（一）交換機與集線器的區(qū)別集線器（HUB ）是一種廣播模式設(shè)備，也就是說集線器的某個端口工作的時候，其他所有端口都能夠收到信息，容易產(chǎn)生廣播風暴。當網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)絡(luò)性能會受到嚴重影響。而交換機就能

（一）交換機與集線器的區(qū)別

集線器（HUB ）是一種廣播模式設(shè)備，也就是說集線器的某個端口工作的時候，其他所有端口都能夠收到信息，容易產(chǎn)生廣播風暴。當網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)絡(luò)性能會受到嚴重影響。而交換機就能夠避免這種現(xiàn)象，當交換機工作的時候，只有發(fā)出請示的端口和目的端口之間相互響應(yīng)，而不影響其他端口（即點對點方式）。因此，交換機能夠隔離沖突域，并有效地抑制廣播風暴的產(chǎn)生。

從帶寬看, 集線器不管有多少個端口，所有端口都是共享一條帶寬，在同一時刻只能有兩個端口傳送數(shù)據(jù)，其他端口只能等待，同時集線器只能工作在半雙工模式下；而對交換機而言，每個端口都有一條獨占的帶寬，當兩個端口工作時，并不影響其他端口的工作，同時交換機不但可以工作在半雙工模式下，還可以工作在全雙工模式下。

（二）軟件功能與基礎(chǔ)協(xié)議 1． OSI 模型

OSI 模型，即開放式通信系統(tǒng)互聯(lián)參考模型(Open System Interconnection,OSI/RM,Open Systems Interconnection Reference Model) ，是國際標準化組織(ISO)提出的一個試圖使各種計算機在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標準框架，簡稱OSI 。

OSI 將計算機網(wǎng)絡(luò)體系結(jié)構(gòu)(architecture)劃分為以下七層：

2． 全、半雙工

在網(wǎng)絡(luò)中，全雙工是指接收與發(fā)送采用兩個相互獨立的通道，可同時進行，互不干擾。而半雙工則是接收與發(fā)送共用一個通道，同一時刻只能發(fā)送或只能接收，所以半雙工可能會產(chǎn)生沖突。我們所說的交換機是個全雙工設(shè)備，而集線器是半雙工設(shè)備。

3． IEEE 協(xié)議標準

1

1）IEEE 802.3 十兆以太網(wǎng)標準

2）IEEE 802.3u 百兆快速以太網(wǎng)標準

3）IEEE 802.3ab 千兆以太網(wǎng)（非屏蔽雙絞線）標準

4）IEEE 802.3z 千兆以太網(wǎng)（光纖、銅纜）標準

5）IEEE 802.3x 流量控制標準

6）IEEE 802.1X 基于端口的訪問控制

（Port Base Network Access Control Protocol）該協(xié)議體系結(jié)構(gòu)分為三部分：客戶端、認證系統(tǒng)、認證服務(wù)器。

7）IEEE 802.1q VLAN標準

8）IEEE 802.1p 流量優(yōu)先權(quán)控制標準

9）IEEE 802.1d 生成樹協(xié)議（STP Spanning Tree Protocol）,RSTP(快速生成樹協(xié)議),MSTP(多生成樹協(xié)議)

檢測到網(wǎng)絡(luò)上存在環(huán)路時，自動斷開環(huán)路連接。當交換機間存在多條連接時，將只啟動最主要的一條連接，而將其他連接都阻塞掉，將這些連接變?yōu)閭溆眠B接。當主連接出現(xiàn)問題時，生成樹協(xié)議將自動起用備用連接接替主連接的工作，不需要任何人工干預(yù)。即保證網(wǎng)絡(luò)中存在最優(yōu)數(shù)據(jù)傳輸路徑。為的是防止環(huán)路的出現(xiàn)（未開TRUNK 時）

4． MAC 地址

MAC 地址就是在媒體接入層使用的地址，通俗點說就是網(wǎng)卡（局域網(wǎng)節(jié)點）的物理地址。在網(wǎng)絡(luò)底層的物理傳輸過程中，是通過物理地址來識別主機（局域網(wǎng)節(jié)點）的，它一般也是全球唯一的。現(xiàn)在的MAC 地址一般都采用6字節(jié)48位。

5． IP 地址

IP 地址就是給每個連接在Internet 上的主機分配的一個32bit 地址。通過IP 地址就可以訪問到每一臺主機。

6． IPv6

IPv6是Internet Protocol Version 6的縮寫，其中Internet Protocol譯為“互聯(lián)網(wǎng)協(xié)議” IPv6是IETF （互聯(lián)網(wǎng)工程任務(wù)組，Internet Engineering Task Force）設(shè)計的用于替代現(xiàn)行版本IP 協(xié)議（IPv4）的下一代IP 協(xié)議。

2

7． 自適應(yīng)/自協(xié)商(Auto-Negotiation)

Auto-Negotiation 標準使交換器按照以下順序適應(yīng)工作速率和工作模式：100M 全雙工，100M 半雙工，10M 全雙工，10M 半雙工。

8． 廣播風暴控制

網(wǎng)絡(luò)上的廣播幀（由于被轉(zhuǎn)發(fā)）數(shù)量急劇增加而影響正常的網(wǎng)絡(luò)通訊的反常現(xiàn)象，廣播風暴會占用相當客觀的網(wǎng)絡(luò)帶寬，造成整個網(wǎng)絡(luò)無法正常工作。廣播風暴控制是允許端口對網(wǎng)絡(luò)上出現(xiàn)的廣播風暴進行過濾。開啟廣播風暴控制后，當端口收到的廣播幀累計到預(yù)定門限值時，端口將自動丟棄收到的廣播幀。當未啟用該功能或廣播幀未累計到門限時，廣播幀將被正常廣播到交換機的其它端口。

9． VLAN （Virtual Local Area Network,虛擬局域網(wǎng)）

是由一組終端工作站組成的廣播域，處于同一VLAN 的主機（交換機端口）才能互相通信，它不需要考慮具體布線結(jié)構(gòu)就可以建立邏輯工作組。配置靈活，增加系統(tǒng)的安全性。

a) Port VLAN

基于端口的VLAN ，處于同一VLAN 端口之間才能相互通信。

b) Tag VLAN

基于IEEE 802.1Q，用VID 來劃分不同的VLAN 。

c) VID （VLAN ID）

10． MAC 地址老化時間

交換機中各端口具有自動學(xué)習地址的功能，通過端口發(fā)送和接收的幀的源地址(源MAC 地址、交換機端口號) 將存儲到地址表中。

老化時間是一個影響交換機學(xué)習進程的參數(shù)。從一個地址記錄加入地址表以后開始計時，如果在老化時間內(nèi)各端口未收到源地址為該MAC 地址的幀，那么，這些地址將從動態(tài)轉(zhuǎn)發(fā)地址表（由源MAC 地址、目的MAC 地址和它們相對應(yīng)的交換機的端口號）中被刪除。靜態(tài)MAC 地址表不受地址老化時間影響。

11． 靜態(tài)地址表

3

靜態(tài)MAC 地址區(qū)別與一般的由學(xué)習得到的動態(tài)MAC 地址。靜態(tài)地址一旦被加入，該地址在刪除之前將一直有效，不受最大老化時間的限制。

靜態(tài)地址表記錄了端口的靜態(tài)地址。靜態(tài)地址表中一個MAC 地址對應(yīng)一個端口，如果設(shè)置，則所有發(fā)給這個地址的數(shù)據(jù)只會轉(zhuǎn)發(fā)給該端口。也成為MAC 地址綁定。

12． SNMP

簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，簡寫為SNMP ）是OSI 第7層（應(yīng)用層）的協(xié)議，用于遠程監(jiān)視和配置網(wǎng)絡(luò)設(shè)備。SNMP 使得網(wǎng)管工作站能夠讀取并修改網(wǎng)關(guān)、路由器、交換機，以及其他網(wǎng)絡(luò)設(shè)備的設(shè)置值。

13． IGMP （Internet Group Management Protocol）

IP 通過使用交換機、組播路由器、支持IGMP 的主機來管理組播通信。一組主機、路由器(或交換機) 與屬于同一個組播組的成員交流組播數(shù)據(jù)流，并且在這個組的所有設(shè)備使用同一個組播組地址。

IGMP Snooping技術(shù)針對視頻點播等應(yīng)用，大幅提高網(wǎng)絡(luò)利用率。在網(wǎng)絡(luò)中，當為各種各樣的多媒體應(yīng)用進行IP 組播通信時，您可以通過在交換機每個端口上設(shè)置IGMP 來減少不必要的帶寬使用。

14． 級聯(lián)與堆疊

堆疊(Stack)和級聯(lián)(Uplink)是多臺交換機或集線器連接在一起的兩種方式。它們的主要目的是增加端口密度。但它們的實現(xiàn)方法是不同的。

簡單地說，級聯(lián)可通過一根雙絞線在任何網(wǎng)絡(luò)設(shè)備廠家的交換機之間，集線器之間，或交換機與集線器之間完成。

而堆疊只有在自己廠家的設(shè)備之間，且此設(shè)備必須具有堆疊功能才可實現(xiàn)。

級聯(lián)只需單做一根雙絞線(或其他媒介) ，堆疊需要專用的堆疊模塊和堆疊線纜，并且這些設(shè)備可能需要單獨購買。

交換機的級聯(lián)在理論上是沒有級聯(lián)個數(shù)限制的(注意：集線器級聯(lián)有個數(shù)限制，且10M 和100M 的要求不同) ，而堆疊各個廠家的設(shè)備會標明最大堆疊個數(shù)。

級聯(lián)相對容易，但堆疊這種技術(shù)有級聯(lián)不可達到的優(yōu)勢。首先，多臺交換機堆疊在一起，從邏輯上來說，它們屬于同一個設(shè)備。這樣，如果你想對這幾臺交換機進行設(shè)置，只

4

要連接到任何一臺設(shè)備上，就可看到堆疊中的其他交換機。而級聯(lián)的設(shè)備邏輯上是獨立的，如果想要管理這些設(shè)備，必須依次連接到每個設(shè)備。

其次，多個設(shè)備級聯(lián)會產(chǎn)生級聯(lián)瓶頸。例如，兩個百兆交換機通過一根雙絞線級聯(lián)，則它們的級聯(lián)帶寬是百兆。這樣不同交換機之間的計算機要通訊，都只能通過這百兆帶寬。而兩個交換機通過堆疊連接在一起，堆疊線纜將能提供高于1G 的背板帶寬，極大地減低了瓶頸。

不過，現(xiàn)在交換機有一種新技術(shù)——Port Trunk（端口綁定），通過這種技術(shù)，可使用多根雙絞線在兩個交換機之間進行級聯(lián)，這樣可成倍地增加級聯(lián)帶寬。而且現(xiàn)在很多交換機有千兆擴展能力，千兆級聯(lián)性能已經(jīng)不錯，只要級聯(lián)的層數(shù)不要太多就不會影響上行速率。

級聯(lián)還有一個堆疊達不到的目的，是增加連接距離。比如，一臺計算機離交換機較遠，超過了單根雙絞線的最長距離100米，則可在中間再放置一臺交換機，使計算機與此交換機相連。堆疊線纜最長也只有幾米，所以堆疊時應(yīng)予以考慮。

堆疊和級聯(lián)各有優(yōu)點，在實際的方案設(shè)計中經(jīng)常同時出現(xiàn)，可靈活運用。

15． 端口匯聚（TRUNK ）

通常被用于將多個端口聚合在一起，從而形成一個高帶寬的數(shù)據(jù)傳輸通道。交換機把聚集在一起的所有端口看作一個邏輯端口。

16． 端口鏡像（port Mirroring)

是把交換機一個或多個端口（VLAN ）的數(shù)據(jù)鏡像到一個或多個端口的方法。

交換機把某一個端口接收或發(fā)送的數(shù)據(jù)幀完全相同的復(fù)制給另一個端口；其中被復(fù)制的端口稱為源鏡像端口，復(fù)制的端口稱為目的鏡像端口。

17． DNS

DNS 是域名系統(tǒng)(Domain Name System) 的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計算機和網(wǎng)絡(luò)服務(wù)。在Internet 上域名與IP 地址之間是一對一（或者一對多）的，域名雖然便于人們記憶，但機器之間只能互相認識IP 地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名解析服務(wù)器來完成，DNS 就是進行域名解析的服務(wù)器。

DNS 命名用于 Internet 等 TCP/IP 網(wǎng)絡(luò)中，通過用戶友好的名稱查找計算機和服務(wù)。

5

當用戶在應(yīng)用程序中輸入 DNS 名稱時，DNS 服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如 IP 地址。因為，你在上網(wǎng)時輸入的網(wǎng)址，是通過域名解析系統(tǒng)解析找到了相對應(yīng)的IP 地址，這樣才能上網(wǎng)。其實，域名的最終指向是IP 。

18． ARP

本身為地址解析協(xié)議(Address Resolution Protocol,ARP) 通過遵循該協(xié)議，只要我們知道了某臺機器的IP 地址，即可以知道其物理地址。

在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個主機都分配了一個32位的IP 地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標識主機的一種邏輯地址。為了讓報文在物理網(wǎng)路上傳送，必須知道對方目的主機的物理地址。這樣就存在把IP 地址變換成物理地址的地址轉(zhuǎn)換問題。

以以太網(wǎng)環(huán)境為例，為了正確地向目的主機傳送報文，必須把目的主機的32位IP 地址轉(zhuǎn)換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務(wù)將IP 地址轉(zhuǎn)換為相應(yīng)物理地址，這組協(xié)議就是ARP 協(xié)議。

1）ARP 攻擊

感染ARP 病毒的客戶機能夠不斷改變自身IP 地址，并向上游發(fā)包從而造成網(wǎng)絡(luò)的堵塞甚至癱瘓。

2）ARP 欺騙

ARP 欺騙分為二種，一種是對路由器ARP 表的欺騙；另一種是對內(nèi)網(wǎng)PC 的網(wǎng)關(guān)欺騙。 第一種ARP 欺騙的原理是“截獲網(wǎng)關(guān)數(shù)據(jù)”。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC 地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC 地址，造成正常PC 無法收到信息。

第二種ARP 欺騙的原理是“偽造網(wǎng)關(guān)”。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC 向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC 看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

（三）相關(guān)硬件參數(shù)

1． 什么是交換機的背板帶寬以及背板帶寬和交換容量的區(qū)別

交換機的背板帶寬，是交換機接口處理器或接口卡和數(shù)據(jù)總線間所能吞吐的最大數(shù)據(jù)量。背板帶寬標志了交換機總的數(shù)據(jù)交換能力，單位為Gbps 。 一臺交換機的背板帶寬越高，所能處理數(shù)據(jù)的能力就越強，但同時設(shè)計成本也會越高。背板帶寬大小是由硬件設(shè)計

6

所決定的.

交換機的交換容量，是交換機實際數(shù)據(jù)處理的交換能力，單位也是Gbps 。在很多情況下，交換容量與背板帶寬為同一指標，所以經(jīng)常性的有人把二個指標混為一談，而且很多廠家也并未進行詳細的分別說明。交換容量是由交換機所采用的芯片所決定的。在交換機的性能指標上，交換容量才是具有實際意義的指標。

在固定配置式交換機中，由于端口數(shù)是基本固定的，所以交換機芯片的交換容量跟硬件設(shè)計上的背板帶寬通常會是相同，并且也只標明一個指標。

而在模塊化交換機中，由于端口數(shù)是不固定的，背板帶寬一般會按設(shè)備最高的配置來設(shè)計，并且還會考慮業(yè)務(wù)板的升級，所以背板帶寬一般會設(shè)計的非常高。而此時的交換容量則是根據(jù)具體選擇的交換芯片不一樣而改變。

一般來講，計算方法如下：

1）線速的背板帶寬

計算公式為端口數(shù)*相應(yīng)端口速率*2 (全雙工模式) 如果總帶寬≤標稱背板帶寬，那么在背板帶寬上是線速的。

2． 包轉(zhuǎn)發(fā)率

交換機的包轉(zhuǎn)發(fā)率標志了交換機轉(zhuǎn)發(fā)數(shù)據(jù)包能力的大小。單位一般位pps （包每秒），一般交換機的包轉(zhuǎn)發(fā)率在幾十Kpps 到幾百Mpps 不等。包轉(zhuǎn)發(fā)速率是指交換機每秒可以轉(zhuǎn)發(fā)多少百萬個數(shù)據(jù)包（Mpps ），即交換機能同時轉(zhuǎn)發(fā)的數(shù)據(jù)包的數(shù)量。包轉(zhuǎn)發(fā)率以數(shù)據(jù)包為單位體現(xiàn)了交換機的交換能力。

其實決定包轉(zhuǎn)發(fā)率的一個重要指標就是交換機的背板帶寬，背板帶寬標志了交換機總的數(shù)據(jù)交換能力。一臺交換機的背板帶寬越高，所能處理數(shù)據(jù)的能力就越強，也就是包轉(zhuǎn)發(fā)率越高。

1）第二層包轉(zhuǎn)發(fā)線速

第二層包轉(zhuǎn)發(fā)率 =千兆端口數(shù)量×1.488Mpps 百兆端口數(shù)量*0.1488Mpps 其余類型端口數(shù)*相應(yīng)計算方法，如果這個速率能≤標稱二層包轉(zhuǎn)發(fā)速率，那么交換機在做第二層交換的時候可以做到線速。

2）第三層包轉(zhuǎn)發(fā)線速

第三層包轉(zhuǎn)發(fā)率 =千兆端口數(shù)量×1.488Mpps 百兆端口數(shù)量*0.1488Mpps 其余類型端口數(shù)*相應(yīng)計算方法， 如果這個速率能≤標稱三層包轉(zhuǎn)發(fā)速率，那么交換機在做第三層交

7

換的時候可以做到線速。

那么1.488Mpps 是怎么得到的呢？

包轉(zhuǎn)發(fā)線速的衡量標準是以單位時間內(nèi)發(fā)送64byte 的數(shù)據(jù)包(最小包) 的個數(shù)作為計算基準的，對于千兆以太網(wǎng)來說， 計算方法如下：1,000,000,000bps/8bit/（64＋8＋12）byte=1,488,095pps 說明：當以太網(wǎng)幀為64byte 時，需考慮8byte 的幀頭和12byte 的幀間隙的固定開銷。故一個線速的千兆以太網(wǎng)端口在轉(zhuǎn)發(fā) 64byte 包時的包轉(zhuǎn)發(fā)率為1.488Mpps 。

快速以太網(wǎng)的統(tǒng)速端口包轉(zhuǎn)發(fā)率正好為千兆以太網(wǎng)的十分之一，為148.8mpps 。

對于萬兆以太網(wǎng)，一個線速端口的包轉(zhuǎn)發(fā)率為14.88Mpps 。

對于千兆以太網(wǎng)，一個線速端口的包轉(zhuǎn)發(fā)率為1.488Mpps 。

對于快速以太網(wǎng)，一個線速端口的包轉(zhuǎn)發(fā)率為0.1488Mpps 。

8

一． 三層交換機知識介紹

（一）三層交換機技術(shù)解析

三層交換技術(shù)的出現(xiàn)，解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸等問題。三層交換原理：

一個具有三層交換功能的設(shè)備，相當于是一個帶有第三層路由功能的第二層交換機，但它是二者的有機結(jié)合，并不是簡單地把路由器設(shè)備的硬件及軟件疊加在局域網(wǎng)交換機上。

其原理是：假設(shè)兩個使用IP 協(xié)議的主機A 、B 通過第三層交換機進行通信，發(fā)送主機A 在開始發(fā)送時，把自己的IP 地址與B 主機的IP 地址比較，判斷B 主機是否與自己在同一子網(wǎng)內(nèi)。若 B 與 A 在同一子網(wǎng)內(nèi)，則進行二層的轉(zhuǎn)發(fā)。若兩個主機不在同一子網(wǎng)內(nèi)，如A 要與目的主機B 通信，發(fā)送主機A 要向“缺省網(wǎng)關(guān)”發(fā)出 ARP (地址解析) 封包，而“缺省網(wǎng)關(guān)”的IP 地址其實是三層交換機的三層交換模塊。當發(fā)送主機 A 對“缺省網(wǎng)關(guān)”的IP 地址廣播出一個ARP 請求時，如果三層交換模塊在以前的通信過程中已經(jīng)知道B 主機的MAC 地址，則向A 回復(fù)B 的MAC 地址； 否則三層交換模塊根據(jù)路由信息向B 廣播一個ARP 請求，B 得到此ARP 請求后向三層交換模塊回復(fù)其 MAC 地址，三層交換模塊保存此地址并回復(fù)給發(fā)送主機A ， 同時將B 主機的 MAC 地址發(fā)送到二層交換引擎的MAC 地址表中。從這以后，當A 向B 發(fā)送的數(shù)據(jù)包便全部交給二層交換處理，信息得以高速交換。

由于僅僅在路由過程中才需要三層處理，絕大部分數(shù)據(jù)都通過二層交換轉(zhuǎn)發(fā)，因此三層交換機的速度很快，接近二層交換機的速度，同時比相同路由器的價格低很多。

因為通信雙方并沒有通過路由器進行“拆包”和“打包”的過程，所以那怕主機 A 、B 或 C 分屬于不同的子網(wǎng)，它們之間也可直接知道對方的MAC 地址來進行通信，最重要的是，第三層交換機并沒有像其它交換機一樣把廣播封包擴散，第三層交換機之所以叫三層交換機就是因為它可以看懂三層信息，比如IP 地址、ARP 等。

所以，三層交換機便能洞悉某一廣播封包目的何在， 在沒有把它擴散出去的情形下，同時滿足了發(fā)出該廣播封包的人的需求(不論它們在任何子網(wǎng)里) 。 因為第三層交換機沒做任何“拆、打”數(shù)據(jù)包的工作，所有經(jīng)過它的數(shù)據(jù)包都不會被修改并以交換的速度傳到目的地。所以，應(yīng)用第三層交換技術(shù)即可實現(xiàn)網(wǎng)絡(luò)路由的功能，又可以根據(jù)不同的網(wǎng)絡(luò)狀況做到最優(yōu)的網(wǎng)絡(luò)性能。

（二）三層交換機和路由器的比較

9

傳統(tǒng)的路由器在網(wǎng)絡(luò)中有路由轉(zhuǎn)發(fā)、防火墻、隔離廣播等作用，而在一個劃分了VLAN 以后的網(wǎng)絡(luò)中，邏輯上劃分的不同網(wǎng)段之間通信仍然要通過路由器轉(zhuǎn)發(fā)。由于在局域網(wǎng)上不同VLAN 之間的通信數(shù)據(jù)量很大。這樣，如果路由器要對每一個數(shù)據(jù)包都路由一次，隨著網(wǎng)絡(luò)上數(shù)據(jù)量的不斷增大，它將成為瓶頸。

而第三層交換技術(shù)就是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)。 在對第一個數(shù)據(jù)流進行路由后，它將會產(chǎn)生一個MAC 地址與IP 地址的映射表，當同樣的數(shù)據(jù)流再次通過時， 將根據(jù)此表直接從二層通過而不是再次路由，從而消除了路由器進行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。

路由器的轉(zhuǎn)發(fā)采用最長匹配的方式，實現(xiàn)復(fù)雜，通常使用軟件來實現(xiàn)。而三層交換機的路由查找是針對流的，它利用CACHE 技術(shù)，很容易采用ASIC 實現(xiàn)，因此，可以大大節(jié)約成本，并實現(xiàn)快速轉(zhuǎn)發(fā)，但從技術(shù)上講，路由器和三層交換機在數(shù)據(jù)包交換操作上存在著明顯區(qū)別。

路由器一般由基于微處理器的引接執(zhí)行數(shù)據(jù)包交換，而三層交換機通過硬件執(zhí)行數(shù)據(jù)包交換。 因此與三層交換機相比，路由器功能更為強大，像VPN 等功能仍無法被完全替代。處于同一個局域網(wǎng)中的各子網(wǎng)的互聯(lián)，可以用三層交換機來代替路由器，但局域網(wǎng)必須與公網(wǎng)互聯(lián)以實現(xiàn)跨地域的網(wǎng)絡(luò)，這時路由器就不可缺少。

一個完全構(gòu)建在交換機上的網(wǎng)絡(luò)會出現(xiàn)諸如碰撞、堵塞以及通信混亂等問題。 使用路由器將網(wǎng)絡(luò)劃分為多個子網(wǎng)，通過路由所具備的功能來有效進行安全控制策略，則可以避這些問題。

三層交換機現(xiàn)在還不能提供完整的路由選擇協(xié)議，而路由器則具備同時處理多個協(xié)議的能力。

當連接不同協(xié)議的網(wǎng)絡(luò)，像以太網(wǎng)和令牌環(huán)的組合網(wǎng)絡(luò)，依靠三層交換機是不可能完成網(wǎng)間數(shù)據(jù)傳輸?shù)摹?/p>

除此之外，路由器還具有第四層網(wǎng)絡(luò)管理能力，這也是三層交換機所不具備的。

（三）為什么我們需要三層交換機

交換的基本功能在于將輸入輸出端口連接起來從而實現(xiàn)業(yè)務(wù)流轉(zhuǎn)發(fā)，以往的二層報文交換使用MAC 地址來判別數(shù)據(jù)包的去向，也就是說二層交換是轉(zhuǎn)發(fā)基于第二層地址的業(yè)務(wù)流。三層交換則是轉(zhuǎn)發(fā)基于第三層地址的業(yè)務(wù)流，除了具有可以進行與二層交換相似的交換、認證、報文過濾等功能外，三層交換機還可以進行路由處理，這也是三層交換機特

10