网络骨干因何要使用三层交换机及其好处

第三层交换机同时具备传统交换机与路由器两种功能，它既可以完成传统交换机的端口交换功能，又可完成部分路由器的路由功能，使用起来很方便。

第三层交换机到底能不能完全取代路由器呢？这一直是人们争论的焦点，我们确实能够看到第三层交换机功能的强大，但是只有在特点的环境下，第三层交换才能代替路由器使用。

在IOS的七层参考模型中，第二层（数据链路层）是实现交换的，第三层（网络层）是实现路由的，但近来，第三层交换机非常风光，这到底是怎么回事？我们通过分析第三层交换机的工作原理、优势和适用领域对第三层交换机进行深入剖析。

一、第三层交换机的工作原理要论述第三层交换机的工作原理，我们可以从传统交换机和路由器的实现原理中入手。

简单地说，传统的局域网交换机是从网桥发展来的，属于第二层设备。

它是一个可以将发信方源地址与收信方目的地址连接起来的网络设备，该设备可以根据数据单元中的头信息，将来自一个或多个输入端口的信元或帧移动到一个或多个输出端口，完成信息发送过程的交换。

显然，第二层交换机的最大好处是数据传输快，因为它仅需要识别数据帧中的MAC地址，而直接根据MAC地址产生选择转发端口的算法又十分简单，非常便于采用ASIC芯片实现。

所以，第二层交换的解决方案实际上是一个“处处交换”的廉价方案，虽然也能支持子网划分和广播限制等基本功能，但控制能力较小。

传统的第三层路由器属于第三层设备，它是根据IP地址寻址和通过路由表路由协议来实现路由功能的。

在局域网中的作用主要是路由转发、网络安全和隔离广播等，即在完成子网的网间连接的同时，还可以隔离子网间的广播风暴，可以控制一个网络非法信息进入到另一个网络中。

由于在路由转发中，路由器普遍采用的技术是最长匹配方式，而该方式实现起来非常复杂，所以只能利用软件来完成，自然会对网络带来一定的延迟。

由此可见，传统交换机是同一网络系统中主机之间端口连接的网络设备，传统路由器是同类或异类网络系统中各子网之间连接的网络设备。

大型医院信息网络采用三层交换技术，可以确保计算机网络系统更加合理、安全、有效。

随着医院信息化水平的提高，医院信息系统网络规模在不断扩大，随之而来的网络安全、网络流量、网络通信速度、网络维护工作量等问题明显增加。

究其原因，目前，各家医院的信息网络普遍采用二层交换技术的网络架构。

其主要弱点是：在局域网内不能划分VLAN；同一个网段内的工作站过多会引起广播风暴，甚至导致网络瘫痪；不能有效地解决异种网络互连、安全性控制等问题。

而采用三层交换技术的网络架构，很大程度上避免了二层交换技术网络架构的缺陷，能改善网络整体性能。

二层交换技术的缺陷众所周知，二层交换技术是在OSI七层网络标准模型中的第二层，即数据链路层进行操作的，它按照所接收到数据包的目的物理地址即MAC地址来进行数据转发，对于网络层或者高层协议来说是透明的。

它不处理网络层的IP地址，不处理高层协议，诸如TCP、UDP的端口地址。

它只需要数据包的MAC地址，数据交换是靠硬件来实现的，其优点是交换速度快，缺点是广播域太大，而且不能处理不同IP子网之间的数据交换。

这种网络结构扁平，没有层次化概念。

温州医学院附属第一医院信息系统网络初期采用二层交换技术的网络架构，核心交换机采用二层交换技术，在原先只有100多台工作站的情况下，网络性能较理想。

由于网络规模在不断扩大，工作站增加到500多台时，网络性能明显下降，在业务高峰期网络整体速度缓慢，用网管软件分析，发现网络中广播包所占比例很大，最高时达到60%左右。

另外，对于这种网络，很容易发生诸如网卡故障等原因引起的网络广播风暴，而且一旦发生广播风暴，很难查找故障点，网络维护工作量很大。

三层交换与VLAN结合三层交换技术，也称多层交换技术或IP交换技术，是相对于二层交换技术提出的，因工作在OSI七层网络标准模型中的第三层而得名。

传统的路由器也工作在第三层，它可以处理大量的跨越IP子网的数据包，但是它的转发效率比较低，而三层交换技术在网络标准模型中的第三层实现了分组的高速转发，效率大大提高。

三层交换机三层交换机就是具有部分路由器功能的交换机，三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。

对于数据包转发等规律性的过程由硬件高速实现，而象路由信息更新、路由表维护、路由计算、路由确定等功能，由软件实现。

应用背景出于安全和管理方便的考虑，主要是为了减小广播风暴的危害，必须把大型局域网按功能或地域等因素划成一个个小的局域网，这就使VLAN技术在网络中得以大量应用，而各个不同VLAN间的通信都要经过路由器来完成转发，随着网间互访的不断增加。

单纯使用路由器来实现网间访问，不但由于端口数量有限，而且路由速度较慢，从而限制了网络的规模和访问速度。

基于这种情况三层交换机便应运而生，三层交换机是为IP设计的，接口类型简单，拥有很强二层包处理能力，非常适用于大型局域网内的数据路由与交换，它既可以工作在协议第三层替代或部分完成传统路由器的功能，同时又具有几乎第二层交换的速度，且价格相对便宜些。

在企业网和教学网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。

不过应清醒认识到三层交换机出现最重要的目的是加快大型局域网内部的数据交换，所具备的路由功能也多是围绕这一目的而展开的，所以它的路由功能没有同一档次的专业路由器强。

毕竟在安全、协议支持等方面还有许多欠缺，并不能完全取代路由器工作。

在实际应用过程中，典型的做法是：处于同一个局域网中的各个子网的互联以及局域网中VLA N间的路由，用三层交换机来代替路由器，而只有局域网与公网互联之间要实现跨地域的网络访问时，才通过专业路由器。

三层交换机工作原理三层交换技术就是二层交换技术＋三层转发技术。

传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。

应用第三层交换技术即可实现网络路由的功能，又可以根据不同的网络状况做到最优的网络性能。

二层、三层、四层交换机的特点及优势二层交换技术是发展比较成熟，二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。

具体的工作流程如下：（1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的；（2）再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；（4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。

不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。

从二层交换机的工作原理可以推知以下三点：（1）由于交换机对多数端口的数据进行同时交换，这就要求具有很宽的交换总线带宽，如果二层交换机有N个端口，每个端口的带宽是M，交换机总线带宽超过N×M，那么这交换机就可以实现线速交换；（2）学习端口连接的机器的MAC地址，写入地址表，地址表的大小（一般两种表示方式：一为BEFFER RAM，一为MAC表项数值），地址表大小影响交换机的接入容量；（3）还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC （Application specific Integrated Circuit）芯片，因此转发速度可以做到非常快。

由于各个厂家采用ASIC不同，直接影响产品性能。

以上三点也是评判二三层交换机性能优劣的主要技术参数，这一点请大家在考虑设备选型时注意比较。

二）路由技术路由器工作在OSI模型的第三层---网络层操作，其工作模式与二层交换相似，但路由器工作在第三层，这个区别决定了路由和交换在传递包时使用不同的控制信息，实现功能的方式就不同。

防火墙定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Interne t与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

编辑本段作用防火墙具有很好的保护作用。

入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

你可以将防火墙配置成许多不同保护级别。

高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

古代防火墙作用：古人在建筑物的两侧山墙和后檐墙上，不开门窗，不采用可燃材料，谓之风火檐，也称封火檐。

这是防火墙的一种形式。

故宫内也有这种防火墙。

据清朝《钦定四库全书》中的《国朝宫史》（卷三）记载，雍正五年十一月二十三日（1728年1月4日）雍正皇帝在“上谕”中指出：“宫中火烛最要小心。

如日精门、月华门向前一带，围房后俱有做饭值房。

虽尔等素知小心，凡事不可不为之预防。

可将围房后檐改为风火檐。

即十二宫上大房有相近做饭小房之处，着其意改风火檐者亦行更改。

”雍正皇帝为了接受皇宫内过去发生火灾的教训，命令工部大臣将三大殿东西配殿以及东六宫、西六宫的两侧山墙和后檐墙统统改为风火檐，全然不用木质材料。

关于在局域网组网中从接入层开始使用三层交换机的必要性的一点体会内容摘要：三层交换机是将交换机融入到网络层功能中，并实现与第二层交换机、第三层路由器的有机结合，发挥各自优势。

通过应用三层交换机，可有效提高网络运行的稳定性与安全性。

本文结合笔者实际经验，对局域网组网中接入层开始使用三层交换机的必要性等相关问题进行分析与阐述。

关键词：局域网组网；三层交换机；必要性随着局域网络的应用越来越广泛，有关局域网的规划与管理，都应该从原本单纯物理连接转变为以逻辑划分为主的多层次网络转换。

同时给相关网络管理工作带来难度，对三层交换机的应用具有一定必要性。

1、传统在局域网的局限性局域网组网光从速度上考虑，组建成一个二层网络即可，但是如果遇到一些局域网内的不规范操作甚至恶意操作，管理起来就非常困难。

特别是在用Windows操作系统工作站组建的网络中。

即使使用一些桌面管理软件，也无法进行有效的管理。

网络管理无非是基于IP地址和MAC地址进行管理。

IP地址非法接入的电脑可以自行设置，MAC地址虽然对于每一个网卡来说是固化在网卡芯片中的，但是Windows操作系统中存在缺陷，是在安装网卡驱动时从网卡芯片读取MAC地址存入注册表，以后再也不会和网卡芯片同步MAC地址，除非重装操作系统。

而且Windows本身注册表中这个MAC地址值就很容易可以修改，都不需要用其他工具软件，在“本地连接”的属性中就可以修改。

一旦修改成功，就可以利用修改后的MAC地址接入网络，除非修改回去或者重装操作系统。

以笔者的实际经验，在二层网络中就经常会遇到这种情况：一台合法的工作站无法接入网络，关掉这台机器，网络上却还能看到这台机器的IP地址，再查对应的MAC地址，也是这台机器的MAC地址，这种情况就应该是有非法的机器修改了自己的IP地址和MAC地址接入了网络；在二层网络中这种情况就很难查出非法机器的位置。

因此，在组建局域网时，从接入层开始应用三层交换机非常重要。

三层交换简单地说，三层交换技术就是：二层交换技术＋三层转发技术。

它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

下面我们结合本站有关思科及微软关于三层交换方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。

部署第三层交换正迅速发展成可作为下一代应用启动平台的最适合的网络技术。

本文将详细介绍此项技术以及如何部署第三层交换才能获得最大效率。

第三层交换是局域网许多区域(包括核心和服务器集中点)的关键组件，因为该项技术能解决许多在性能、安全和控制等方面的问题。

然而，在一些网络区域，该项技术的使用效果并不十分显著，尤其是在桌面连接方面。

本文将会重点讨论这种网络性能较低的情况，特别是在新一代高级第四层桌面交换技术已经能够提供高性能和控制能力的今天。

本文也将详细阐述第二(四)层交换机是如何提供成本更低、更加简单、更易于管理的桌面解决方案。

概述任何一种新技术进入市场时，都要经历业界专业人员对伴随这种技术的新术语和“技术行话”进行筛选的阶段。

这些新的技术术语往往会造成迷惑，甚至自相矛盾，具体情况取决于供应商使用它们的方式。

“第三层交换”和有关的技术也不例外，随着越来越多交换机和路由器技术的推出，有关它们技术术语的迷惑只会增多。

比如，第三层交换、第四层交换、多层交换、多层数据包分类和路由交换机等新术语就令交换机和路由器之间的传统区别变得模糊起来。

此外，由于许多供应商在原本用于布线室的第二层交换机平台上提供了第三层交换技术，从而让人更加迷惑不解。

这些变化使网络设计人员很难了解如何部署高效的网络解决方案。

因此，必须去伪存真，并专注于基础知识，才能真正了解何时、何地以及为什么采用第三层交换。

了解网络各层为了充分认识第三层交换，在此有必要对目前使用的大多数网络体系结构的强大分层模型进行分析。

如图所示，网络基础架构设备(如网桥、路由器和交换机)在传统上一直按OSI 分层模型分类。

为何要用到三层交换机？监控系统中三层交换机选择的七项指标51CTO官微技术资讯/行业精华/产品心得内容来源于网络，如侵删近日，有朋友问到三层交换机在监控系统中的应用，今天就来介绍下。

监控系统由视频采集、传输、控制、显示、存储五大部分组成，交换机主要承担数据的传输任务。

一般50路以下小型监控局域网系统，用到二层交换机配路由器就可以了，100路左右的中型监控系统则需要用到三层交换机的高效路由性能。

各层交换机的作用接入层：接入层是直接连接用户计算机并使各种网络资源接入网络。

为用户提供在本地网段访问应用系统的能力，主要解决相邻用户之间的互访需求，并且为这些访问提供足够的带宽。

汇聚层：网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。

汇聚层具有实施策略、安全、工作组接入、虚拟局域网之间的路由、源地址或目的地址等多种功能。

核心层：主要目的在于通过高速转发通信，提供快速、可靠的骨干数据交换。

为什么要用三层交换机(1)如果不使用三层核心交换机，所有的监控都在一个子网中，有可能会形成广播风暴，瘫痪网络，安全性较差。

(2)三层核心交换机通过使用硬件交换机构实现IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器软件路由的速度问题。

如上面所说三层核心交换机还有重要的作用就是保证速度高效率的情况下连接子网。

100路左右的监控，为减少在同一个网络中计算机的数量不能太大，难免会需要划分VLAN，所以要进一步划分出许多的IP子网来防止广播风暴的产生。

子网之间的任务也需要依赖三层交换机。

(3)三层交换机具有扩展性，三层交换机具有可扩展性，可以连接多个子网，子网只是与第三层交换模块建立逻辑连接不需要传统路由器需要增加端口。

如果需要增加网络设备，由于预留了各种扩展模块接口，不需要对原来的网络布局和原来的设备进行改动就可以直接扩充设备，保护了原有的投资。

高安全性也是三层交换机吸引人的重要方面。