詳解第三層交換機技術

1.1 共享技術
   
    所謂共享技術即在一個邏輯網絡上的每一個工作站都處於一個相同的網段上。
　　以太網採用CSMA/CD 機制，這種衝突檢測方法保證了只能有一個站點在總線上傳輸。如果有兩個站點試圖同時訪問總線並傳輸數據，這就意味着“衝突”發生了，兩站點都將被告知出錯。然後它們都被拒發，並等待一段時間以備重發。
　　這種機制就如同許多汽車搶過一座窄橋，當兩輛車同時試圖上橋時，就發生了“衝突”，兩輛車都必須退出，然後再重新開始搶行。當汽車較多時，這種無序的爭搶會極大地降低效率，造成交通擁堵。
　　網絡也是一樣，當網絡上的用戶量較少時，網絡上的交通流量較輕，衝突也就較少發生，在這種情況下衝突檢測法效果較好。當網絡上的交通流量增大時，衝突也增多，同進網絡的吞吐量也將顯著下降。在交通流量很大時，工作站可能會被一而再再而三地拒發。
　　1.2 交換技術
　　局域網交換技術是作爲對共享式局域網提供有效的網段劃分的解決方案而出現的，它可以使每個用戶儘可能地分享到最大帶寬。交換技術是在OSI 七層網絡模型中的第二層，即數據鏈路層進行操作的，因此交換機對數據包的轉發是建立在MAC（Media Access Control ）地址--物理地址基礎之上的，對於IP 網絡協議來說，它是透明的，即交換機在轉發數據包時，不知道也無須知道信源機和信宿機的IP 地址，只需知其物理地址即MAC 地址。交換機在操作過程當中會不斷的收集資料去建立它本身的一個地址表，這個表相當簡單，它說明了某個MAC 地址是在哪個端口上被發現的，所以當交換機收到一個TCP ／IP 封包時，它便會看一下該數據包的目的MAC 地址，覈對一下自己的地址表以確認應該從哪個端口把數據包發出去。由於這個過程比較簡單，加上這功能由一嶄新硬件進行--ASIC(Application Specific Integrated Circuit)，因此速度相當快，一般只需幾十微秒，交換機便可決定一個IP 封包該往那裏送。值得一提的是：萬一交換機收到一個不認識的封包，就是說如果目的地MAC 地址不能在地址表中找到時，交換機會把IP 封包"擴散"出去，即把它從每一個端口中送出去，就如交換機在處理一個收到的廣播封包時一樣。二層交換機的弱點正是它處理廣播封包的手法不太有效，比方說，當一個交換機收到一個從TCP/IP 工作站上發出來的廣播封包時，他便會把該封包傳到所有其他端口去，哪怕有些端口上連的是IPX 或DECnet 工作站。這樣一來，非TCP/IP 節點的帶寬便會受到負面的影響，就算同樣的TCP/IP 節點，如果他們的子網跟發送那個廣播封包的工作站的子網相同，那麼他們也會無原無故地收到一些與他們毫不相干的網絡廣播，整個網絡的效率因此會大打折扣。從90 年代開始，出現了局域網交換設備。從網絡交換產品的形態來看，交換產品大致有三種：端口交換、幀交換和信元交換。
　　(1)端口交換
　　端口交換技術最早出現於插槽式集線器中。這類集線器的背板通常劃分有多個以太網段（每個網段爲一個廣播域）、各網段通過網橋或路由器相連。以太網模塊插入後通常被分配到某個背板網段上，端口交換適用於將以太模塊的端口在背板的多個網段之間進行分配。這樣網管人員可根據網絡的負載情況，將用戶在不同網段之間進行分配。這種交換技術是基於OSI第一層（物理層）上完成的，它並沒有改變共享傳輸介質的特點，因此並不是真正意義上的交換。
　　(2)幀交換
　　幀交換是目前應用的最廣的局域網交換技術，它通過對傳統傳輸媒介進行分段，提供並行傳送的機制，減少了網絡的碰撞衝突域，從而獲得較高的帶寬。不同廠商產品實現幀交換的技術均有差異，但對網絡幀的處理方式一般有：存儲轉發式和直通式兩種。存儲轉發式（Store-and-Forward ：當一個數據包以這種技術進入一個交換機時，交換機將讀取足夠的信息，以便不僅能決定哪個端口將被用來發送該數據包，而且還能決定是否發送該數據包。這樣就能有效地排除了那些有缺陷的網絡段。雖然這種方式不及使用直通式產品的交換速度，但是它們卻能排除由破壞的數據包所引起的經常性的有害後果。直通式Cut-Through ：當一個數據包使用這種技術進入一個交換機時，它的地址將被讀取。然後不管該數據包是否爲錯誤的格式，它都將被髮送。由於數據包只有開頭幾個字節被讀取，所以這種方法提供了較多的交換次數。然而所有的數據包即使是那些可能已被破壞的都將被髮送。直到接收站才能測出這些被破壞的包，並要求發送方重發。但是如果網絡接口卡失效，或電纜存在缺陷；或有一個能引起數據包遭破壞的外部信號源，則出錯將十分頻繁。隨着技術的發展，直通式交換將逐步被淘汰。在“直通式”交換方式中，交換機只讀出網絡幀的前幾個字節，便將網絡幀傳到相應的端口上，雖然交換速度很快，但缺乏對網絡幀的高級控制，無智能性和安全性可言，同時也無法支持具有不同速率端口的交換；而“存儲轉發”交換方式則通過對網絡幀的讀取進行驗錯和控制。聯想網絡的產品都採用“存儲轉發”交換方式。
　　(3)信元交換
　　信元交換的基本思想是採用固定長度的信元進行交換，這樣就可以用硬件實現交換，從而大大提高交換速度，尤其適合語音、視頻等多媒體信號的有效傳輸。目前，信元交換的實際應用標準是ATM （異步傳輸模式），但是ATM 設備的造價較爲昂貴，在局域網中的應用已經逐步被以太網的幀交換技術所取代。
　　1.2.1 第二層交換技術
　　第二層的網絡交換機依據第二層的地址傳送網絡幀。第二層的地址又稱硬件地址（MAC 地址），第二層交換機通常提供很高的吞吐量（線速）、低延時（10 微秒左右），每端口的價格比較經濟。第二層的交換機對於路由器和主機是“透明的”，主要遵從802.1d 標準。該標準規定交換機通過觀察每個端口的數據幀獲得源MAC 地址，交換機在內部的高速緩存中建立MAC 地址與端口的映射表。當交換機接受的數據幀的目的地址在該映射表中被查到，交換機便將該數據幀送往對應的端口。如果它查不到，便將該數據幀廣播到該端口所屬虛擬局域網（VLAN ）的所有端口，如果有迴應數據包，交換機便將在映射表中增加新的對應關係。當交換機初次加入網絡中時，由於映射表是空的，所以，所有的數據幀將發往虛擬局域網內的全部端口直到交換機“學習”到各個MAC 地址爲止。這樣看來，交換機剛剛啓動時與傳統的共享式集線器作用相似的，直到映射表建立起來後，才能真正發揮它的性能。這種方式改變了共享式以太網搶行的方式，如同在不同的行駛方向上鋪架了立交橋，去往不同方向的車可以同時通行，因此大大提高了流量。從虛擬局域網（VLAN ）角度來看，由於只有子網內部的節點競爭帶寬，所以性能得到提高。主機1 訪問主機2 同時，主機3 可以訪問主機4 。當各個部門具有自己獨立的服務器時，這一優勢更加明顯。但是這種環境正發生巨大的變化，因爲服務器趨向於集中管理，另外，這一模式也不適合Internet 的應用。不同虛擬局域網（VLAN ）之間的通訊需要通過路由器來完成，另外爲了實現不同的網段之間通訊也需要路由器進行互連。
　　路由器處理能力是有限的，相對於局域網的交換速度來說路由器的數據路由速度也是較緩慢的。路由器的低效率和長時延使之成爲整個網絡的瓶頸。虛擬局域網（VLAN ）之間的訪問速度是加快整個網絡速度的關鍵，某些情況下（特別是Intranet ），劃定虛擬局域網本身是一件困難的事情。第三層交換機的目的正在於此，它可以完成Intranet 中虛擬局域網（VLAN ）之間的數據包以高速率進行轉發。

1.2.2 VLAN 技術
　　在傳統的局域網中，各站點共享傳輸信道所造成的信道衝突和廣播風暴是影響網絡性能的重要因素。通常一個IP 子網或者IPX 子網屬於一個廣播域，因此網絡中的廣播域是根據物理網絡來劃分的。這樣的網絡結構無論從效率和安全性角度來考慮都有所欠缺。同時，由於網絡中的站點被束縛在所處的物理網絡中，而不能夠根據需要將其劃分至相應的邏輯子網，因此網絡的結構缺乏靈活性。爲解決這一問題，從而引發了虛擬局域網（VLAN ）的概念，所謂VLAN 是指網絡中的站點不拘泥於所處的物理位置，而可以根據需要靈活地加入不同的邏輯子網中的一種網絡技術。
　　VLAN 技術的基礎
　　基於交換式以太網的VLAN
　　在交換式以太網中，利用VLAN 技術，可以將由交換機連接成的物理網絡劃分成多個邏輯子網。也就是說，一個VLAN中的站點所發送的廣播數據包將僅轉發至屬於同一VLAN 的站點。而在傳統局域網中，由於物理網絡和邏輯子網的對應關係，因此任何一個站點所發送的廣播數據包都將被轉發至網絡中的所有站點。在交換式以太網中，各站點可以分別屬於不同的VLAN 。構成VLAN 的站點不拘泥於所處的物理位置，它們既可以掛接在同一個交換機中，也可以掛接在不同的交換機中。VLAN 技術使得網絡的拓撲結構變得非常靈活，例如位於不同樓層的用戶或者不同部門的用戶可以根據需要加入不同的VLAN 。到目前爲止，基於交換式以太網實現VLAN 主要有三種途徑：基於端口的VLAN 、基於MAC 地址的VLAN 和基於IP 地址的VLAN 。
　　1、基於端口的VLAN
　　基於端口的VLAN 就是將交換機中的若干個端口定義爲一個VLAN ，同一個VLAN 中的站點具有相同的網絡地址，不同的VLAN 之間進行通信需要通過路由器。採用這種方式的VLAN 其不足之處是靈活性不好，例如當一個網絡站點從一個端口移動到另外一個新的端口時，如果新端口與舊端口不屬於同一個VLAN ，則用戶必須對該站點重新進行網絡地址配置，否則，該站點將無法進行網絡通信。
　　2、基於MAC 地址的VLAN
　　在基於MAC 地址的VLAN 中，交換機對站點的MAC 地址和交換機端口進行跟蹤，在新站點入網時根據需要將其劃歸至某一個VLAN ，而無論該站點在網絡中怎樣移動，由於其MAC 地址保持不變，因此用戶不需要進行網絡地址的重新配置。這種VLAN 技術的不足之處是在站點入網時，需要對交換機進行比較複雜的手工配置，以確定該站點屬於哪一個VLAN 。
　　3、基於IP 地址的VLAN
　　在基於IP 地址的VLAN 中，新站點在入網時無需進行太多配置，交換機則根據各站點網絡地址自動將其劃分成不同的VLAN 。在三種VLAN 的實現技術中，基於IP 地址的VLAN 智能化程度最高，實現起來也最複雜。VLAN 作爲一種新一代的網絡技術，它的出現爲解決網絡站點的靈活配置和網絡安全性等問題提供了良好的手段。雖然VLAN 技術目前還有許多問題有待解決，例如技術標準的統一問題、VLAN 管理的開銷問題和VALN 配置的自動化問題等等。然而，隨着技術的不斷進步，上述問題將逐步加以解決，VLAN 技術也將在網絡建設中得到更加廣泛的應用，從而爲提高網絡的工作效率發揮更大的作用。事實上一個VLAN(虛擬局域網)就是一個廣播域。爲了避免在大型交換機上進行的廣播所引起的廣播風暴，可將連接到大型交換機上的網絡劃分爲多個VLAN(虛擬局域網)。在一個VLAN(虛擬局域網)內，由一個工作站發出的信息只能發送到具有相同VLAN(虛擬局域網)號的其他站點。其它VLAN(虛擬局域網)的成員收不到這些信息或廣播幀。
　　採用VLAN 有如下優勢：
　　1. 抑制網絡上的廣播風暴；
　　2. 增加網絡的安全性；
　　3. 集中化的管理控制。
　　這就是在局域網交換機上採用VLAN(虛擬局域網)技術的初衷，也確實解決了一些問題。但這種技術也引發出一些新的問題：隨着應用的升級，網絡規劃/實施者可根據情況在交換式局域網環境下將用戶劃分在不同VLAN(虛擬局域網)上。但是VLAN(虛擬局域網)之間通信是不允許的，這也包括地址解析(ARP)封包。要想通信就需要用路由器橋接這些VLAN(虛擬局域網)。這就是VLAN(虛擬局域網)的問題：不用路由器是嫌它慢，用交換機速度快但不能解決廣播風暴問題，在交換機中採用VLAN(虛擬局域網)技術可以解決廣播風暴問題，但又必須放置路由器來實現VLAN(虛擬局域網)之間的互通。形成了一個不可逾越的怪圈。這就是網絡的核心和樞紐路由器的問題。在這種網絡系統集成模式中，路由器是核心。
　　路由器所起的作用是：
　　1.網段微化（網段之間通過路由器進行連接）：
　　2. 網絡的安全控制；
　　3. VLAN(虛擬局域網)間互連；
　　4. 異構網間的互連。
　　1.2.3 局域網瓶頸
　　1、 採用路由器作爲網絡的核心將產生的問題：
　　● 路由器增加了3 層路由選擇的時間，數據的傳輸效率低；
　　● 增加、移動和改變節點的複雜性有增無減；
　　● 路由器價格昂貴、結構複雜；
　　● 增加子網/ VLAN(虛擬局域網)的互連意味着要增加路由器端口，投資也增大。
　　相比之下，路由器是在OSI 七層網絡模型中的第三層--網絡層操作的，它在網絡中，收到任何一個數據包(包括廣播包在內)，都要將該數據包第二層(數據鏈路層)的信息去掉(稱爲"拆包")，查看第三層信息（IP 地址）。然後，根據路由表確定數據包的路由，再檢查安全訪問表；若被通過，則再進行第二層信息的封裝(稱爲"打包")，最後將該數據包轉發。如果在路由表中查不到對應MAC 地址的網絡地址，則路由器將向源地址的站點返回一個信息，並把這個數據包丟掉。與交換機相比，路由器顯然能夠提供構成企業網安全控制策略的一系列存取控制機制。由於路由器對任何數據包都要有一個"拆打"過程，即使是同一源地址向同一目的地址發出的所有數據包，也要重複相同的過程。這導致路由器不可能具有很高的吞吐量，也是路由器成爲網絡瓶頸的原因之一。如果路由器的工作僅僅是在子網與子網間、網絡與網絡間交換數據包的話，我們可能會買到比今天便宜得多的路由器。實際上路由器的工作遠不止這些，它還要完成數據包過濾、數據包壓縮、協議轉換、維護路由表、計算路由、甚至防火牆等許多工作。而所有這些都需要大量CPU 資源，因此使得路由器一方面價格昂貴，另一方面越來越成爲網絡瓶頸。
　　2、 提高路由器的硬件性能，無法解決路由器瓶頸問題：
　　提高路由器的硬件性能(採用更高速，更大容量的內存)並不足以改善它的性能。因爲路由器除了硬件支撐外，其"複雜的處理與強大的功能"主要是通過軟件來實現的，這必然使得它成爲網絡瓶頸。另外，當流經路由器的流量超過其吞吐能力時，將引起路由器內部的擁塞。持續擁塞不僅會使轉發的數據包被延誤，更嚴重的是使流經路由器的數據包丟失。這些都給網絡應用帶來極大的麻煩。路由器的複雜性還對網絡的維護工作造成了沉重的負擔。例如，要對網絡上的用戶進行增加、移動或改變時，配置路由器的工作將顯得十分複雜。
　　（3 交換機結合路由器存在不足：
　　將交換機和路由器結合起來（這也是當今大多數企業所採用的網絡解決方案），從功能上來講是可行的。然而，存在顯然不足，不足之出在於：從網絡用戶的角度看，整個網絡被分爲兩種等級的性能：直接經過交換機處理的數據包享受着高速公路快速、穩定的傳遞性能；但是那些必須經過路由器的數據包只能使用慢速通路，當流量負荷嚴重時，便會產生另人頭痛的延遲。交換機和路由器是網絡中不同的設備，須分別購買、設置和管理，其花費必然要多於一個基於集成化的單一完整的解決方案的花費。

 1.2.4 第三層交換技術
　　局域網交換機的引入，使得網絡站點間可獨享帶寬，消除了無謂的碰撞檢測和出錯重發，提高了傳輸效率，在交換機中可並行地維護幾個獨立的、互不影響的通信進程。在交換網絡環境下，用戶信息只在源節點與目的節點之間進行傳送，其他節點是不可見的。但有一點例外，當某一節點在網上發送廣播或組播時，或某一節點發送了一個交換機不認識的MAC 地址封包時，交換機上的所有節點都將收到這一廣播信息。整個交換環境構成一個大的廣播域。點到點是在第二層快速、有效的交換，但廣播風暴會使網絡的效率大打折扣。交換機的速度實在快，比路由器快的多，而且價格便宜的多。可以說，在網絡系統集成的技術中，直接面向用戶的第一層接口和第二層交換技術方面已得到令人滿意的答案。交換式局域網技術使專用的帶寬爲用戶所獨享，極大的提高了局域網傳輸的效率。但第二層交換也暴露出弱點：對廣播風暴、異種網絡互連、安全性控制等不能有效地解決。作爲網絡核心、起到網間互連作用的路由器技術卻沒有質的突破。當今絕大部分的企業網都已變成實施TCP/IP 協議的Web 技術的內聯網，用戶的數據往往越過本地的網絡在網際間傳送，因而，路由器常常不堪重負。傳統的路由器基於軟件，協議複雜，與局域網速度相比，其數據傳輸的效率較低。但同時它又作爲網段(子網，VLAN)互連的樞紐，這就使傳統的路由器技術面臨嚴峻的挑戰。隨着Internet/Intranet 的迅猛發展和B/S(瀏覽器/服務器)計算模式的廣泛應用，跨地域、跨網絡的業務急劇增長，業界和用戶深感傳統的路由器在網絡中的瓶頸效應。改進傳統的路由技術迫在眉睫。一種辦法是安裝性能更強的超級路由器，然而，這樣做開銷太大，如果是建設交換網，這種投資顯然是不合理的。
　　在這種情況下，一種新的路由技術應運而生，這就是第三層交換技術：第三層交換技術也稱爲IP 交換技術、高速路由技術等。第三層交換技術是相對於傳統交換概念而提出的。衆所周知，傳統的交換技術是在OSI 網絡標準模型中的第二層—數據鏈路層進行操作的，而第三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。簡單地說，第三層交換技術就是：第二層交換技術＋第三層轉發技術。這是一種利用第三層協議中的信息來加強第二層交換功能的機制。一個具有第三層交換功能的設備是一個帶有第三層路由功能的第二層交換機，但它是二者的有機結合，並不是簡單的把路由器設備的硬件及軟件簡單地疊加在局域網交換機上。從硬件的實現上看，目前，第二層交換機的接口模塊都是通過高速背板/總線(速率可高達幾十Gbit/s)交換數據的，在第三層交換機中，與路由器有關的第三層路由硬件模塊也插接在高速背板/總線上，這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數據，從而突破了傳統的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。在軟件方面，第三層交換機也有重大的舉措，它將傳統的基於軟件的路由器軟件進行了界定，其作法是：
　　1 ．對於數據封包的轉發：如IP/IPX 封包的轉發，這些有規律的過程通過硬件得以高速實現。
　　2 ．對於第三層路由軟件：如路由信息的更新、路由表維護、路由計算、路由的確定等功能，用優化、高效的軟件實現。假設兩個使用IP 協議的站點通過第三層交換機進行通信的過程，發送站點A 在開始發送時，已知目的站的IP 地址，但尚不知道在局域網上發送所需要的MAC 地址。要採用地址解析(ARP)來確定目的站的MAC 地址。發送站把自己的IP 地址與目的站的IP 地址比較，採用其軟件中配置的子網掩碼提取出網絡地址來確定目的站是否與自己在同一子網內。若目的站B 與發送站A 在同一子網內，A 廣播一個ARP 請求，B 返回其MAC 地址，A 得到目的站點B 的MAC 地址後將這一地址緩存起來，並用此MAC 地址封包轉發數據，第二層交換模塊查找MAC 地址表確定將數據包發向目的端口。若兩個站點不在同一子網內，如發送站A 要與目的站C 通信，發送站A 要向"缺省網關"發出ARP(地址解析)封包，而"缺省網關"的IP 地址已經在系統軟件中設置。這個IP 地址實際上對應第三層交換機的第三層交換模塊。所以當發送站A 對"缺省網關"的IP 地址廣播出一個ARP 請求時，若第三層交換模塊在以往的通信過程中已得到目的站B 的MAC 地址，則向發送站A 回覆B 的MAC 地址；否則第三層交換模塊根據路由信息向目的站廣播一個ARP 請求，目的站C 得到此ARP 請求後向第三層交換模塊回覆其MAC 地址，第三層交換模塊保存此地址並回復給發送站A 。以後，當再進行A 與C 之間數據包轉發時，將用最終的目的站點的MAC 地址封包，數據轉發過程全部交給第二層交換處理，信息得以高速交換。
　　第三層交換具有以下突出特點：
　　1. 有機的硬件結合使得數據交換加速；
　　2. 優化的路由軟件使得路由過程效率提高；
　　3. 除了必要的路由決定過程外，大部分數據轉發過程由第二層交換處理；
　　4. 多個子網互連時只是與第三層交換模塊的邏輯連接，不象傳統的外接路由器那樣需增加端口，保護了用戶的投資。
　　第三層交換的目標是，只要在源地址和目的地址之間有一條更爲直接的第二層通路，就沒有必要經過路由器轉發數據包。第三層交換使用第三層路由協議確定傳送路徑，此路徑可以只用一次，也可以存儲起來，供以後使用。之後數據包通過一條虛電路繞過路由器快速發送。第三層交換技術的出現，解決了局域網中網段劃分之後，網段中子網必須依賴路由器進行管理的局面，解決了傳統路由器低速、複雜所造成的網絡瓶頸問題。當然，三層交換技術並不是網絡交換機與路由器的簡單疊加，而是二者的有機結合，形成一個集成的、完整的解決方案。
　　傳統的網絡結構對用戶應用所造成的限制，正是三層交換技術所要解決的關鍵問題。目前，市場上最高檔路由器的最大處理能力爲每秒25 萬個包，而最高檔交換機的最大處理能力則在每秒1000 萬個包以上，二者相差40 倍。在交換網絡中，尤其是大規模的交換網絡，沒有路由功能是不可想象的。然而路由器的處理能力又限制了交換網絡的速度，這就是三層交換所要解決的問題。第三層交換機並沒有象其他二層交換機那樣把廣播封包擴散，第三層交換機之所以叫三層交換機是因爲它們能看得懂第三層的信息，如IP 地址、ARP 等。因此，三層交換機便能洞悉某廣播封包目的何在，而在沒有把他擴散出去的情形下，滿足了發出該廣播封包的人的需要，(不管他們在任何子網裏)。如果認爲第三層交換機就是路由器，那也應稱作超高速反傳統路由器，因爲第三層交換機沒做任何"拆打"數據封包的工作，所有路過他的封包都不會被修改並以交換的速度傳到目的地。目前，第三層交換機的成熟還有很長的路，象其它一些新技術一樣，還待進行其協議的標準化工作。目前很多廠商都宣稱開發出了第三層交換機，但經國際權威機構測試，作法各異且性能表現不同。另外，可能是基於各廠商佔領市場的策略，目前的第三層交換機主要可交換路由IP/IPX 協議，還不能處理其它一些有一定應用領域的專用協議。因此，有關專家認爲，第三層交換技術是將來的主要網絡集成技術，傳統的路由器在一段時間內還會得以應用，但它將處於其力所能及的位置，那就是處於網絡的邊緣，去作速度受限的廣域網互聯、安全控制(防火牆)、專用協議的異構網絡互連等。
　　1.2.5 三層交換技術特點
　　1、 線速路由：
　　和傳統的路由器相比，第三層交換機的路由速度一般要快十倍或數十倍，能實現線速路由轉發。傳統路由器採用軟件來維護路由表，而第三層交換機採用ASIC （Application Specific Integrated Circuit ）硬件來維護路由表，因而能實現線速的路由。
　　2、IP 路由：
　　在局域網上，二層的交換機通過源MAC 地址來標識數據包的發送者，根據目的MAC 地址來轉發數據包。對於一個目的地址不在本局域網上的數據包，二層交換機不可能直接把它送到目的地，需要通過路由設備（比如傳統的路由器）來轉發，這時就要把交換機連接到路由設備上。如果把交換機的缺省網關設置爲路由設備的IP 地址，交換機會把需要經過路由轉發的包送到路由設備上。路由設備檢查數據包的目的地址和自己的路由表，如果在路由表中找到轉發路徑，路由設備把該數據包轉發到其它的網段上，否則，丟棄該數據包。專用（傳統）路由器昂貴，複雜，速度慢，易成爲網絡瓶頸，因爲它要分析所有的廣播包並轉發其中的一部分，還要和其它的路由器交換路由信息，而且這些處理過程都是由CPU 來處理的（不是專用的ASIC ），所以速度慢。第三層交換機既能象二層交換機那樣通過MAC 地址來標識轉發數據包，也能象傳統路由器那樣在兩個網段之間進行路由轉發。而且由於是通過專用的芯片來處理路由轉發，第三層交換機能實現線速路由。

3、路由功能
　　比較傳統的路由器，第三層交換機不僅路由速度快，而且配置簡單。在最簡單的情況（即第三層交換機默認啓動自動發現功能時），一旦交換機接進網絡，只要設置完VLAN ，併爲每個VLAN 設置一個路由接口。第三層交換機就會自動把子網內部的數據流限定在子網之內，並通過路由實現子網之間的數據包交換。管理員也可以通過人工配置路由的方式：設置基於端口的VLAN ，給每個VLAN 配上IP 地址和子網掩碼，就產生了一個路由接口。隨後，手工設置靜態路由或者啓動動態路由協議。
　　4、路由協議支持：
　　第三層交換機可以通過自動發現功能來處理本地IP 包的轉發及學習鄰近路由器的地址，同時也可以通過動態路由協議RIP1 ，RIP2 ，OSPF 來計算路由路徑。下面介紹一下RIP 協議和OSPF 協議。路由信息協議（RIP ）是一個內部網關協議（IGP ），主要應用在中等規模的網絡，RIP 協議採用距離向量算法，在路由信息中包括了到達目的IP （向量）的跳躍次數（距離），跳躍次數最小的路徑是最優路徑。RIP 允許的最大跳躍次數爲15 ，需要跳躍16 次及其以上的目的地址被認爲是不可達的。RIP 路由器通過週期性廣播來與鄰近的RIP 路由器交換路由信息，廣播的時間間隔可以設定。廣播的內容就是整個路由表。當RIP 路由器收到鄰近路由器的路由表後，要經過計算來決定是否更新自己的路由表。如果自己的路由表需要更新，路由器在更新完畢後會立即把更新的內容發到鄰近的路由器而不必等待廣播間隔時間的結束。
　　引起路由表的變化可能會有如下原因：
　　● 啓動了一個新的接口；
　　● 使用中的接口出現了故障；
　　● 鄰近路由器的路由表改變；
　　● 路由表中的某條記錄的生存週期結束，被自動刪除。
　　RIP 路由器要求在每個廣播週期內，都能收到鄰近路由器的路由信息，如果不能收到，路由器將會放棄這條路由：如果在90 秒內沒有收到，路由器將用其它鄰近的具有相同跳躍次數（HOP ）的路由取代這條路由；如果在180 秒內沒有收到，該鄰近的路由器被認爲不可達。RIP 將路由器分爲兩種類型，一種是主動的，一種是被動的。主動路由器既可以發送自己的路由表，也可以接受鄰近路由器的路由表。被動路由器只能接受鄰近路由器的路由表。一旦啓動了RIP 協議的某個端口學到了一條路由，它將保留這條路由，直到學到更好的路由。一旦有端口廣播說某條路由失敗了，其它收到這條消息的端口都應該對通過RIP 獲得的路由信息做過時處理。一條路由如果在180 秒內沒有對外廣播路由信息的話，該路由將會被認爲是無效。此外，當接口啓動RIP 時，它通過和其直接相連的接口建立路由表。在和鄰近路由器交換路由信息，建立一個穩定的最優化的路由表的過程中，有可能出現信息迴路。一旦路由器收到了以自己作爲中間跳轉的路由，肯定出現了信息迴路。例如：R2 有一條通往RA 的路由，它把這條路由廣播給了R1 ，但是，在R1 給R2 的路由信息中也有到RA 的路由，而且是以R2 作爲轉跳路由器，這時就出現了信息迴路。水平分割技術可以避免這種信息迴路的產生。
　　5、自動發現功能：
　　有些第三層交換機具有自動發現功能，該功能可以減少配置的複雜性。第三層交換機可以通過監視數據流來學習路由信息，通過對端口入站數據包的分析，第三層交換機能自動的發現和產生一個廣播域、VLAN 、IP 子網和更新他們的成員。自動發現功能在不改變任何配置的情況下，提高網絡的性能。第三層交換機啓動後就自動具有IP 包的路由功能，它檢查所有的入站數據包來學習子網和工作站的地址，它自動地發送路由信息給鄰近的路由器和三層交換機，轉發數據包。一旦第三層交換機連接到網絡，它就開始監聽網上的數據包，並根據學習到的內容建立並不斷更新路由表。交換機在自動發現過程中，不需要額外的管理配置，也不會發送探測包來增加網絡的負擔。用戶可以先用自動發現功能來獲得簡單高效的網絡性能，然後根據需要來添加其他的路由、VLAN 等功能。
　　在第三層，自動發現有如下過程：
　　● 通過偵察ARP ，RARP 或者DHCP 響應包的原IP 地址，在幾秒終之內發現IP 子網的拓撲結構。
　　● 在同一網絡的不同網段之間建立一個邏輯連接，即在網段間進行路由，實現網段間信息通訊。
　　● 學習地址，根據IP 子網、網絡協議或組播地址來配置VLAN ，使用IGMP （Internet Group Management Protocol ）來動態更新VLAN 成員。
　　● 支持ICMP （Internet Control Message Protocol ）路由發現選項。
　　● 存儲學習到的路由到硬件中，用線速轉發這些地址的數據包。
　　● 把目的地址不在路由表中的包送到網絡上的其他路由器。
　　● 通過偵聽ARP 請求來學習每一臺工作站的地址。
　　● 在子網之內實現IP 包的交換。
　　在第二層，自動發現有如下過程：
　　● 通過硬件地址（MAC ）的學習，發現基於硬件地址（MAC ）的網絡結構。
　　● 根據ARP 請求，建立路由表。
　　● 交換各種非IP 包。
　　● 查看收到的數據包的目的地址，如果目的地址是已知的，將包轉發到已知端口，否則將包廣播到它所在的VLAN 的所有成員。

6、 過濾服務功能：
　　過濾服務功能用來設定界限，以限制不同的VLAN 的成員之間和使用單個MAC 地址和組MAC 地址的不同協議之間進行幀的轉發。幀過濾依賴於一定的規則，交換機根據這些規則來決定是轉發還是丟棄相應的幀。早期的802.1d 標準（1993 ），定義的基本過濾服務規定，交換機必須廣播所有的組MAC 地址的包到所有的端口。新的802.1d 標準（1998 ）定義的擴展過濾服務規定，對組MAC 地址的包也可以進行過濾，對於交換機的外連端口要過濾掉所有的組播地址包。如果沒有設置靜態的或者動態的過濾條件，交換機將採用缺省的過濾條件。擴展過濾服務功能使用GMRP(Group Multicast Registration Protocol) ,通過產生、刪除一個組或者組成員，來控制交換機的動態組轉發和組過濾。交換機和工作站使用GMRP 來申明他們是否願意接收一個組MAC 地址的幀。GMRP 協議在網上的交換機之間傳波這樣的組信息，使得交換機能夠更新它們的過濾信息以實現擴展服務功能。交換機在不做任何配置的情況下，就具有過濾服務和擴展過濾服務功能。對舊的交換機、集線器、路由器，由於它不支持動態的組播地址過濾，因而在與它們連接的相應端口要進行擴展過濾配置。交換機根據過濾數據庫來進行幀的過濾，交換機可以通過動態學習和手工配置兩種方式來維護過濾數據庫。交換機檢查過濾數據庫，根據以下條件來決定某個MAC 地址或者某個VLAN 標識的包是否應該轉發到某一個端口：
　　● 默認地址
　　● 由管理員鍵入的靜態過濾信息
　　● 通過查看數據包源地址而動態需學習到的單目地址
　　● 動態或者靜態的VLAN
　　● 通過GMRP 管理的動態組播過濾信息或VLAN 成員信息
　　
　　　　7、二層（鏈路層）VLAN：
　　在第二層，可以支持基於端口的VLAN 和基於MAC 地址的VLAN 。基於端口的VLAN 可以快速的劃分單個交換機上的衝突域，基於MAC 地址的VLAN 可以支持筆記本電腦的移動應用。
　　8、三層（網絡層）VLAN:
　　三層VLAN 可以按照如下方式劃分：
　　● IP 子網地址
　　● 網絡協議
　　● 組播地址
　　第三層交換機的第三層VLAN ，不僅可以手工配置，也可以由交換機自動產生。交換機通過對數據包的分析後，自動配置VLAN ，自動更新VLAN 的成員。第三層交換機能夠工作在以DHCP(Dynamic Host Control Protocol)分配IP 地址的網絡環境中。交換機能自動發現IP 地址，動態產生基於IP 子網的VLAN ，當通過DHCP 分配一個新的IP 地址時，第三層交換機能很快的定位這個地址。第三層交換機通過IGMP 、GMRP 、ARP 和包探測技術來更新其三層的VLAN 成員組。通過基於Web 的網絡管理界面，可以對自動學習的範圍進行設定：自動學習可以是完全不受限、部分受限或者完全禁止。
　　9、 第三層交換機是如何處理VLAN 的：
　　VLAN 通過對發送和過濾的限制提高了網絡的性能。第三層交換機通過偵聽來更新VLAN 成員表，根據數據包頭的成員信息來做出轉發或過濾決定。下面是交換機處理VLAN 的幾個過程。
　　數據幀入站：
　　交換機根據入站數據幀的VLAN 標識號（VID ）將它們分類，無標號的爲一類，標號相同的爲一類。交換機根據VID 來決定轉發或者丟棄一個數據包，同時交換機也可以分配一個VID 給一個無標記幀或者貼了優先級標記的幀。
　　VLAN 標記：
　　如果一個數據幀沒有標記VID ，交換機將會分配一個VID 給它，並把這個VID 插到它的幀頭中，這個過程叫做貼VLAN 標籤。交換機通過這個過程來處理包的轉發，來填寫數據幀的VLAN 或者優先級信息的標記字段。管理員可以設置優先級別來選擇VLAN 類型，選擇VID 值。交換機的缺省設置，首先選擇的是貼IP 子網信息，然後是網絡協議，然後是MAC 地址，然後是數據幀入站的端口。
　　過濾：
　　該過程驗證目的地址和源地址是否在同一個VLAN 中。
　　轉發：
　　根據VLAN 數據庫的信息，交換機處理一個數據幀是要麼轉發，要麼丟棄。
　　學習：
　　交換機檢查數據幀的源地址和VLAN 分類信息，並且把它們記錄在轉發庫裏。
　　
　　　　10、 VLAN 應用舉例:
　　下面是一些不同形式的VLAN 應用舉例：
　　● 工程部有些機密文件需要保密
　　解決方法：通過把工程部的用戶放到他（或她）自己的基於MAC 地址的VLAN 中。這個VLAN 所唯一允許的訪問，只有該用戶自己。任何其它用戶都不能監聽到該用戶的內容，因爲該用戶的內容不會轉發到其它的網段上去。另外，還有一種更加安全的方式，分配一個專用的端口給這個用戶，爲他產生一個基於端口的VLAN 。
　　● 銷售部門的筆記本用戶經常需要從外地進行撥號訪問
　　解決方法：產生一個基於IP 子網的VLAN ，使用IP 地址來表示用戶。這樣無論用戶處在何處都能進行網絡訪問。
　　● 公司安裝了視頻培訓服務器，要防止用戶做視頻訪問時佔用太多的帶寬
　　解決方法：產生一個組播地址的VLAN 。
　　● 公司總裁需要能訪問財務，銷售等其它部門的VLAN
　　解決方法：使公司總裁成爲其它各部門的VLAN 的成員。

相關網絡術語
　　Broadcast(廣播)
　　遞送報文分組的一種方式，按這種方式送出的報文分組將送到與發送系統連通的廣播地址所覆蓋的所有計算機系統。
　　Broadcast Address(廣播地址)
　　專門用於同時向網絡中所有工作站進行發送的一個地址。在使用TCP/IP 協議的網絡中，主機標識段hostid 爲全1 的IP 地址爲廣播地址，廣播的分組傳送給hostid 段所涉及的所有計算機。例如，對於10.1.120.0 （255.255.255.0 ）網段，其廣播地址爲10.1.1.255 （255 即爲2 進制的11111111 ），當發出一個目的地址爲10.1.1.255 的分組（封包）時，它將被分發給該網段上的所有計算機。
　　Collision(衝突）
　　多個事件同時請求一個服務，而這個服務又不能區分和應付多個請求所出現的現象。以太網使用CSMA/CD 處理衝突和協調重新傳輸。
　　Flow Control(流量控制)
　　爲防止計算機網絡中信息傳輸出現擁擠而採取的一種措施。流量控制可在網絡的多個層次上實現。例如在TCP/IP 網絡環境中，可在第三層即網絡層上用ICMP 協議採用抑制信源的辦法實現流量控制。該機制是在點到點鏈路上的兩個站之間建立的。如果接收站端擁塞，那麼它可以將一個叫做“暫停幀”的幀發回連接另一端的始發站點，指示始發站點在某一具體時段停止發送數據包。在發送更多的數據之前，發送站要等待這種請求時間。接收站還能夠以零等待時間將一個幀發回始發站點，指示始發站點再次開始發送數據。更復雜的辦法可以連續改變發送頻率，例如在網絡第四層即傳輸層上採用的窗口機制就屬於這種流量控制方法。
　　Full-duplex(全雙工）
　　全雙工是在通道中同時雙向數據傳輸的能力。
　　Half-duplex(半雙工）
　　在通道中同時只能沿着一個方向傳輸數據。
　　IGMP Internet 工作組管理協議）
　　IGMP 主要用來解決網絡上廣播時佔用帶寬的問題。當網絡上的信息要傳輸給所有工作站時，就發出廣播（broadcast ）信息（即IP 地址主機標識位全爲1 ），交換機會將廣播信息不經過濾地發給所有工作站；但當這些信息只需傳輸給某一部分工作站時，通常採用組播（multicast ，也稱多點廣播）的方式，這就要求交換機支持IGMP 。支持IGMP 的交換機會識別組播信息並將其轉發至相應的組，從而使不需要這些信息的工作站的網絡帶寬不被浪費。IGMP 對於提高多媒體傳輸時的網絡性能尤爲重要。
　　Multicast(組播)
　　廣播中組播是向選定目標發送信息的處理過程。對於廣播信號，所有設備都準備好隨時接收，而與廣播不同的是組播僅對那些預先設置可以接收組播的網絡節點進行有效傳送。
　　Port Mirror(端口鏡像)
　　Port Mirror 是用於進行網絡性能監測。可以這樣理解：在端口A 和端口B 之間建立鏡像關係，這樣，通過端口A 傳輸的數據將同時複製到端口B ，以便於在端口B 上連接的分析儀或者分析軟件進行性能分析或故障判斷。
　　Port Trunking(端口乾路)
　　Port Trunking 即將交換機上的多個物理端口，在邏輯上捆綁（bundle ）在一起，形成一個擁有較大帶寬的端口，組成一個幹路。可以均衡負載，並提供冗餘連接。
　　QoS(服務質量)
　　QoS 是一個用於定義用戶應用所需的特定參數的術語。服務參數的定義方式可能包括帶寬需求、抖動、等待時間以及延遲。ATM 通過支持CBR 、ABR 以及UBR 流量來提供QoS 保證。
　　RARP(反向地址解析協議)
　　RARP 用在僅知道一臺計算機TCP/IP 網上的硬件地址（MAC ）來確定IP 地址的情況。
　　RMON ：
　　RMON MIB 由一組統計數據、分析數據和診斷數據構成，利用許多供應商生產的標準工具都可以顯示出這些數據，因而它具有獨立於供應商的遠程網絡分析功能。RMON 探測器和RMON 客戶機軟件結合在一起在網絡環境中實施RMON 。RMON 的監控功能是否有效，關鍵在於其探測器要具有存儲統計數據歷史的能力，這樣就不需要不停地輪詢才能生成一個有關網絡運行狀況趨勢的視圖。“RMON MIB 功能組”功能框可以對通過RMOM MIB 收集的網絡管理信息類型進行描述。
　　SNMP (簡單網絡管理協議)
　　SNMP 是一種廣爲使用的網絡協議，它使用嵌入到網絡設備中的代理軟件來收集網絡通信信息和有關網絡設備的統計數據。代理不斷地收集統計數據，如所收到的字節數，並把這些數據記錄到一個管理信息庫(MIB)中。網管員通過向代理的MIB發出查詢信號可以得到這些信息。
　　Stackable(堆疊)
　　堆疊是通過集線器的背板或是通過專用堆疊線纜連接起來的。堆疊後的數臺集線器或交換機在邏輯上是一個被網管的設備。
　　Spanning tree(生成樹)
　　Spanning Tree 亦遵循IEEE803.1d 標準。當網絡中出現環路時，該協議可以採用生成樹的算法從邏輯上斷開其中一條連接，使其成爲備份線路。當網絡出現斷路時，該協議會自動啓動上述備份線路，確保網絡正常工作。一種用於在網絡中檢測環路並邏輯地阻塞冗餘路徑，以確保在任意兩個節點之間只存在一條路徑的技術。爲提高可靠性，網絡中的設備間常需建立冗餘連接。但是以太網的邏輯拓撲結構是星型或總線型的，因此鏈路中不允許出現環路。Spanning Tree 可以解決上述矛盾。
　　TCP/IP(傳輸控制協議／互聯網協議)
　　互聯網協議族定義了內容廣泛的服務，使得異構的網絡系統可以相互操作。該協議族是一個分層的協議集合，包含了網絡服務和通信的所有方面。它的主要定義包含在RFC 791 和RFC 793 中，但許多其他的相關RFC 也適用於該協議族。
　　Throughout(吞吐率)
　　吞吐率是指在一指定時間內由一處傳輸到另一處或被處理的數據量。以太網吞吐率的單位爲“兆比特每秒”或“Mb/s ”。
　　Uplink(級聯)
　　級聯是通過集線器（或交換機）的某個端口與其它集線器或交換機相連的，級聯後每臺集線器或交換機在邏輯上仍是多個被網管的設備。通過級聯端口相連的設備不需要Cross-over 電纜。