這兩種類型交換機的工作方式有所不同:
二層交換機可以識別數(shù)據(jù)包中的MAC地址,根據(jù)MAC地址進行轉(zhuǎn)發(fā),并將這些MAC地址與對應(yīng)的端口記錄在自己內(nèi)部的一個地址表中。二層交換機不遵循路由算法。
三層交換機轉(zhuǎn)發(fā)基于目標IP地址,數(shù)據(jù)包的目的地是定義的下一跳,三層交換機遵循路由算法。
二層交換機
如果二層交換機不遵循路由算法,那么它們將如何學(xué)習(xí)下一跳的MAC地址?
通過遵循ARP(地址解析協(xié)議)來實現(xiàn)。
圖片來源:技術(shù)之家
ARP的工作內(nèi)容如下:
我們以網(wǎng)絡(luò)為例,其中一個交換機連接到四個主機設(shè)備,稱為PC1、PC2、PC3和PC4。現(xiàn)在,PC1第一次要向PC2發(fā)送一個數(shù)據(jù)包。
雖然PC1在第一次通信時知道PC2的IP地址,但它不知道接收主機的MAC地址。因此,交換機向所有端口發(fā)送ARP請求(不包括PC1所連接的端口),PC2收到ARP請求后,將回復(fù)一個帶有其MAC地址的ARP響應(yīng)消息。這樣,PC2也就收集到了PC1的MAC地址。
通過上述消息的來回流動,交換機就知道哪些MAC地址分配給了哪些端口。同樣,當PC2在ARP響應(yīng)消息中發(fā)送其MAC地址時,交換機會收集PC2的MAC地址并將其存儲到自己的MAC地址表中。
從現(xiàn)在開始,每當PC1想要向PC2發(fā)送任何數(shù)據(jù)時,交換機只需在其地址表中查找并轉(zhuǎn)發(fā)到PC2的目標端口。
如此,交換機將繼續(xù)維護每個連接主機的硬件地址。
沖突和廣播域
在二層交換中,當兩個或多個主機試圖在同一網(wǎng)絡(luò)鏈路上以相同的時間間隔進行通信時,可能會發(fā)生沖突。當數(shù)據(jù)幀發(fā)生沖突,設(shè)備必須重新發(fā)送數(shù)據(jù)。沖突對網(wǎng)絡(luò)性能有嚴重的負面影響,因此絕對要避免沖突。
廣播是一種信息的傳播方式,指網(wǎng)絡(luò)中的某一設(shè)備同時向網(wǎng)絡(luò)中所有的其他設(shè)備發(fā)送數(shù)據(jù),這個數(shù)據(jù)所能廣播到的范圍即為廣播域。簡單點說,廣播域就是指網(wǎng)絡(luò)中所有能接收到同樣廣播消息的設(shè)備的集合。
使用一個或多個交換機組成的以太網(wǎng),所有站點都在同一個廣播域。隨著交換機變多,這個廣播域的范圍也會變大,于是就會出現(xiàn)難以維護、廣播風(fēng)暴以及安全等問題。
上文說過,一個主機想要獲取另外一個網(wǎng)段的主機MAC地址,需要發(fā)送ARP廣播請求獲取對方主機的MAC地址。這個廣播請求會廣播到每一個主機身上,容易導(dǎo)致廣播風(fēng)暴。
VLAN
為了克服沖突和廣播域問題,在計算機網(wǎng)絡(luò)系統(tǒng)中引入了VLAN(虛擬局域網(wǎng))技術(shù)。
分隔廣播域有兩種方法:
物理分隔:將網(wǎng)絡(luò)從物理上劃分為若干個小網(wǎng)絡(luò)
邏輯分隔:將網(wǎng)絡(luò)從邏輯上劃分為若干個小的虛擬網(wǎng)絡(luò),即VLAN
物理分隔有很多缺點,會使得局域網(wǎng)的設(shè)計缺乏靈活性,而VLAN則具有靈活性和可擴展性。VLAN配置是在交換機級通過使用不同的接口完成的,不同的交換機可以有不同或相同的VLAN配置,并可以根據(jù)網(wǎng)絡(luò)的需要進行設(shè)置。
在同一個VLAN內(nèi)的設(shè)備和用戶并不受物理位置的限制,可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來,相互之間的通信就好像在同一個網(wǎng)段中一樣。因此,與不同交換機相連的主機可以共享同一個廣播域。
為了更好地理解VLAN,我們舉個栗子,其中一個使用VLAN,另一個不使用VLAN。
如果沒有VLAN,從主機1發(fā)送的廣播消息將到達網(wǎng)絡(luò)中的所有設(shè)備。
未使用VLAN
如果給網(wǎng)絡(luò)中的兩個交換機添加一個名為fastEthernet0和fastEthernet1的接口卡(通常表示為Fa0/0)來配置VLAN,來自主機1的廣播消息將僅發(fā)送到主機2。
使用了VLAN的網(wǎng)絡(luò)
在進行配置時會發(fā)生這種情況:只有主機1和主機2定義在同一組VLAN下,而其他設(shè)備組件是別的VLAN網(wǎng)絡(luò)的成員。
需要注意的是,二層交換機只能允許主機設(shè)備與同一個VLAN的主機通信。要到達另一個網(wǎng)絡(luò)的主機設(shè)備,需要三層交換機或路由器。
VLAN網(wǎng)絡(luò)高度安全,因為其配置類型,任何文件都可以通過兩個預(yù)定義的、物理上沒有連接的同一VLAN的主機發(fā)送。廣播流量也由它管理,因為消息將僅發(fā)送和接收到定義的VLAN集,而不是網(wǎng)絡(luò)上的每個設(shè)備。
訪問和中繼端口
在交換機端口上可以完成各種類型的配置,給VLAN分配一個訪問端口,就可以訪問單個VLAN網(wǎng)絡(luò)。
當我們只需要簡單地將主機終端設(shè)備配置到特定的VLAN網(wǎng)絡(luò)時,就會使用訪問端口。
如果需要訪問多個交換機,且需要訪問不同的VLAN,則將接口配置為交換機的中繼端口。中繼端口的智能程度足以承受多個VLAN的流量。
配置VLAN
要在交換機上配置VLAN,首先要在交換機上啟用IOS模式。
通過使用接口命令,我們可以在VLAN下分配快速以太網(wǎng)端口。
通過使用switchport訪問命令行,我們可以指定接口是訪問模式。
下一條命令將分配VLAN編號到交換機端口訪問模式。
二層交換機的特點
下面列出了二層交換機的各種特性。
二層交換機可以充當網(wǎng)橋,將計算機網(wǎng)絡(luò)系統(tǒng)的各種終端設(shè)備連接在一個平臺上。它們能夠非常快速且有效地將數(shù)據(jù)從LAN網(wǎng)絡(luò)的源端傳輸?shù)侥繕硕恕?br />
二層交換機通過從交換機的地址表中學(xué)習(xí)目的節(jié)點的MAC地址,執(zhí)行交換功能,將數(shù)據(jù)幀從源端重新排列到目的端。
MAC地址表為二層設(shè)備提供了唯一的地址,用于標識數(shù)據(jù)下發(fā)的終端設(shè)備和節(jié)點。
二層交換機將龐大復(fù)雜的LAN網(wǎng)絡(luò)拆分為一個個小的VLAN網(wǎng)絡(luò)。
通過在一個大型的LAN網(wǎng)絡(luò)中配置多個VLAN,在沒有物理連接的情況下,交換變得更快。
二層交換機的應(yīng)用
下面給出了二層交換機的各種應(yīng)用。
通過二層交換機,我們可以輕松地將位于同一VLAN內(nèi)的數(shù)據(jù)幀從源端發(fā)送到目的端,而無需物理連接或位于同一位置。
因此,軟件公司的服務(wù)器可以集中放置在一個位置,而分散在其他位置的客戶端可以輕松訪問數(shù)據(jù)而沒有延遲,從而節(jié)省服務(wù)器成本和時間。
組織可以通過使用這些類型的交換機將主機配置在同一個VLAN中,而不需要任何互聯(lián)網(wǎng)連接,從而實現(xiàn)內(nèi)部通信。
三層交換機
當我們需要在不同的LAN或VLAN之間傳輸數(shù)據(jù)時,二層交換機就無法滿足了。這時需要三層交換機,因為它們將數(shù)據(jù)包路由到目的地的技術(shù)是IP地址和子網(wǎng)劃分。
三層交換機工作在OSI參考模型的第3層,并使用IP地址執(zhí)行數(shù)據(jù)包的路由。它們比二層交換機具有更快的切換速度,甚至比傳統(tǒng)路由器更快,因為它們不使用額外的躍點來執(zhí)行數(shù)據(jù)包的路由,從而會帶來更好的性能。
圖片來源:技術(shù)之家
要理解三層交換機的功能,首先需要先了解路由的概念。
第3層中的源端設(shè)備首先查看自己的路由表,路由表中包含了源IP地址、目的IP地址和子網(wǎng)掩碼的所有信息。然后,根據(jù)它從路由表中收集的信息,將數(shù)據(jù)包發(fā)送到目的地,并可以在不同的LAN、MAN和WAN網(wǎng)絡(luò)之間進一步傳遞數(shù)據(jù)。它遵循最短且安全的路徑在終端設(shè)備之間傳遞數(shù)據(jù)。這就是路由的總體概念。
各種網(wǎng)絡(luò)可以通過STM鏈路連接在一起,STM鏈路有很高的帶寬,DS3鏈路也可以。連接的類型取決于網(wǎng)絡(luò)的各種參數(shù)。
三層交換機的特點
三層交換機的各種特性如下所示:
執(zhí)行靜態(tài)路由,以在不同VLAN之間傳輸數(shù)據(jù)。而二層設(shè)備只能在同一VLAN網(wǎng)絡(luò)之間傳輸數(shù)據(jù)。
以與路由器相同的方式執(zhí)行動態(tài)路由,這種動態(tài)路由技術(shù)允許交換機執(zhí)行最佳數(shù)據(jù)包路由。
根據(jù)網(wǎng)絡(luò)的實時場景提供一組多路徑來傳遞數(shù)據(jù)包。交換機可以選擇最可行的路徑來路由數(shù)據(jù)包,目前流行的路由技術(shù)包括RIP和OSPF。
有能力識別關(guān)于流量流向的交換機的相關(guān)IP地址信息。
能夠根據(jù)子網(wǎng)劃分或VLAN流量標記部署QoS分類,而不是像二層交換機那樣手動配置交換機端口。
需要更多的功率來運行,并在交換機之間提供更高帶寬的鏈路,這些鏈路幾乎超過10Gbits。
為數(shù)據(jù)交換提供高度安全的路徑。
三層交換機的應(yīng)用
三層交換機的應(yīng)用如下:
被廣泛用于數(shù)據(jù)中心等大型園區(qū)。三層交換機具有靜態(tài)路由和動態(tài)路由等特點,且交換速度比路由器快,因此它被用于局域網(wǎng)連接中,用于多個VLAN和LAN網(wǎng)絡(luò)的互連。
三層交換機與多臺二層交換機相結(jié)合,可以支持更多用戶接入網(wǎng)絡(luò),無需額外部署三層交換機和更多帶寬。如果一個網(wǎng)絡(luò)平臺上的終端用戶數(shù)量增加,那么無需對網(wǎng)絡(luò)進行任何增強,就可以輕松地將其容納在同一個運行場景中。
三層交換機可以輕松處理高帶寬資源和最終用戶應(yīng)用,它提供了10Gbits帶寬。
三層交換機有能力解除過載的路由器的負擔(dān)。在廣域網(wǎng)場景中,每個三層交換機都有一個主路由器,這樣交換機就可以管理所有的本地VLAN路由。
通過遵循上述類型的場景,路由器的工作效率將會提高,并且可以專門用于長距離(WAN)連接和數(shù)據(jù)傳輸。
三層交換機十分智能,可以利用其高帶寬處理和管理本地連接的服務(wù)器和終端設(shè)備的路由和流量控制。因此,公司通常使用三層交換機來連接其監(jiān)控服務(wù)器和子系統(tǒng)NOC中心的主機節(jié)點。
三層交換機的VLAN間路由
下圖顯示了三層交換機與二層交換機相結(jié)合的跨VLAN路由操作。
我們再舉個栗子來幫助理解:
在大學(xué)中,教職員工和學(xué)生的PC通過二層和三層交換機連接在不同的VLAN上。
某教職員工VLAN的PC1想其他教員VLAN中的pc2進行通信。由于兩個終端設(shè)備屬于不同的VLAN,我們需要三層交換機將數(shù)據(jù)從PC1路由到PC2。
首先,二層交換機借助硬件部分的MAC地址表來定位目標主機。然后從MAC表中學(xué)習(xí)接收主機的目的地址。之后,三層交換機根據(jù)IP地址和子網(wǎng)掩碼進行交換和路由,它將明確PC1希望和哪個VLAN網(wǎng)絡(luò)的目標PC通信。一旦它收集了所有必要的信息,將在它們之間建立鏈接,并將數(shù)據(jù)從發(fā)送端路由到接收端。這樣就完成了不同VLAN間的通信。
總結(jié)
二層與三層交換機之間有以下區(qū)別:
工作層級不同:二層交換機工作在數(shù)據(jù)鏈路層,三層交換機工作在網(wǎng)絡(luò)層,三層交換機不僅實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā),還可以根據(jù)不同網(wǎng)絡(luò)狀況達到最優(yōu)網(wǎng)絡(luò)性能。
原理不同:二層交換機的原理是當交換機從某個端口收到一個數(shù)據(jù)包,它會先讀取包中的源MAC地址,再去讀取包中的目的MAC地址,并在地址表中查找對應(yīng)的端口,如表中有和目的MAC地址對應(yīng)的端口,就把數(shù)據(jù)包直接復(fù)制到這個端口上。三層交換機的原理比較簡單,就是一次路由多次交換,通俗來說就是第一次進行源到目的的路由,三層交換機會將此數(shù)據(jù)轉(zhuǎn)到二層,那么下次無論是目的到源還是源到目的都可以進行快速交換。
功能不同:二層交換機基于MAC地址訪問,只做數(shù)據(jù)的轉(zhuǎn)發(fā),并且不能配置IP地址,而三層交換機將二層交換技術(shù)和三層轉(zhuǎn)發(fā)功能結(jié)合在一起,也就是說三層交換機在二層交換機的基礎(chǔ)上增加了路由功能,可配置不同VLAN的IP地址,可通過三層路由實現(xiàn)不同VLAN之間通訊。
應(yīng)用不同:二層交換機主要用于網(wǎng)絡(luò)接入層和匯聚層,而三層交換機主要用于網(wǎng)絡(luò)核心層,但是也存在少部分三層交換機用于匯聚層的現(xiàn)象,下圖是三層交換機的實際應(yīng)用實例。
圖片來源:技術(shù)之家
支持的協(xié)議不同:二層交換機支持物理層和數(shù)據(jù)鏈路層協(xié)議,而三層交換機支持物理層、數(shù)據(jù)鏈路層及網(wǎng)絡(luò)層協(xié)議。
