大家好，我是小弗。最近在追一部劇，封面就是女主角，劇中男主光環(huán)太強了，太多不符合常理的設定，都想棄劇了?？烧f(shuō)來(lái)奇怪，這劇質(zhì)量不咋的，但還是想繼續追完，這就是爽劇的魅力吧。開(kāi)始追劇的原因很簡(jiǎn)單，就是男主張若昀，喜歡看他演的《慶余年》，結果這部劇翻車(chē)了。但是二層交換機的升級產(chǎn)品：三層交換機，沒(méi)翻車(chē)，一個(gè)頂倆，很給力。它既有交換機的全部功能，又有路由器的部分功能，一臺設備就實(shí)現局域網(wǎng)內的數據高速轉發(fā)。接下來(lái)，我們就詳細介紹下三層交換機。

1、什么是三層交換機？

三層交換機是在二層交換機的基礎上，增加了路由選擇功能的網(wǎng)絡(luò )設備，能夠基于 ASIC 和 FPGA 實(shí)現網(wǎng)絡(luò )功能和轉發(fā)分組。

二層交換機能夠基于數據鏈路層的 MAC 地址，進(jìn)行數據幀或 VLAN 的傳輸功能。三層交換機能夠基于網(wǎng)絡(luò )層的 IP 地址，實(shí)現路由選擇以及分組過(guò)濾等功能。

二層交換機通過(guò)使用 VLAN 分隔廣播域，位于同一個(gè) VLAN 下的終端才能進(jìn)行數據幀交互。對于不同 VLAN 的終端有通信需求時(shí)，就必須使用路由功能，也就是需要額外添加路由器。

二層交換機和路由器組合使用，才能完成跨 VLAN 的通信，但使用三層交換機就不需要其它網(wǎng)絡(luò )設備，能夠直接完成不同 VLAN 之間的通信。

現在，內部網(wǎng)絡(luò )核心交換機都是使用三層交換機。三層交換機用于由以太網(wǎng)構成的 Intranet 內部轉發(fā)分組，而路由器作為連接互聯(lián)網(wǎng)和 Intranet 內網(wǎng)之間的網(wǎng)關(guān)來(lái)使用。

2、三層交換機和路由器有什么不同？

三層交換機一般只支持以太網(wǎng)的數據鏈路層協(xié)議和 IP 網(wǎng)絡(luò )的網(wǎng)絡(luò )層協(xié)議。

路由器的物理層和數據鏈路層除了 IEEE 802 標準以外，還支持其它各種協(xié)議，包括 ATM、SDH、串口等。網(wǎng)絡(luò )層和傳輸層也一樣，支持 TCP/IP 協(xié)議簇以外的協(xié)議簇，比如 IPX 、AppleTalk 等。這些功能都是由運行在 CPU 上的軟件來(lái)完成，對比三層交換機，速度會(huì )慢不少，但是也有很多功能必須由路由器 CPU 來(lái)處理，比如遠程接入、安全功能等。

3、三層交換機的架構是怎樣的？

三層交換機的構成要素有：控制平面、數據平面、背板和物理接口。高端路由器和防火墻也是同樣的架構。三層交換機把硬件設備內部分成兩個(gè)區域，即以路由選擇、管理功能為主的控制平面和以數據轉發(fā)功能為主的數據平面，從而實(shí)現高速轉發(fā)分組的系統架構。

當硬件內部結構分為控制平面和數據平面時(shí)，分組的傳輸需要使用 FIB（轉發(fā)信息庫）和鄰接表的信息。這種利用 FIB 和鄰接表信息的 IP 分組傳輸方式叫做特快轉發(fā)。

路由器使用 CPU 完成分組轉發(fā)，而三層交換機使用 ASCI 代替 CPU ，分組的轉發(fā)更快。

三層交換機將 FIB 和鄰接表合并成一個(gè)表項，這個(gè)表項叫做 FDB（轉發(fā)數據庫），注冊在內存中并通過(guò)硬件處理完成高速檢索。

4、什么是多層交換？

除了二層交換機之外，三層以上功能的交換機統稱(chēng)為多層交換機。

擁有 IP 路由選擇等網(wǎng)絡(luò )功能、能夠通過(guò)訪(fǎng)問(wèn)控制列表來(lái)對傳輸層的 TCP 端口編號進(jìn)行訪(fǎng)問(wèn)控制的三層交換機，也叫做四層交換機。

能夠支持到 TCP 層級訪(fǎng)問(wèn)控制的交換機叫做四層交換機。能夠基于 HTTP 和 HTTPS 這里應用層參數進(jìn)行負載均衡等操作，這類(lèi)交換機叫做七層交換機。

有些廠(chǎng)家將處理到應用層的網(wǎng)絡(luò )設備和路由器區分開(kāi)來(lái)，作為不同類(lèi)型的產(chǎn)品。但所謂的多層交換機，也就是基于 ASIC 和 FPGA 的硬件處理，高速進(jìn)行各層業(yè)務(wù)處理的網(wǎng)絡(luò )設備。

5、什么是負載均衡設備？

多個(gè)客戶(hù)端同時(shí)連接一臺服務(wù)器，可能導致服務(wù)器的處理能力超過(guò)負載。如果使用多臺提供相同服務(wù)的服務(wù)器，通過(guò)使用負載均衡設備，就可以將客戶(hù)端的請求分散到各個(gè)服務(wù)器進(jìn)行處理。

負載均衡設備可以是專(zhuān)用設備，也可以是在服務(wù)器上運行的應用程序。專(zhuān)用設備會(huì )有以太網(wǎng)接口，可以說(shuō)是多層交換機的一種。也存在擁有負載均衡功能的路由器。

負載均衡設備一般會(huì )分配虛擬 IP 地址，所有客戶(hù)端的請求是通過(guò)虛擬 IP 地址完成的，通過(guò)負載均衡算法將客戶(hù)端的請求轉發(fā)到服務(wù)器的實(shí)際 IP 地址上。

負載均衡設備作用

使用負載均衡設備可以提高擴展性和可靠性。

負載均衡設備不僅適用于服務(wù)器，防火墻或代理服務(wù)器這種安全設備也可以使用負載均衡設備。

負載均衡算法類(lèi)型

6、什么是 SSL 加速？

SSL 加速是負載均衡專(zhuān)用設備的一項功能，執行這個(gè)功能的內部裝置叫做 SSL 加速器。

在服務(wù)器進(jìn)行 SSL 通信時(shí)，對傳輸的數據進(jìn)行加密解密操作需要執行相當復雜的計算，這會(huì )導致服務(wù)器 CPU 的處理負載進(jìn)一步加大。與不執行加密解密的 HTTP 通信對比，HTTPS 的處理負載是 HTTP 的 10 倍。

這時(shí)，通過(guò)使用 SSL 加速器對客戶(hù)端的 HTTPS 請求進(jìn)行解密，并轉換成 HTTP 請求后再轉發(fā)到實(shí)際的服務(wù)器上，這樣就可以降低服務(wù)器 CPU 的處理負載。

這樣一來(lái)，整個(gè)系統在提高服務(wù)器響應速度的同時(shí)，還能減少服務(wù)器的數量，在單位時(shí)間內能夠轉發(fā)更多 Web 服務(wù)內容。

7、根據性能分類(lèi)，三層交換機有幾種類(lèi)型？

根據三層交換機的背板容量，可分為高端交換機、中端交換機和低端交換機。

高端三層交換機

框式三層交換機由路由引擎、交換結構、線(xiàn)卡模塊、風(fēng)扇模塊和電源模塊組成，一般作為企業(yè)的核心交換機用在數據中心。

為了提高交換機的可靠性，除了線(xiàn)卡模塊之外，其余模塊都提供了冗余結構。電源或風(fēng)扇模塊通常采用 1 N 或 N N 冗余結構，路由引擎通常采用 1 1 的冗余結構。三層交換機一般通過(guò)多臺設備堆疊構成三層冗余結構，來(lái)提高整個(gè)系統的可用性。

中端三層交換機

中端三層交換機一般是箱式交換機或最大插槽數為 4 的框式交換機，用于企業(yè)核心交換機和接入交換機進(jìn)行匯聚交換。

低端三層交換機

低端三層交換機一般為箱式交換機或桌面式交換機，作為企業(yè)的接入交換機使用，設備通常有 24 端口或 48 端口。有些作為 IP 電話(huà)或無(wú)線(xiàn) LAN 的訪(fǎng)問(wèn)接入點(diǎn)，還能直接使用以太網(wǎng)的電源供電（ PoE ）。

8、三層交換機有哪些功能？

盡管各個(gè)廠(chǎng)家的三層交換機提供的功能不同，但是這些功能大致有幾個(gè)類(lèi)別：認證類(lèi)、管理類(lèi)、路由選擇協(xié)議、QoS 、IP 隧道、VLAN 、STP 等。

在三層交換機中，對分組進(jìn)行管理的功能是由 CPU（軟件）直接處理的。用戶(hù)直接的通信，是由 ASIC（硬件）處理實(shí)現分組的高速轉發(fā)的。

9、什么是 VLAN ？

由一臺或幾臺集線(xiàn)器組成的一個(gè)廣播域可以稱(chēng)為是一個(gè)扁平網(wǎng)絡(luò )。相互連接的終端會(huì )接收網(wǎng)絡(luò )發(fā)來(lái)的所有廣播幀。隨著(zhù)連接終端數量的增加，廣播數量也會(huì )增加，網(wǎng)絡(luò )狀況也就越混雜。

這種情況下，需要采用 VLAN（ Virtual Lan ）技術(shù)把整個(gè)扁平網(wǎng)絡(luò )進(jìn)行邏輯分段。一個(gè) VLAN 對應一個(gè)廣播域，不同 VLAN 的廣播域互相隔離，因此能夠控制廣播域內的廣播通信規模。

交換機通過(guò)設置，可以輕易的修改物理端口的屬性，讓這個(gè)物理端口加入到某一個(gè) VLAN 之中，而不需要改變對應的物理線(xiàn)路。

VLAN 之間的通信需要使用路由選擇，不借助路由器或三層交換機就無(wú)法與不同 VLAN 的終端進(jìn)行通信，因此安全性也有了保障。

10、什么是基于端口的 VLAN ？

基于端口的 VLAN 是在交換機的端口上設置 VLAN ID ，擁有相同 VLAN ID 的多個(gè)端口構成一個(gè) VLAN 。通常交換機在初始狀態(tài)下，所有端口默認 VLAN ID = 1（即 VLAN 1 ），可以對任意一個(gè)端口的 VLAN ID 進(jìn)行設置。比如把修改某一個(gè)端口配置為 VLAN ID = 2 ，那這個(gè)端口就屬于 VLAN 2 。

11、什么是標簽 VLAN ?

當 VLAN 需要跨越多個(gè)交換機時(shí)，會(huì )使用中繼端口（ trunk port ）的標簽 VLAN（ tag VLAN ）。tag VLAN 通過(guò)中繼端口完成數據幀的接收和發(fā)送，其中數據幀需要添加 4 字節 IEEE 802.1Q 定義的頭部信息（即 VLAN 標簽信息）。為數據幀添加標簽的過(guò)程叫做 tagging 。當 tagging 完成后，數據幀的最大長(cháng)度從 1518 字節變成 1522 字節，其中有 12bit 的 VLAN ID 信息，也就是說(shuō)，最多支持的 VLAN 數是 4096 個(gè)。

在以太網(wǎng)中，數據幀中 TPID 的值是 0x8100 。如果源地址后面的值不是 0x8100 ，那么就不是 TPID 信息，而是識別成“長(cháng)度/類(lèi)型”。當“長(cháng)度/類(lèi)型”的值為 0x05DC 以下時(shí)，表示數據幀的長(cháng)度；在0x0600 以上時(shí)，表示數據幀的類(lèi)型。數據幀類(lèi)型的值分別是：IPv4 是 0x0800 ，ARP 是 0x0806 、IPv6 是 0x86DD 等。

不支持 IEEE 802.1Q 的交換機，由于無(wú)法識別 TPID ，會(huì )將 0x8100 視為數據幀類(lèi)型，但是不存在 0x8100 類(lèi)型的數據幀，交換機會(huì )作為錯誤幀直接丟棄。

IEEE 802.1Q 還定義了一個(gè)字段：TCI ，TCI 可以分為 3 個(gè)類(lèi)型：PCP 、CFI 和 VID 。

12、什么是本征 VLAN ？

本征 VLAN（ native VLAN ）用于中繼端口（ trunk port ）。如果數據幀在進(jìn)入 trunk port 前，是沒(méi)有標記的，那么 trunk port 會(huì )給它打上 native VLAN 的標記，這個(gè)數據幀就以 native VLAN 的身份傳輸。如果數據幀在進(jìn)入 trunk 前，已經(jīng)打上標記了，且 trunk port 允許這個(gè) VLAN ID 通過(guò)，這個(gè)數據幀就通過(guò)。trunk port 不允許通過(guò)的 VLAN 數據幀會(huì )直接丟棄。交換機默認使用 VLAN ID 為 1 的 VLAN 作為 native VLAN 。native VLAN 是可以自定義的，通常是使用 VLAN 1 以外的 VLAN 作為本征 native VLAN ，作為管理 VLAN 。

13、什么是中繼端口？

使用標簽 VLAN（ tag VLAN ）向其它交換機傳遞 VLAN ID 時(shí)，首先設置中繼端口（ trunk port ）。trunk port 能夠屬于多個(gè) VLAN ，與其它交換機進(jìn)行多個(gè) VLAN 的數據幀收發(fā)通信。兩臺交換機 trunk port 之間的鏈路叫做中繼鏈路（ trunk link ）。

與 trunk port 和 trunk link 對應的，是接入端口（ access port ）和接入鏈路（ access link ）這兩個(gè)概念。access port 只屬于一個(gè) VLAN ，access link 也僅傳輸一個(gè) VLAN 數據幀。

14、什么是私有 VLAN ？

私有 VLAN（ Private VLAN ）也叫做 PVLAN ，是指在 VLAN 內部再構建一層 VLAN 的功能，也叫做多層 VLAN 。

PVLAN 能夠進(jìn)一步分割廣播域，削減 VLAN 內部的廣播流量并保障通信的安全性。酒店、公寓等場(chǎng)所使用這個(gè)功能，能夠控制服務(wù)器或網(wǎng)關(guān)與終端的連接，讓不同終端之間無(wú)法相互通信。

PVLAN 由主 VLAN（ Primary VLAN ）和從 VLAN（ Secondary VLAN ）組成，從 VLAN 與 1 個(gè)主 VLAN 關(guān)聯(lián)。

15、靜態(tài) VLAN 和動(dòng)態(tài) VLAN 的區別是什么？

通過(guò)輸入交換機命令，將一個(gè)交換機端口固定分配給某個(gè) VLAN ，這種 VLAN 劃分方式叫做靜態(tài) VLAN 。

相對的，根據連接端口的終端或用戶(hù)信息自動(dòng)分配某個(gè) VLAN 的方式叫做動(dòng)態(tài) VLAN 。具體來(lái)說(shuō)，就是交換機根據終端的 MAC 地址來(lái)分配，或者基于 802.1X 的認證來(lái)決定端口屬于哪個(gè) VLAN 。在動(dòng)態(tài) VLAN 中，無(wú)論終端與哪臺交換機連接，都會(huì )獲取固定的同一個(gè) VLAN 。

通過(guò)交換機內部的數據庫，可以實(shí)現基于 MAC 地址的認證，但大部分情況下，動(dòng)態(tài) VLAN 的實(shí)現都是使用 RADIUS 服務(wù)器。

16、VLAN 之間的是如何互通的？

二層交換機

在二層交換機上設置多個(gè) VLAN 后，單臺交換機內，數據幀只能在相同 VLAN 內轉發(fā)，不能在不同 VLAN 之間轉發(fā)。

當需要在多個(gè) VLAN 之間轉發(fā)數據時(shí)，一般會(huì )使用 trunk link 連接路由器，通過(guò)路由器進(jìn)行 VLAN 之間的路由選擇。

三層交換機

三層交換機能夠在交換機內部直接完成 VLAN 之間的路由選擇。

結尾