第一章三层交换应用

单臂路由的优缺点

VLAN 能有效分割局域网，实现各网络区域之间的访问控制。但现实中，往往需要配置某些 VLAN 之间的互联互通。比如，你的公司划分为领导层、销售部、财务部、人力部、科技部、审计部，并为不同部门配置了不同的 VLAN，部门之间不能相互访问，有效保证了各部门的信息安全。但经常出现领导层需要跨越 VLAN 访问其他各个部门，这个功能就由单臂路由来实现。

优点:实现不同 vlan 之间的通信，有助理解、学习 VLAN 原理和子接口概念。

缺点:容易成为网络单点故障，配置稍有复杂，现实意义不大。

三层交换原理

三层交换机就是具有部分路由器功能的交换机，工作在 OSI 网络标准模型的第三层:网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。对于数据包转发等规律性的过程由硬件高速实现，而像路由信息更新、路由表维护、路由计算、路由确定等功能，由软件实现。三层交换技术就是二层交换技术+三层转发技术。传统交换技术是在 OSI 网络标准模型第二层--数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发，既可实现网络路由功能，又可根据不同网络状况做到最优网络性能。

工作原理

使用 IP 的设备 A------------------------三层交换机------------------------使用 IP 的设备 B

比如 A 要给 B 发送数据，已知目的 IP，那么 A 就用子网掩码取得网络地址，判断目的 IP 是否与自己在同一网段。

如果在同一网段，但不知道转发数据所需的 MAC 地址，A 就发送一个 ARP 请求，B 返回其 MAC 地址，A 用此 MAC 封装数据包并发送给交换机，交换机起用二层交换模块，查找 MAC 地址表，将数据包转发到相应的端口。

如果目的 IP 地址显示不是同一网段的，那么 A 要实现和 B 的通讯，在流缓存条目中没有对应 MAC 地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先在 MAC 表中放的是缺省网关的 MAC 地址;然后就由三层模块接收到此数据包，查询路由表以确定到达 B 的路由，将构造一个新的帧头，其中以缺省网关的 MAC 地址为源 MAC 地址，以主机 B 的 MAC 地址为目的 MAC 地址。通过一定的识别触发机制，确立主机 A 与 B 的 MAC 地址及转发端口的对应关系，并记录进流缓存条目表，以后的 A 到 B 的数据，就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。

应用目的

网络骨干

要说三层交换机在诸多网络设备中的作用，用"中流砥柱"形容并不为过。在校园网、城域教育网中，从骨干网、城域网骨干、汇聚层都有三层交换机的用武之地，尤其是核心骨干网一定要用三层交换机，否则整个网络成千上万台的计算机都在一个子网中，不仅毫无安全可言，也会因为无法分割广播域而无法隔离广播风暴。

如果采用传统的路由器，虽然可以隔离广播，但是性能又得不到保障。而三层交换机的性能非常高，既有三层路由的功能，又具有二层交换的网络速度。二层交换是基于 MAC 寻址，三层交换则是转发基于第三层地址的业务流;除了必要的路由决定过程外，大部分数据转发过程由二层交换处理，提高了数据包转发的效率。

三层交换机通过使用硬件交换机构实现了 IP 的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器软件路由的速度问题。因此可以说，三层交换机具有"路由器的功能、交换机的性能"。

连接子网

同一网络上的计算机如果超过一定数量(通常在 200 台左右，视通信协议而定)，就很可能会因为网络上大量的广播而导致网络传输效率低下。为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为多个虚拟网(VLAN)。但是这样做将导致一个问题:VLAN 之间的通信必须通过路由器来实现。但是传统路由器也难以胜任 VLAN 之间的通信任务，因为相对于局域网的网络流量来说，传统的普通路由器的路由能力太弱。

而且千兆级路由器的价格也是非常难以接受的。如果使用三层交换机上的千兆端口或百兆端口连接不同的子网或 VLAN，就在保持性能的前提下，经济地解决了子网划分之后子网之间必须依赖路由器进行通信的问题，因此三层交换机是连接子网的理想设备。