交换机、路由器、三层交换、防火墙个人总结

一：先说交换机，交换机工作在网络模型的二层上，识别的是MAC地址，根据MAC和端口对照表进行转发，我们用的最多中小型设备，仅有交换机的情况下A（192.168.0.1/24）和B（192.168.1.1/24）这两个IP地址是不能通讯的。

二：路由器，路由器工作在网络模型的三层上，识别的是IP地址，根据IP地址进行转发，所以要求路由器至少有两个端口才能实现转发，特别提出的是路由器的转发效率比交换机低的多。比如上个问题路由器的两个接口分别是192.168.0.2/24和192.168.1.2/24这样情况下A和B接对应的端口就能通过路由器进行通讯。

    上边那段话看完你估计会很纳闷，因为你见到的路由器都是只有一个WAN口和多个LAN口，我这里解释是你能能够见到的路由器都属于“接入级”的路由器，可以说是最终用户的路由器，显著特点是使用NAT功能把一个公网地址共享给多个内网用户使用。

   

    既然提到NAT我就多说几点，假设使用ADSL拨号上网，网线接路由器WAN口，然后路由器LAN口接A和B两台电脑，那么常见的网络地址就是WAN口：公网地址比如（208.81.166.94），路由器LAN口：192.168.1.1（也是电脑A和B的默认网关），电脑A和B的电脑分别192.168.1.101和192.168.1.102。

    当A或B访问互联网时怎么工作？A把数据发给路由器的LAN口，路由器拆解IP包，把源地址替换为路由器自己的公网地址，然后通过自己的WAN口发给目的地址，目的地址服务器收到数据包进行答复，把数据包发给路由器的公网地址，路由器通过WAN口接收到数据包后，查看数据包包头信息得知是替A发出的请求，通过路由器LAN口把数据包发给A。

   

    整个过程中A的发送信息被替代为了路由器的信息，所以被访问公网的服务器并不知道A的存在，被访问的公网服务器和A直接并不是一个直接访问，属于一种“代理”的行为，关于代理上次也简单的做过介绍，你可以回忆一下或者重新看一次。

    解释完NAT和小型路由器，那我们回到大型路由器，上次介绍IP地址，你也知道网络中有许多网段，那不同的网段之间怎么通讯，就是通过路由器来通讯的，看我下边这个图片。

    你可以使用tracert的命令追踪到某个地址的路由，比如我使用的tracert  www.baidu.com，第一跳是到达我的默认网关172.17.35.253，第二跳是默认网关（三层交换）给防火墙172.17.0.53，第三跳给我们防火墙的默认网关（保密避免受到攻击），第四跳是电信通内部跳转，第五六七跳就是大型路由器之间的跳转，八九十追踪超时（在这互联网中很正常），第十一跳到达目的地址百度的主机119.75.218.77.

    路由器我说过一般都有多个接口，连接了不同的网段，然后有个规则叫做“默认路由”就是说当路由器发现某个数据包的目的网段不是自己任何一个接口的网段的时候，就会通过“默认路由”中定义的接口发出去，让下一个路由器接着来路由。

    那么存在两种好玩的事，第一：始终找到不到目的地址，这个IP数据包被转发了很多次，过了很多路由但是就是没有一个路由器在这个网段或者连接着目的地址，那个数据包怎么处理？答案是丢弃掉，为了避免资源的浪费，路由器每转发一次就在数据包里的TTL-1，当到达某个数值的时候路由器就丢弃该数据包，不同的路由器设置的值可能不同，你就知道跳转的次数多就会被丢弃这就行了；第二种有趣的事是这样的，当路由器A的默认路由器是B，B的默认路由器是C，C的默认路由是A的时候，那就会无限循环了，所以必须有前边提到的TTL值才能避免数据被无意义的循环下去。

    一般的网络中都用不到这些大型的路由器，只有在骨干网里才会用到，即使是个大型的企业网，比如我们公司，也会选择用三层交换机代替路由器，效率更高，成本更低，接着我就介绍三层交换。

三：三层交换。前面提到交换机是二层，路由器是三层，这里怎么有个三层交换机呢？就是说把交换机增加了一个路由模块，让交换机也可以转发不同的网段之间的数据，但是我提到过，路由的效率不高企业内部的数据交换量很大这怎么解决呢，办法就是三层交换机的首次路由，以后交换的功能。

    就是说三层交换机收到一个数据请求，如果是跨网段的（问题一里边A和B），那么就会去查询自己内部的对照表，如果无记录就用路由模块路由过去，等以后再A和B再有数据通讯就直接使用二层交换功能进行转发，这样效率就非常的高，速度非常的快。

    具体实现的技术细节我们不需要知道，明白是这样的工作原理就可以了，所以在大型的企业局域网中，大量的使用着三层交换技术。

  

    对了，为啥要用三层交换技术，比如为了避免广播风暴，把不同的部门划入不同的网段，为了做访问控制把不同部门划入不同的网段，三层交换还可以做访问控制列表，来允许或者拒绝某些网段之间的访问。

四：防火墙：防火墙可以是软件也可以是硬件，简单来说就是利用规则来允许或者阻止某些行为，根据防火墙的功能可以是针对网络模型网络层的防火墙，匹配IP地址、MAC地址、端口号等；也可以是传输层的来匹配传输层协议，比如TCP协议、UDP协议；再高级的话也可以匹配应用层的应用程序，比如可以让QQ可以登陆，但是不允许QQ传输文件，允许单线程下载不允许BT和电驴下载，不过到了这么高端的对内控制上网的功能一般也都叫“上网行为控制”了，传统来说防火墙更多的是来防从外至内的数据，最高端的算是行为检测了，根据网络层、传输层、应用层综合判定看这些行为是否有风险，是否进行拦截。

    最基本的网络层的防火墙很容易实现，低端的家用路由器都具有这些功能，至于带智能行为检测的可能就需要上万元或者数万元的价格才能买的起。

    防火墙一般都架设在网络出口（入口）那里，比如我在第三点里边的，我们的172.17.0.53就是我们防火墙，所有的数据需要经过防火墙才能进出。