常采用 1+N 或 N+N 冗余結(jié)構(gòu)，路由引擎通常采用 1+1 的冗余結(jié)構(gòu)。三層交換機(jī)一般通過多臺設(shè)備堆疊構(gòu)成三層冗余結(jié)構(gòu)，來提高整個(gè)系統(tǒng)的可用性。

中端三層交換機(jī)

中端三層交換機(jī)一般是箱式交換機(jī)或最大插槽數(shù)為 4 的框式交換機(jī)，用于企業(yè)核心交換機(jī)和接入交換機(jī)進(jìn)行匯聚交換。

?

低端三層交換機(jī)

低端三層交換機(jī)一般為箱式交換機(jī)或桌面式交換機(jī)，作為企業(yè)的接入交換機(jī)使用，設(shè)備通常有 24 端口或 48 端口。有些作為 IP 電話或無線 LAN 的訪問接入點(diǎn)，還能直接使用以太網(wǎng)的電源供電（ PoE ）。

?

8、三層交換機(jī)有哪些功能？

盡管各個(gè)廠家的三層交換機(jī)提供的功能不同，但是這些功能大致有幾個(gè)類別：認(rèn)證類、管理類、路由選擇協(xié)議、QoS 、IP 隧道、VLAN 、STP 等。

在三層交換機(jī)中，對分組進(jìn)行管理的功能是由 CPU（軟件）直接處理的。用戶直接的通信，是由 ASIC（硬件）處理實(shí)現(xiàn)分組的高速轉(zhuǎn)發(fā)的。

9、什么是 VLAN ？

由一臺或幾臺集線器組成的一個(gè)廣播域可以稱為是一個(gè)扁平網(wǎng)絡(luò)。相互連接的終端會(huì)接收網(wǎng)絡(luò)發(fā)來的所有廣播幀。隨著連接終端數(shù)量的增加，廣播數(shù)量也會(huì)增加，網(wǎng)絡(luò)狀況也就越混雜。

這種情況下，需要采用 VLAN（ Virtual Lan ）技術(shù)把整個(gè)扁平網(wǎng)絡(luò)進(jìn)行邏輯分段。一個(gè) VLAN 對應(yīng)一個(gè)廣播域，不同 VLAN 的廣播域互相隔離，因此能夠控制廣播域內(nèi)的廣播通信規(guī)模。

交換機(jī)通過設(shè)置，可以輕易的修改物理端口的屬性，讓這個(gè)物理端口加入到某一個(gè) VLAN 之中，而不需要改變對應(yīng)的物理線路。

VLAN 之間的通信需要使用路由選擇，不借助路由器或三層交換機(jī)就無法與不同 VLAN 的終端進(jìn)行通信，因此安全性也有了保障。

10、什么是基于端口的 VLAN ？

基于端口的 VLAN 是在交換機(jī)的端口上設(shè)置 VLAN ID ，擁有相同 VLAN ID 的多個(gè)端口構(gòu)成一個(gè) VLAN 。通常交換機(jī)在初始狀態(tài)下，所有端口默認(rèn) VLAN ID = 1（即 VLAN 1 ），可以對任意一個(gè)端口的 VLAN ID 進(jìn)行設(shè)置。比如把修改某一個(gè)端口配置為 VLAN ID = 2 ，那這個(gè)端口就屬于 VLAN 2 。

11、什么是標(biāo)簽 VLAN ?

當(dāng) VLAN 需要跨越多個(gè)交換機(jī)時(shí)，會(huì)使用中繼端口（ trunk port ）的標(biāo)簽 VLAN（ tag VLAN ）。tag VLAN 通過中繼端口完成數(shù)據(jù)幀的接收和發(fā)送，其中數(shù)據(jù)幀需要添加 4 字節(jié) IEEE 802.1Q 定義的頭部信息（即 VLAN 標(biāo)簽信息）。為數(shù)據(jù)幀添加標(biāo)簽的過程叫做 tagging 。當(dāng) tagging 完成后，數(shù)據(jù)幀的最大長度從 1518 字節(jié)變成 1522 字節(jié)，其中有 12bit 的 VLAN ID 信息，也就是說，最多支持的 VLAN 數(shù)是 4096 個(gè)。

在以太網(wǎng)中，數(shù)據(jù)幀中 TPID 的值是 0x8100 。如果源地址后面的值不是 0x8100 ，那么就不是 TPID 信息，而是識別成“長度/類型”。當(dāng)“長度/類型”的值為 0x05DC 以下時(shí)，表示數(shù)據(jù)幀的長度；在0x0600 以上時(shí)，表示數(shù)據(jù)幀的類型。數(shù)據(jù)幀類型的值分別是：IPv4 是 0x0800 ，ARP 是 0x0806 、IPv6 是 0x86DD 等。

不支持 IEEE 802.1Q 的交換機(jī)，由于無法識別 TPID ，會(huì)將 0x8100 視為數(shù)據(jù)幀類型，但是不存在 0x8100 類型的數(shù)據(jù)幀，交換機(jī)會(huì)作為錯(cuò)誤幀直接丟棄。

IEEE 802.1Q 還定義了一個(gè)字段：TCI ，TCI 可以分為 3 個(gè)類型：PCP 、CFI 和 VID 。

12、什么是本征 VLAN ？

本征 VLAN（ native VLAN ）用于中繼端口（ trunk port ）。如果數(shù)據(jù)幀在進(jìn)入 trunk port 前，是沒有標(biāo)記的，那么 trunk port 會(huì)給它打上 native VLAN 的標(biāo)記，這個(gè)數(shù)據(jù)幀就以 native VLAN 的身份傳輸。如果數(shù)據(jù)幀在進(jìn)入 trunk 前，已經(jīng)打上標(biāo)記了，且 trunk port 允許這個(gè) VLAN ID 通過，這個(gè)數(shù)據(jù)幀就通過。trunk port 不允許通過的 VLAN 數(shù)據(jù)幀會(huì)直接丟棄。交換機(jī)默認(rèn)使用 VLAN ID 為 1 的 VLAN 作為 native VLAN 。native VLAN 是可以自定義的，通常是使用 VLAN 1 以外的 VLAN 作為本征 native VLAN ，作為管理 VLAN 。

13、什么是中繼端口？

使用標(biāo)簽 VLAN（ tag VLAN ）向其它交換機(jī)傳遞 VLAN ID 時(shí)，首先設(shè)置中繼端口（ trunk port ）。trunk port 能夠?qū)儆诙鄠€(gè) VLAN ，與其它交換機(jī)進(jìn)行多個(gè) VLAN 的數(shù)據(jù)幀收發(fā)通信。兩臺交換機(jī) trunk port 之間的鏈路叫做中繼鏈路（ trunk link ）。

與 trunk port 和 trunk link 對應(yīng)的，是接入端口（ access port ）和接入鏈路（ access link ）這兩個(gè)概念。access port 只屬于一個(gè) VLAN ，access link 也僅傳輸一個(gè) VLAN 數(shù)據(jù)幀。

14、什么是私有 VLAN ？

私有 VLAN（ Private VLAN ）也叫做 PVLAN ，是指在 VLAN 內(nèi)部再構(gòu)建一層 VLAN 的功能，也叫做多層 VLAN 。

PVLAN 能夠進(jìn)一步分割廣播域，削減 VLAN 內(nèi)部的廣播流量并保障通信的安全性。酒店、公寓等場所使用這個(gè)功能，能夠控制服務(wù)器或網(wǎng)關(guān)與終端的連接，讓不同終端之間無法相互通信。

PVLAN 由主 VLAN（ Primary VLAN ）和從 VLAN（ Secondary VLAN ）組成，從 VLAN 與 1 個(gè)主 VLAN 關(guān)聯(lián)。

15、靜態(tài) VLAN 和動(dòng)態(tài) VLAN 的區(qū)別是什么？

通過輸入交換機(jī)命令，將一個(gè)交換機(jī)端口固定分配給某個(gè) VLAN ，這種 VLAN 劃分方式叫做靜態(tài) VLAN 。

相對的，根據(jù)連接端口的終端或用戶信息自動(dòng)分配某個(gè) VLAN 的方式叫做動(dòng)態(tài) VLAN 。具體來說，就是交換機(jī)根據(jù)終端的 MAC 地址來分配，或者基于 802.1X 的認(rèn)證來決定端口屬于哪個(gè) VLAN 。在動(dòng)態(tài) VLAN 中，無論終端與哪臺交換機(jī)連接，都會(huì)獲取固定的同一個(gè) VLAN 。

通過交換機(jī)內(nèi)部的數(shù)據(jù)庫，可以實(shí)現(xiàn)基于 MAC 地址的認(rèn)證，但大部分情況下，動(dòng)態(tài) VLAN 的實(shí)現(xiàn)都是使用 RADIUS 服務(wù)器。

16、VLAN 之間的是如何互通的？

二層交換機(jī)

在二層交換機(jī)上設(shè)置多個(gè) VLAN 后，單臺交換機(jī)內(nèi)，數(shù)據(jù)幀只能在相同 VLAN 內(nèi)轉(zhuǎn)發(fā)，不能在不同 VLAN 之間轉(zhuǎn)發(fā)。

當(dāng)需要在多個(gè) VLAN 之間轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，一般會(huì)使用 trunk link 連接路由器，通過路由器進(jìn)行 VLAN 之間的路由選擇。

三層交換機(jī)

三層交換機(jī)能夠在交換機(jī)內(nèi)部直接完成 VLAN 之間的路由選擇。

編輯：黃飛

?