交换机、路由器和防火墙的原理和区别

在网络传输系统中，交换机、路由器和防火墙是常见的网络设备，交换机可以启用局域网内部通信，而路由器将您的网络接入互联网，防火墙则可以保护您的网络，因此这三种设备对于网络而言是不可或缺的。本文将重点为您介绍交换机、路由器和防火墙的工作原理以及它们之间的区别。

交换机——桥接网络设备

交换机是一种用于光/电信号转发的网络设备，通常工作在数据链路层或网络层（即OSI参考模型的第二层和第三层），支持各种数据包协议。在局域网（LAN）中，交换机类似于城市中的立交桥，它的主要功能是桥接其他网络设备（路由器、防火墙和无线接入点），并连接客户端设备（计算机、服务器、网络摄像机和IP打印机），从而构建局域网，实现所有设备之间的通信。简而言之，交换机可以为网络上所有的不同设备提供一个中心连接点。

工作原理

1. 当交换机从其某个端口收到一个数据包时，会先读取包头中的源MAC地址（即发送该数据包的设备网卡的MAC地址），将该MAC地址和端口对应起来添加到交换机内存里的地址表中；

2. 然后再读取包头中的目的MAC地址，对照内存里的地址表看该MAC地址与哪个端口对应，如果地址表中有该MAC地址的对应端口，则将该数据包直接复制到对应的端口上，如果没有找到，则将该数据帧作为一个广播帧发送到所有的端口，对应的MAC地址设备会自动接受该帧数据；

3. 同时，交换机将接受该帧数据的端口与这个目的MAC地址对应起来放入内存中的地址表中。这样下次再有MAC 地址为这个MAC 地址的帧发送时交换机就可以直接从内存里的地址表中找到对应的转发端口，直接转发，不用再泛洪了。

路由器——接入互联网

路由器是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来完成。路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源站或其他路由器的信息，属网络层的一种互联设备。它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。其主要的目的就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。

工作原理

路由器检查每个数据包的源IP地址和目的IP地址，并在IP路由表中查找数据包的目的地，再一遍又一遍地将数据包路由到另一个路由器或交换机上，直到到达目的IP地址并作出回应。当有多种方式都可以到达目的IP地址时，路由器可以巧妙地选择最经济快捷的方式。当路由表中没有列出报文的目的地时，报文将被发送到默认路由器（如果有的话），如果数据包没有目的地，它将被丢弃。

通常情况下，路由器由Internet服务提供商（ISP）提供，并且Internet服务提供商会为您分配一个公共的路由器IP地址。当浏览互联网时，公共的IP地址会被识别为是外界IP地址，而私有IP地址会受到保护。然而，桌面、笔记本电脑、iPad、电视媒体盒和网络复印机的私有IP地址完全不同，否则，路由器无法识别每个设备的请求。

作用

路由器在不同的网络之间进行转换。除了最常用的以太网，还有许多其他不同的网络，如ATM和令牌环网。网络会以不同的方法封装数据，因此它们不能直接通信，而路由器可以从不同的网络“转换”这些数据包，以便不同网络之间能够更有效地传输数据。

路由器可以减少网络混乱。若没有路由器，广播将转发到每个设备的每个端口，并由每个设备处理。当广播数量太大时，整个网络都会比较混乱，这时候路由器将网络细分为两个或多个由其连接的较小的网络，并且不允许广播在子网之间传输。

交换机和路由器的区别

由于三层交换机能够进行路由，因此有人可能会问如果网络中有三层交换机，那么是不是不需要路由器？答案是依然需要路由器。每个设备都有自己的功能，要不要路由器取决于很多因素。一方面，对于具有10-100个用户的小型网络，三层交换机的成本过高，而选择一个合适的路由器就能够以合理的成本满足网络需要。另一方面，您可以在路由器上安装交换模块，使其像三层交换机一样工作。因此，设备的选择应该考虑可扩展性、软件功能、硬件性能、应用情况、成本等因素，不能一概而论。

防火墙——保护网络

防火墙也被称为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。通常，防火墙可以保护内部/私有局域网免受外部攻击，并防止重要数据泄露。在没有防火墙的情况下，路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制，而防火墙不仅能够监控流量，还能够阻止未经授权的流量。

除了将内部局域网与外部Internet隔离之外，防火墙还可以将局域网中的普通数据和重要数据进行分离，所以也可以避免内部入侵。

工作原理

防火墙有硬件防火墙和软件防火墙这两种类型，硬件防火墙允许您通过端口的传输控制协议（TCP）或用户数据报协议（UDP）来定义阻塞规则，例如禁止不必要的端口和IP地址的访问。软件防火墙就像互连内部网络和外部网络的代理服务器，它可以让内部网络不直接与外部网络进行通信，但是很多企业和数据中心会将这两种类型的防火墙进行组合，主要是因为这样做可以更加有效地提升网络的安全性。

如何连接交换机、路由器和防火墙？

通常来说，路由器是局域网的第一步，而内部网络和路由器之间的防火墙用来过滤非法入，接下来需要连接的是交换机。需要注意的是，许多互联网提供商现在正在提供光纤服务（FiOS），因此您需要在防火墙之前使用调制解调器将数字信号转换成可通过以太网铜缆传输的电信号。所以典型的连接方式依次是Internet-调制解调器-路由器-防火墙-交换机，然后交换机再连接其他网络设备。

结论

不管是交换机，路由器还是防火墙，这些网络设备的功能实现都需要网络工程师预先对设备进行配置（比如VLAN虚拟网端口的划分，防火墙安全策略的配置，路由器默认网关的设定等），充分认识交换机、路由器和防火墙之间的不同将有助于您找到更适用于自身网络的设备。希望通过本文对交换机、路由器和防火墙的介绍，您能更加清它们之间之间的区别，从而选出合适的设备用于网络部署。

相关推荐：集线器、交换机和路由器之间有何不同？