網絡交換器

二層交換機工作於OSI參考模型的第二層，即數據鏈路層。交換機內部的CPU會在每個端口成功連接時，通過將MAC地址和端口對應，形成一張MAC表。在今後的通訊中，發往該MAC地址的數據包將僅送往其對應的端口，而不是所有的端口。因此交換機可用於劃分數據鏈路層廣播，即衝突域；但它不能劃分網絡層廣播，即廣播域。交換技術是在OSI 七層網絡模型中的第二層，即數據鏈路層進行操作的，因此交換機對數據包的轉發是創建在MAC（Media Access Control ）地址--物理地址基礎之上的，對於IP 網絡協議來説，它是透明的，即交換機在轉發數據包時，不知道也無須知道信源機和信宿機的IP 地址，只需知其物理地址即MAC 地址。交換機在操作過程當中會不斷的收集資料去創建它本身的一個地址表，這個表相當簡單，它説明了某個MAC 地址是在哪個端口上被發現的，所以當交換機收到一個TCP/IP數據包時，它便會看一下該數據包的目的MAC 地址，核對一下自己的地址表以確認應該從哪個端口把數據包發出去。由於這個過程比較簡單，加上這功能由一嶄新硬件進行--ASIC(Application Specific Integrated Circuit)，因此速度相當快，一般只需幾十微秒，交換機便可決定一個IP 數據包該往那裏送。值得一提的是：萬一交換機收到一個不認識的數據包，就是説如果目的地MAC 地址不能在地址表中找到時，交換機會把IP 數據包"擴散"出去，即把它從每一個端口中提交去，就如交換機在處理一個收到的廣播數據包時一樣。二層交換機的弱點正是它處理廣播數據包的手法不太有效，比方説，當一個交換機收到一個從TCP/IP工作站上發出來的廣播數據包時，他便會把該數據包傳到所有其他端口去，哪怕有些端口上連的是IPX或DECnet 工作站。這樣一來，非TCP/IP節點的帶寬便會受到負面的影響，就算同樣的TCP/IP節點，如果他們的子網跟發送那個廣播數據包的工作站的子網相同，那麼他們也會無原無故地收到一些與他們毫不相干的網絡廣播，整個網絡的效率因此會大打折扣。從90 年代開始，出現了局域網交換設備。從網絡交換產品的形態來看，交換產品大致有三種：端口交換、幀交換和信元交換。 ^[1] 

端口交換技術最早出現於插槽式集線器中。這類集線器的背板通常劃分有多個以太網段（每個網段為一個廣播域）、各網段通過網橋或路由器相連。以太網模塊插入後通常被分配到某個背板網段上，端口交換適用於將以太模塊的端口在背板的多個網段之間進行分配。這樣網管人員可根據網絡的負載情況，將用户在不同網段之間進行分配。這種交換技術是基於OSI第一層（物理層）上完成的，它並沒有改變共享傳輸介質的特點，因此並不是真正意義上的交換。 ^[1] 

幀交換是應用的最廣的局域網交換技術，它通過對傳統傳輸介質進行分段，提供並行傳送的機制，減少了網絡的碰撞衝突域，從而獲得較高的帶寬。不同廠商產品實現幀交換的技術均有差異，但對網絡幀的處理方式一般有：存儲轉發式和直通式兩種。存儲轉發式（Store-and-Forward) ：當一個數據包以這種技術進入一個交換機時，交換機將讀取足夠的信息，以便不僅能決定哪個端口將被用來發送該數據包，而且還能決定是否發送該數據包。這樣就能有效地排除了那些有缺陷的網絡段。雖然這種方式不及使用直通式產品的交換速度，但是它們卻能排除由破壞的數據包所引起的經常性的有害後果。直通式 (Cut-Through) ：當一個數據包使用這種技術進入一個交換機時，它的地址將被讀取。然後不管該數據包是否為錯誤的格式，它都將被髮送。由於數據包只有開頭幾個字節被讀取，所以這種方法提供了較多的交換次數。然而所有的數據包即使是那些可能已被破壞的都將被髮送。直到接收站才能測出這些被破壞的包，並要求發送方重發。但是如果網絡接口卡失效，或電纜存在缺陷；或有一個能引起數據包遭破壞的外部信號源，則出錯將十分頻繁。隨着技術的發展，直通式交換將逐步被淘汰。在“直通式”交換方式中，交換機只讀出網絡幀的前幾個字節，便將網絡幀傳到相應的端口上，雖然交換速度很快，但缺乏對網絡幀的高級控制，無智能性和安全性可言，同時也無法支持具有不同速率端口的交換；而“存儲轉發”交換方式則通過對網絡幀的讀取進行驗錯和控制。聯想網絡的產品都採用“存儲轉發”交換方式。 ^[1] 

信元交換的基本思想是採用固定長度的信元進行交換，這樣就可以用硬件實現交換，從而大大提高交換速度，尤其適合語音、視頻等多媒體信號的有效傳輸。信元交換的實際應用標準是ATM （異步傳輸模式），但是ATM 設備的造價較為昂貴，在局域網中的應用已經逐步被以太網的幀交換技術所取代。 ^[1] 

當一台交換機安裝配置好之後，其工作過程如下：

對於全交換（full-switch）局域網，交換機每個端口只連接一台設備，因此不會發生碰撞。交換機也不需要做過濾。

第二層的網絡交換機依據第二層的地址傳送網絡幀。第二層的地址又稱硬件地址（MAC 地址），第二層交換機通常提供很高的吞吐量（線速）、低延時（10 微秒左右），每端口的價格比較經濟。第二層的交換機對於路由器和主機是“透明的”，主要遵從802.1d 標準。該標準規定交換機通過觀察每個端口的數據幀獲得源MAC 地址，交換機在內部的高速緩存中創建MAC 地址與端口的映射表。當交換機接受的數據幀的目的地址在該映射表中被查到，交換機便將該數據幀送往對應的端口。如果它查不到，便將該數據幀廣播到該端口所屬虛擬局域網（VLAN ）的所有端口，如果有迴應數據包，交換機便將在映射表中增加新的對應關係。當交換機初次加入網絡中時，由於映射表是空的，所以，所有的數據幀將發往虛擬局域網內的全部端口直到交換機“學習”到各個MAC 地址為止。這樣看來，交換機剛剛啓動時與傳統的共享式集線器作用相似的，直到映射表創建起來後，才能真正發揮它的性能。這種方式改變了共享式以太網搶行的方式，如同在不同的行駛方向上鋪架了立交橋，去往不同方向的車可以同時通行，因此大大提高了流量。從虛擬局域網（VLAN ）角度來看，由於只有子網內部的節點競爭帶寬，所以性能得到提高。主機1 訪問主機2 同時，主機3 可以訪問主機4 。當各個部門具有自己獨立的服務器時，這一優勢更加明顯。但是這種環境正發生巨大的變化，因為服務器趨向於集中管理，另外，這一模式也不適合Internet 的應用。不同虛擬局域網（VLAN ）之間的通訊需要通過路由器來完成，另外為了實現不同的網段之間通訊也需要路由器進行互連。

局域網交換機的引入，使得網絡站點間可獨享帶寬，消除了無謂的碰撞檢測和出錯重發，提高了傳輸效率，在交換機中可並行地維護幾個獨立的、互不影響的通信進程。在交換網絡環境下，用户信息只在源節點與目的節點之間進行傳送，其他節點是不可見的。但有一點例外，當某一節點在網上發送廣播或組播時，或某一節點發送了一個交換機不認識的MAC 地址數據包時，交換機上的所有節點都將收到這一廣播信息。整個交換環境構成一個大的廣播域。點到點是在第二層快速、有效的交換，但廣播風暴會使網絡的效率大打折扣。交換機的速度實在快，比路由器快的多，而且價格便宜的多。可以説，在網絡系統集成的技術中，直接面向用户的第一層接口和第二層交換技術方面已得到令人滿意的答案。交換式局域網技術使專用的帶寬為用户所獨享，極大的提高了局域網傳輸的效率。但第二層交換也暴露出弱點：對廣播風暴、異種網絡互連、安全性控制等不能有效地解決。作為網絡核心、起到網間互連作用的路由器技術卻沒有質的突破。當今絕大部分的企業網都已變成實施TCP/IP 協議的Web 技術的內聯網，用户的數據往往越過本地的網絡在網際間傳送，因而，路由器常常不堪重負。傳統的路由器基於軟件，協議複雜，與局域網速度相比，其數據傳輸的效率較低。但同時它又作為網段(子網，VLAN)互連的樞紐，這就使傳統的路由器技術面臨嚴峻的挑戰。隨着Internet/Intranet 的迅猛發展和B/S(瀏覽器/服務器)計算模式的廣泛應用，跨地域、跨網絡的業務急劇增長，業界和用户深感傳統的路由器在網絡中的瓶頸效應。改進傳統的路由技術迫在眉睫。一種辦法是安裝性能更強的超級路由器，然而，這樣做開銷太大，如果是建設交換網，這種投資顯然是不合理的。 在這種情況下，一種新的路由技術應運而生，這就是第三層交換技術：第三層交換技術也稱為IP 交換技術、高速路由技術等。第三層交換技術是相對於傳統交換概念而提出的。眾所周知，傳統的交換技術是在OSI 網絡標準模型中的第二層—數據鏈路層進行操作的，而第三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。簡單地説，第三層交換技術就是：第二層交換技術+第三層轉發技術。這是一種利用第三層協議中的信息來加強第二層交換功能的機制。一個具有第三層交換功能的設備是一個帶有第三層路由功能的第二層交換機，但它是二者的有機結合，並不是簡單的把路由器設備的硬件及軟件簡單地疊加在局域網交換機上。從硬件的實現上看，第二層交換機的接口模塊都是通過高速背板/總線(速率可高達幾十Gbit/s)交換數據的，在第三層交換機中，與路由器有關的第三層路由硬件模塊也插接在高速背板/總線上，這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數據，從而突破了傳統的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。在軟件方面，第三層交換機也有重大的舉措，它將傳統的基於軟件的路由器軟件進行了界定，其作法是：

1 ．對於數據數據包的轉發：如IP/IPX 數據包的轉發，這些有規律的過程通過硬件得以高速實現。

2 ．對於第三層路由軟件：如路由信息的更新、路由表維護、路由計算、路由的確定等功能，用優化、高效的軟件實現。假設兩個使用IP 協議的站點通過第三層交換機進行通信的過程，發送站點A 在開始發送時，已知目的站的IP 地址，但尚不知道在局域網上發送所需要的MAC 地址。要採用地址解析(ARP)來確定目的站的MAC 地址。發送站把自己的IP 地址與目的站的IP 地址比較，採用其軟件中配置的子網掩碼提取出網絡地址來確定目的站是否與自己在同一子網內。若目的站B 與發送站A 在同一子網內，A 廣播一個ARP 請求，B 返回其MAC 地址，A 得到目的站點B 的MAC 地址後將這一地址緩存起來，並用此MAC 地址數據包轉發數據，第二層交換模塊查找MAC 地址表確定將數據包發向目的端口。若兩個站點不在同一子網內，如發送站A 要與目的站C 通信，發送站A 要向"缺省網關"發出ARP(地址解析)數據包，而"缺省網關"的IP 地址已經在系統軟件中設置。這個IP 地址實際上對應第三層交換機的第三層交換模塊。所以當發送站A 對"缺省網關"的IP 地址廣播出一個ARP 請求時，若第三層交換模塊在以往的通信過程中已得到目的站B 的MAC 地址，則向發送站A 回覆B 的MAC 地址；否則第三層交換模塊根據路由信息向目的站廣播一個ARP 請求，目的站C 得到此ARP 請求後向第三層交換模塊回覆其MAC 地址，第三層交換模塊保存此地址並回復給發送站A 。以後，當再進行A 與C 之間數據包轉發時，將用最終的目的站點的MAC 地址數據包，數據轉發過程全部交給第二層交換處理，信息得以高速交換。

第三層交換具有以下突出特點：

1. 有機的硬件結合使得數據交換加速；

2. 優化的路由軟件使得路由過程效率提高；

3. 除了必要的路由決定過程外，大部分數據轉發過程由第二層交換處理；

4. 多個子網互連時只是與第三層交換模塊的邏輯連接，不象傳統的外接路由器那樣需增加端口，保護了用户的投資。

第三層交換的目標是，只要在源地址和目的地址之間有一條更為直接的第二層通路，就沒有必要經過路由器轉發數據包。第三層交換使用第三層路由協議確定傳送路徑，此路徑可以只用一次，也可以存儲起來，供以後使用。之後數據包通過一條虛電路繞過路由器快速發送。第三層交換技術的出現，解決了局域網中網段劃分之後，網段中子網必須依賴路由器進行管理的局面，解決了傳統路由器低速、複雜所造成的網絡瓶頸問題。當然，三層交換技術並不是網絡交換機與路由器的簡單疊加，而是二者的有機結合，形成一個集成的、完整的解決方案。

傳統的網絡結構對用户應用所造成的限制，正是三層交換技術所要解決的關鍵問題。市場上最高檔路由器的最大處理能力為每秒25 萬個包，而最高檔交換機的最大處理能力則在每秒1000 萬個包以上，二者相差40 倍。在交換網絡中，尤其是大規模的交換網絡，沒有路由功能是不可想象的。然而路由器的處理能力又限制了交換網絡的速度，這就是三層交換所要解決的問題。第三層交換機並沒有象其他二層交換機那樣把廣播數據包擴散，第三層交換機之所以叫三層交換機是因為它們能看得懂第三層的信息，如IP 地址、ARP 等。因此，三層交換機便能洞悉某廣播數據包目的何在，而在沒有把他擴散出去的情形下，滿足了發出該廣播數據包的人的需要，(不管他們在任何子網裏)。如果認為第三層交換機就是路由器，那也應稱作超高速反傳統路由器，因為第三層交換機沒做任何"拆打"數據數據包的工作，所有路過他的數據包都不會被修改並以交換的速度傳到目的地。第三層交換機的成熟還有很長的路，象其它一些新技術一樣，還待進行其協議的標準化工作。很多廠商都宣稱開發出了第三層交換機，但經國際權威機構測試，作法各異且性能表現不同。另外，可能是基於各廠商佔領市場的策略，第三層交換機主要可交換路由IP/IPX 協議，還不能處理其它一些有一定應用領域的專用協議。因此，有關專家認為，第三層交換技術是將來的主要網絡集成技術，傳統的路由器在一段時間內還會得以應用，但它將處於其力所能及的位置，那就是處於網絡的邊緣，去作速度受限的廣域網互聯、安全控制(防火牆)、專用協議的異構網絡互連等。

交換機被廣泛應用於二層網絡交換。中檔的網管型交換機還具有VLAN劃分、端口自動協商、MAC訪問控制列表等功能，並提供命令行界面或圖形界面控制枱，供網絡管理員調整參數

三層交換機則可以處理第三層網絡層協議，用於連接不同網段，通過對缺省網關的查詢學習來創建兩個網段之間的直接連接。

三層交換機具有一定的“路由”功能，但只能用於同一類型的局域網子網之間的互連。這樣，三層交換機可以像二層交換機那樣通過MAC地址標識數據包，也可以像傳統路由器那樣在兩個局域網子網之間進行功能較弱的路由轉發，它的路由轉發不是通過軟件來維護的路由表，而是通過專用的ASIC芯片處理這些轉發；

四層交換機可以處理第四層傳輸層協議，可以將會話與一個具體的IP地址綁定，以實現虛擬IP；

更加智能的交換器，可以充分利用頻寬資源來過濾，識別和處理應用層數據轉換的交換設備。

網絡交換機帶寬分為：10 Mb/s、100 Mb/s、1000 Mb/s、10000 Mb/s（10Gb/s）。

Mb/s換算MB/s：1 Mb/s = 0.126 MB/s。 ^[1] 

交換機與集線器不同之處是，集線器會將網上內某一用户發送的數據包傳至所有已連接到集線器的計算機。而交換機則只會將數據包發送到指定目的地的計算機（透過MAC表），相對上能減少數據碰撞及數據被竊聽的機會。交換機更能將同時傳到的數據包分別處理，而集線器則不能。

最大的不同之處在於:集線器的每一個接口都處於相同的衝突域，而交換機的每個接口處於一個衝突域。在性能方面尤為突出:例如在100Mb/s的以太網絡中有100個用户，使用集線器，每個用户只有1Mb/s（100Mb/s/100），因為Hub是共享式的網絡；而使用交換機，每個接口有100Mb/s，如果有100個接口，總帶寬為100*100Mb/s（最終的帶寬大小取決於輸入接口的帶寬；即如果輸入端口只有10000M，則達到上限前，每個用户都能使用100M帶寬，但一旦所有用户的總需求超過10000M，用户將在相同優先級的原則下進行帶寬分配），因為交換機是獨立式的網絡。 ^[1] 

相比之下，路由器是在OSI 七層網絡模型中的第三層--網絡層操作的，它在網絡中，收到任何一個數據包(包括廣播包在內)，都要將該數據包第二層(數據鏈路層)的信息去掉(稱為"拆包")，查看第三層信息（IP 地址）。然後，根據路由表確定數據包的路由，再檢查安全訪問表；若被通過，則再進行第二層信息的封裝(稱為"打包")，最後將該數據包轉發。如果在路由表中查不到對應MAC 地址的網絡地址，則路由器將向源地址的站點返回一個信息，並把這個數據包丟掉。與交換機相比，路由器顯然能夠提供構成企業網安全控制策略的一系列訪問控制機制。由於路由器對任何數據包都要有一個"拆打"過程，即使是同一源地址向同一目的地址發出的所有數據包，也要重複相同的過程。這導致路由器不可能具有很高的吞吐量，也是路由器成為網絡瓶頸的原因之一。如果路由器的工作僅僅是在子網與子網間、網絡與網絡間交換數據包的話，我們可能會買到比今天便宜得多的路由器。實際上路由器的工作遠不止這些，它還要完成數據包過濾、數據包壓縮、協議轉換、維護路由表、計算路由、甚至防火牆等許多任務作。而所有這些都需要大量CPU 資源，因此使得路由器一方面價格昂貴，另一方面越來越成為網絡瓶頸。 路由器處理能力是有限的，相對於局域網的交換速度來説路由器的數據路由速度也是較緩慢的。路由器的低效率和長時延使之成為整個網絡的瓶頸。虛擬局域網（VLAN ）之間的訪問速度是加快整個網絡速度的關鍵，某些情況下（特別是Intranet ），劃定虛擬局域網本身是一件困難的事情。第三層交換機的目的正在於此，它可以完成Internet 中虛擬局域網（VLAN ）之間的數據包以高速率進行轉發。

“交換”一詞最早出現於電話系統，指兩個不同電話交換機之間語音信號的交換。故從本意上講，交換是完成信號由交換設備入口至出口的轉發的技術的統稱。路由器名稱中的“路由”（router）來自於路由器的轉發策略--路由選擇（routing）。交換機和路由器的區別有但不侷限於以下幾點（這裏的交換機和路由器都是常規型號的）：

雖然三層交換機與路由器都具有路由轉發功能，二者都運行在OSI模型的第三層，即網絡層，但是二者並不等同，適用範圍也不同，不會相互替代。