七張圖帶你搞懂二層和三層交換機(jī)之間的區(qū)別
這兩種類型交換機(jī)的工作方式有所不同:
- 二層交換機(jī)可以識(shí)別數(shù)據(jù)包中的MAC地址,根據(jù)MAC地址進(jìn)行轉(zhuǎn)發(fā),并將這些MAC地址與對(duì)應(yīng)的端口記錄在自己內(nèi)部的一個(gè)地址表中。二層交換機(jī)不遵循路由算法。
- 三層交換機(jī)轉(zhuǎn)發(fā)基于目標(biāo) IP 地址,數(shù)據(jù)包的目的地是定義的下一跳,三層交換機(jī)遵循路由算法。
二層交換機(jī)
如果二層交換機(jī)不遵循路由算法,那么它們將如何學(xué)習(xí)下一跳的 MAC 地址?
通過(guò)遵循ARP(地址解析協(xié)議)來(lái)實(shí)現(xiàn)。
圖片來(lái)源:技術(shù)之家
ARP的工作內(nèi)容如下:
我們以網(wǎng)絡(luò)為例,其中一個(gè)交換機(jī)連接到四個(gè)主機(jī)設(shè)備,稱為 PC1、PC2、PC3 和 PC4。現(xiàn)在,PC1 第一次要向 PC2 發(fā)送一個(gè)數(shù)據(jù)包。
雖然 PC1 在第一次通信時(shí)知道 PC2 的 IP 地址,但它不知道接收主機(jī)的 MAC地址。因此,交換機(jī)向所有端口發(fā)送ARP請(qǐng)求(不包括PC1所連接的端口),PC2 收到 ARP 請(qǐng)求后,將回復(fù)一個(gè)帶有其 MAC 地址的 ARP 響應(yīng)消息。這樣,PC2 也就收集到了PC1 的 MAC 地址。
通過(guò)上述消息的來(lái)回流動(dòng),交換機(jī)就知道哪些MAC地址分配給了哪些端口。同樣,當(dāng) PC2 在 ARP 響應(yīng)消息中發(fā)送其 MAC 地址時(shí),交換機(jī)會(huì)收集 PC2 的 MAC 地址并將其存儲(chǔ)到自己的 MAC 地址表中。
從現(xiàn)在開(kāi)始,每當(dāng) PC1 想要向 PC2 發(fā)送任何數(shù)據(jù)時(shí),交換機(jī)只需在其地址表中查找并轉(zhuǎn)發(fā)到 PC2 的目標(biāo)端口。
如此,交換機(jī)將繼續(xù)維護(hù)每個(gè)連接主機(jī)的硬件地址。
沖突和廣播域
在二層交換中,當(dāng)兩個(gè)或多個(gè)主機(jī)試圖在同一網(wǎng)絡(luò)鏈路上以相同的時(shí)間間隔進(jìn)行通信時(shí),可能會(huì)發(fā)生沖突。當(dāng)數(shù)據(jù)幀發(fā)生沖突,設(shè)備必須重新發(fā)送數(shù)據(jù)。沖突對(duì)網(wǎng)絡(luò)性能有嚴(yán)重的負(fù)面影響,因此絕對(duì)要避免沖突。
廣播是一種信息的傳播方式,指網(wǎng)絡(luò)中的某一設(shè)備同時(shí)向網(wǎng)絡(luò)中所有的其他設(shè)備發(fā)送數(shù)據(jù),這個(gè)數(shù)據(jù)所能廣播到的范圍即為廣播域。簡(jiǎn)單點(diǎn)說(shuō),廣播域就是指網(wǎng)絡(luò)中所有能接收到同樣廣播消息的設(shè)備的集合。
使用一個(gè)或多個(gè)交換機(jī)組成的以太網(wǎng),所有站點(diǎn)都在同一個(gè)廣播域。隨著交換機(jī)變多,這個(gè)廣播域的范圍也會(huì)變大,于是就會(huì)出現(xiàn)難以維護(hù)、廣播風(fēng)暴以及安全等問(wèn)題。
上文說(shuō)過(guò),一個(gè)主機(jī)想要獲取另外一個(gè)網(wǎng)段的主機(jī)MAC地址,需要發(fā)送ARP廣播請(qǐng)求獲取對(duì)方主機(jī)的MAC地址。這個(gè)廣播請(qǐng)求會(huì)廣播到每一個(gè)主機(jī)身上,容易導(dǎo)致廣播風(fēng)暴。
VLAN
為了克服沖突和廣播域問(wèn)題,在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中引入了VLAN(虛擬局域網(wǎng))技術(shù)。
分隔廣播域有兩種方法:
1. 物理分隔:將網(wǎng)絡(luò)從物理上劃分為若干個(gè)小網(wǎng)絡(luò)
2. 邏輯分隔:將網(wǎng)絡(luò)從邏輯上劃分為若干個(gè)小的虛擬網(wǎng)絡(luò),即VLAN
物理分隔有很多缺點(diǎn),會(huì)使得局域網(wǎng)的設(shè)計(jì)缺乏靈活性,而VLAN則具有靈活性和可擴(kuò)展性。VLAN配置是在交換機(jī)級(jí)通過(guò)使用不同的接口完成的,不同的交換機(jī)可以有不同或相同的 VLAN 配置,并可以根據(jù)網(wǎng)絡(luò)的需要進(jìn)行設(shè)置。
在同一個(gè) VLAN 內(nèi)的設(shè)備和用戶并不受物理位置的限制,可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來(lái),相互之間的通信就好像在同一個(gè)網(wǎng)段中一樣。因此,與不同交換機(jī)相連的主機(jī)可以共享同一個(gè)廣播域。
為了更好地理解 VLAN ,我們舉個(gè)栗子,其中一個(gè)使用 VLAN,另一個(gè)不使用 VLAN。
如果沒(méi)有 VLAN,從主機(jī) 1 發(fā)送的廣播消息將到達(dá)網(wǎng)絡(luò)中的所有設(shè)備。 
未使用VLAN
如果給網(wǎng)絡(luò)中的兩個(gè)交換機(jī)添加一個(gè)名為 fast Ethernet 0 和 fast Ethernet 1 的接口卡(通常表示為 Fa0/0)來(lái)配置 VLAN,來(lái)自主機(jī)1 的廣播消息將僅發(fā)送到主機(jī)2。
使用了VLAN的網(wǎng)絡(luò)
在進(jìn)行配置時(shí)會(huì)發(fā)生這種情況:只有主機(jī) 1 和主機(jī) 2 定義在同一組 VLAN 下,而其他設(shè)備組件是別的 VLAN 網(wǎng)絡(luò)的成員。
需要注意的是,二層交換機(jī)只能允許主機(jī)設(shè)備與同一個(gè)VLAN的主機(jī)通信。要到達(dá)另一個(gè)網(wǎng)絡(luò)的主機(jī)設(shè)備,需要三層交換機(jī)或路由器。
VLAN 網(wǎng)絡(luò)高度安全,因?yàn)槠渑渲妙愋停魏挝募伎梢酝ㄟ^(guò)兩個(gè)預(yù)定義的、物理上沒(méi)有連接的同一VLAN的主機(jī)發(fā)送。廣播流量也由它管理,因?yàn)橄H發(fā)送和接收到定義的 VLAN集,而不是網(wǎng)絡(luò)上的每個(gè)設(shè)備。
訪問(wèn)和中繼端口
在交換機(jī)端口上可以完成各種類型的配置,給VLAN 分配一個(gè)訪問(wèn)端口,就可以訪問(wèn)單個(gè) VLAN 網(wǎng)絡(luò)。
當(dāng)我們只需要簡(jiǎn)單地將主機(jī)終端設(shè)備配置到特定的 VLAN 網(wǎng)絡(luò)時(shí),就會(huì)使用訪問(wèn)端口。
如果需要訪問(wèn)多個(gè)交換機(jī),且需要訪問(wèn)不同的VLAN,則將接口配置為交換機(jī)的中繼端口。中繼端口的智能程度足以承受多個(gè)VLAN的流量。
配置 VLAN
- 要在交換機(jī)上配置 VLAN,首先要在交換機(jī)上啟用 IOS 模式。
- 創(chuàng)建 VLAN 的命令為onfig mode VLAN NUMBER i.e. Switch(config)# VLAN 10。
- 通過(guò)使用接口命令,我們可以在 VLAN 下分配快速以太網(wǎng)端口。
- 通過(guò)使用 switchport 訪問(wèn)命令行,我們可以指定接口是訪問(wèn)模式。
- 下一條命令將分配 VLAN 編號(hào)到交換機(jī)端口訪問(wèn)模式。
Switch(config) #vlan 10
Switch(config-vlan) #exit
Switch(config) #int fa0/1
Switch(config-if) #switchport mode access
Switch(config-if) #switchport access vlan 10
- switchport access mode 命令只能分配給單個(gè) VLAN。當(dāng)需要配置多個(gè) VLAN,使用 switchport trunk mode interface 命令,因?yàn)樗梢猿休d多個(gè) VLAN 的流量。
二層交換機(jī)的特點(diǎn)
下面列出了二層交換機(jī)的各種特性。
- 二層交換機(jī)可以充當(dāng)網(wǎng)橋,將計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各種終端設(shè)備連接在一個(gè)平臺(tái)上。它們能夠非常快速且有效地將數(shù)據(jù)從LAN 網(wǎng)絡(luò)的源端傳輸?shù)侥繕?biāo)端。
- 二層交換機(jī)通過(guò)從交換機(jī)的地址表中學(xué)習(xí)目的節(jié)點(diǎn)的MAC地址,執(zhí)行交換功能,將數(shù)據(jù)幀從源端重新排列到目的端。
- MAC地址表為二層設(shè)備提供了唯一的地址,用于標(biāo)識(shí)數(shù)據(jù)下發(fā)的終端設(shè)備和節(jié)點(diǎn)。
- 二層交換機(jī)將龐大復(fù)雜的 LAN 網(wǎng)絡(luò)拆分為一個(gè)個(gè)小的VLAN網(wǎng)絡(luò)。
- 通過(guò)在一個(gè)大型的 LAN 網(wǎng)絡(luò)中配置多個(gè) VLAN,在沒(méi)有物理連接的情況下,交換變得更快。
二層交換機(jī)的應(yīng)用
下面給出了二層交換機(jī)的各種應(yīng)用。
- 通過(guò)二層交換機(jī),我們可以輕松地將位于同一VLAN內(nèi)的數(shù)據(jù)幀從源端發(fā)送到目的端,而無(wú)需物理連接或位于同一位置。
- 因此,軟件公司的服務(wù)器可以集中放置在一個(gè)位置,而分散在其他位置的客戶端可以輕松訪問(wèn)數(shù)據(jù)而沒(méi)有延遲,從而節(jié)省服務(wù)器成本和時(shí)間。
- 組織可以通過(guò)使用這些類型的交換機(jī)將主機(jī)配置在同一個(gè)VLAN中,而不需要任何互聯(lián)網(wǎng)連接,從而實(shí)現(xiàn)內(nèi)部通信。
三層交換機(jī)
當(dāng)我們需要在不同的 LAN 或 VLAN 之間傳輸數(shù)據(jù)時(shí),二層交換機(jī)就無(wú)法滿足了。這時(shí)需要三層交換機(jī),因?yàn)樗鼈儗?shù)據(jù)包路由到目的地的技術(shù)是IP 地址和子網(wǎng)劃分。
三層交換機(jī)工作在 OSI 參考模型的第3層,并使用 IP 地址執(zhí)行數(shù)據(jù)包的路由。它們比二層交換機(jī)具有更快的切換速度,甚至比傳統(tǒng)路由器更快,因?yàn)樗鼈儾皇褂妙~外的躍點(diǎn)來(lái)執(zhí)行數(shù)據(jù)包的路由,從而會(huì)帶來(lái)更好的性能。
圖片來(lái)源:技術(shù)之家
要理解三層交換機(jī)的功能,首先需要先了解路由的概念。
第3層中的源端設(shè)備首先查看自己的路由表,路由表中包含了源IP地址、目的IP地址和子網(wǎng)掩碼的所有信息。然后,根據(jù)它從路由表中收集的信息,將數(shù)據(jù)包發(fā)送到目的地,并可以在不同的LAN、MAN和WAN網(wǎng)絡(luò)之間進(jìn)一步傳遞數(shù)據(jù)。它遵循最短且安全的路徑在終端設(shè)備之間傳遞數(shù)據(jù)。這就是路由的總體概念。
各種網(wǎng)絡(luò)可以通過(guò)STM鏈路連接在一起,STM鏈路有很高的帶寬,DS3鏈路也可以。連接的類型取決于網(wǎng)絡(luò)的各種參數(shù)。
三層交換機(jī)的特點(diǎn)
三層交換機(jī)的各種特性如下所示:
- 執(zhí)行靜態(tài)路由,以在不同 VLAN 之間傳輸數(shù)據(jù)。而二層設(shè)備只能在同一 VLAN網(wǎng)絡(luò)之間傳輸數(shù)據(jù)。
- 以與路由器相同的方式執(zhí)行動(dòng)態(tài)路由,這種動(dòng)態(tài)路由技術(shù)允許交換機(jī)執(zhí)行最佳數(shù)據(jù)包路由。
- 根據(jù)網(wǎng)絡(luò)的實(shí)時(shí)場(chǎng)景提供一組多路徑來(lái)傳遞數(shù)據(jù)包。交換機(jī)可以選擇最可行的路徑來(lái)路由數(shù)據(jù)包,目前流行的路由技術(shù)包括 RIP 和 OSPF。
- 有能力識(shí)別關(guān)于流量流向的交換機(jī)的相關(guān)IP地址信息。
- 能夠根據(jù)子網(wǎng)劃分或 VLAN 流量標(biāo)記部署 QoS 分類,而不是像二層交換機(jī)那樣手動(dòng)配置交換機(jī)端口。
- 需要更多的功率來(lái)運(yùn)行,并在交換機(jī)之間提供更高帶寬的鏈路,這些鏈路幾乎超過(guò) 10Gbits。
- 為數(shù)據(jù)交換提供高度安全的路徑。
三層交換機(jī)的應(yīng)用
三層交換機(jī)的應(yīng)用如下:
- 被廣泛用于數(shù)據(jù)中心等大型園區(qū)。三層交換機(jī)具有靜態(tài)路由和動(dòng)態(tài)路由等特點(diǎn),且交換速度比路由器快,因此它被用于局域網(wǎng)連接中,用于多個(gè)VLAN和LAN網(wǎng)絡(luò)的互連。
- 三層交換機(jī)與多臺(tái)二層交換機(jī)相結(jié)合,可以支持更多用戶接入網(wǎng)絡(luò),無(wú)需額外部署三層交換機(jī)和更多帶寬。如果一個(gè)網(wǎng)絡(luò)平臺(tái)上的終端用戶數(shù)量增加,那么無(wú)需對(duì)網(wǎng)絡(luò)進(jìn)行任何增強(qiáng),就可以輕松地將其容納在同一個(gè)運(yùn)行場(chǎng)景中。
- 三層交換機(jī)可以輕松處理高帶寬資源和最終用戶應(yīng)用,它提供了 10Gbits 帶寬。
- 三層交換機(jī)有能力解除過(guò)載的路由器的負(fù)擔(dān)。在廣域網(wǎng)場(chǎng)景中,每個(gè)三層交換機(jī)都有一個(gè)主路由器,這樣交換機(jī)就可以管理所有的本地VLAN路由。
- 通過(guò)遵循上述類型的場(chǎng)景,路由器的工作效率將會(huì)提高,并且可以專門用于長(zhǎng)距離(WAN)連接和數(shù)據(jù)傳輸。
- 三層交換機(jī)十分智能,可以利用其高帶寬處理和管理本地連接的服務(wù)器和終端設(shè)備的路由和流量控制。因此,公司通常使用三層交換機(jī)來(lái)連接其監(jiān)控服務(wù)器和子系統(tǒng)NOC中心的主機(jī)節(jié)點(diǎn)。
三層交換機(jī)的 VLAN 間路由
下圖顯示了三層交換機(jī)與二層交換機(jī)相結(jié)合的跨 VLAN 路由操作。 我們?cè)倥e個(gè)栗子來(lái)幫助理解:
在大學(xué)中,教職員工和學(xué)生的 PC 通過(guò)二層和三層交換機(jī)連接在不同的VLAN上。
某教職員工 VLAN 的 PC 1 想其他教員VLAN中的pc2進(jìn)行通信。由于兩個(gè)終端設(shè)備屬于不同的 VLAN,我們需要三層交換機(jī)將數(shù)據(jù)從PC 1 路由到PC 2。
首先,二層交換機(jī)借助硬件部分的MAC地址表來(lái)定位目標(biāo)主機(jī)。然后從MAC表中學(xué)習(xí)接收主機(jī)的目的地址。之后,三層交換機(jī)根據(jù)IP地址和子網(wǎng)掩碼進(jìn)行交換和路由,它將明確PC1希望和哪個(gè)VLAN網(wǎng)絡(luò)的目標(biāo)PC通信。一旦它收集了所有必要的信息,將在它們之間建立鏈接,并將數(shù)據(jù)從發(fā)送端路由到接收端。這樣就完成了不同VLAN間的通信。
總結(jié)
二層與三層交換機(jī)之間有以下區(qū)別:
工作層級(jí)不同:二層交換機(jī)工作在數(shù)據(jù)鏈路層,三層交換機(jī)工作在網(wǎng)絡(luò)層,三層交換機(jī)不僅實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā),還可以根據(jù)不同網(wǎng)絡(luò)狀況達(dá)到最優(yōu)網(wǎng)絡(luò)性能。
原理不同:二層交換機(jī)的原理是當(dāng)交換機(jī)從某個(gè)端口收到一個(gè)數(shù)據(jù)包,它會(huì)先讀取包中的源MAC地址,再去讀取包中的目的MAC地址,并在地址表中查找對(duì)應(yīng)的端口,如表中有和目的MAC地址對(duì)應(yīng)的端口,就把數(shù)據(jù)包直接復(fù)制到這個(gè)端口上。三層交換機(jī)的原理比較簡(jiǎn)單,就是一次路由多次交換,通俗來(lái)說(shuō)就是第一次進(jìn)行源到目的的路由,三層交換機(jī)會(huì)將此數(shù)據(jù)轉(zhuǎn)到二層,那么下次無(wú)論是目的到源還是源到目的都可以進(jìn)行快速交換。
功能不同:二層交換機(jī)基于MAC地址訪問(wèn),只做數(shù)據(jù)的轉(zhuǎn)發(fā),并且不能配置IP地址,而三層交換機(jī)將二層交換技術(shù)和三層轉(zhuǎn)發(fā)功能結(jié)合在一起,也就是說(shuō)三層交換機(jī)在二層交換機(jī)的基礎(chǔ)上增加了路由功能,可配置不同VLAN的IP地址,可通過(guò)三層路由實(shí)現(xiàn)不同VLAN之間通訊。
應(yīng)用不同:二層交換機(jī)主要用于網(wǎng)絡(luò)接入層和匯聚層,而三層交換機(jī)主要用于網(wǎng)絡(luò)核心層,但是也存在少部分三層交換機(jī)用于匯聚層的現(xiàn)象,下圖是三層交換機(jī)的實(shí)際應(yīng)用實(shí)例。
圖片來(lái)源:技術(shù)之家
支持的協(xié)議不同:二層交換機(jī)支持物理層和數(shù)據(jù)鏈路層協(xié)議,而三層交換機(jī)支持物理層、數(shù)據(jù)鏈路層及網(wǎng)絡(luò)層協(xié)議。
