交換機、路由器和防火牆的原理和區別

在網絡傳輸系統中，交換機、路由器和防火牆是常見的網絡設備，交換機可以啟用局域網內部通信，而路由器將您的網絡接入互聯網，防火牆則可以保護您的網絡，因此這三種設備對於網絡而言是不可或缺的。本文將重點為您介紹交換機、路由器和防火牆的工作原理以及它們之間的區別。

交換機——橋接網絡設備

交換機是一種用於光/電信號轉發的網絡設備，通常工作在數據鏈路層或網絡層（即OSI參考模型的第二層和第三層），支持各種數據包協議。在局域網（LAN）中，交換機類似於城市中的立交橋，它的主要功能是橋接其他網絡設備（路由器、防火牆和無線接入點），並連接客戶端設備（計算機、服務器、網絡攝像機和IP打印機），從而構建局域網，實現所有設備之間的通信。簡而言之，交換機可以為網絡上所有的不同設備提供一個中心連接點。

工作原理

1. 當交換機從其某個端口收到一個數據包時，會先讀取包頭中的源MAC地址（即發送該數據包的設備網卡的MAC地址），將該MAC地址和端口對應起來添加到交換機內存里的地址表中；

2. 然後再讀取包頭中的目的MAC地址，對照內存里的地址表看該MAC地址與哪個端口對應，如果地址表中有該MAC地址的對應端口，則將該數據包直接複製到對應的端口上，如果沒有找到，則將該數據幀作為一個廣播幀發送到所有的端口，對應的MAC地址設備會自動接受該幀數據；

3. 同時，交換機將接受該幀數據的端口與這個目的MAC地址對應起來放入內存中的地址表中。這樣下次再有MAC 地址為這個MAC 地址的幀發送時交換機就可以直接從內存里的地址表中找到對應的轉發端口，直接轉發，不用再泛洪了。

路由器——接入互聯網

路由器是用於連接多個邏輯上分開的網絡，所謂邏輯網絡是代表一個單獨的網絡或者一個子網。當數據從一個子網傳輸到另一個子網時，可通過路由器來完成。路由器具有判斷網絡地址和選擇路徑的功能，它能在多網絡互聯環境中，建立靈活的連接，可用完全不同的數據分組和介質訪問方法連接各種子網，路由器只接受源站或其他路由器的信息，屬網絡層的一種互聯設備。它不關心各子網使用的硬件設備，但要求運行與網絡層協議相一致的軟件。其主要的目的就是為經過路由器的每個數據幀尋找一條最合適的傳輸路徑，並將該數據有效地傳送到目的站點。

工作原理

路由器檢查每個數據包的源IP地址和目的IP地址，並在IP路由表中查找數據包的目的地，再一遍又一遍地將數據包路由到另一個路由器或交換機上，直到到達目的IP地址並作出回應。當有多種方式都可以到達目的IP地址時，路由器可以巧妙地選擇最經濟快捷的方式。當路由表中沒有列出報文的目的地時，報文將被發送到默認路由器（如果有的話），如果數據包沒有目的地，它將被丟棄。

通常情況下，路由器由Internet服務提供商（ISP）提供，並且Internet服務提供商會為您分配一個公共的路由器IP地址。當瀏覽互聯網時，公共的IP地址會被識別為是外界IP地址，而私有IP地址會受到保護。然而，桌面、筆記本電腦、iPad、電視媒體盒和網絡複印機的私有IP地址完全不同，否則，路由器無法識別每個設備的請求。

作用

路由器在不同的網絡之間進行轉換。除了最常用的以太網，還有許多其他不同的網絡，如ATM和令牌環網。網絡會以不同的方法封裝數據，因此它們不能直接通信，而路由器可以從不同的網絡“轉換”這些數據包，以便不同網絡之間能夠更有效地傳輸數據。

路由器可以減少網絡混亂。若沒有路由器，廣播將轉發到每個設備的每個端口，並由每個設備處理。當廣播數量太大時，整個網絡都會比較混亂，這時候路由器將網絡細分為兩個或多個由其連接的較小的網絡，並且不允許廣播在子網之間傳輸。

交換機和路由器的區別

由於三層交換機能夠進行路由，因此有人可能會問如果網絡中有三層交換機，那麼是不是不需要路由器？答案是依然需要路由器。每個設備都有自己的功能，要不要路由器取決於很多因素。一方面，對於具有10-100個用戶的小型網絡，三層交換機的成本過高，而選擇一個合適的路由器就能夠以合理的成本滿足網絡需要。另一方面，您可以在路由器上安裝交換模塊，使其像三層交換機一樣工作。因此，設備的選擇應該考慮可擴展性、軟件功能、硬件性能、應用情況、成本等因素，不能一概而論。

防火牆——保護網絡

防火牆也被稱為防護牆，它是一種位於內部網絡與外部網絡之間的網絡安全系統，可以將內部網絡和外部網絡隔離。通常，防火牆可以保護內部/私有局域網免受外部攻擊，並防止重要數據泄露。在沒有防火牆的情況下，路由器會在內部網絡和外部網絡之間盲目傳遞流量且沒有過濾機制，而防火牆不僅能夠監控流量，還能夠阻止未經授權的流量。

除了將內部局域網與外部Internet隔離之外，防火牆還可以將局域網中的普通數據和重要數據進行分離，所以也可以避免內部入侵。

工作原理

防火牆有硬件防火牆和軟件防火牆這兩種類型，硬件防火牆允許您通過端口的傳輸控制協議（TCP）或用戶數據報協議（UDP）來定義阻塞規則，例如禁止不必要的端口和IP地址的訪問。軟件防火牆就像互連內部網絡和外部網絡的代理服務器，它可以讓內部網絡不直接與外部網絡進行通信，但是很多企業和數據中心會將這兩種類型的防火牆進行組合，主要是因為這樣做可以更加有效地提升網絡的安全性。

如何連接交換機、路由器和防火牆？

通常來說，路由器是局域網的第一步，而內部網絡和路由器之間的防火牆用來過濾非法入，接下來需要連接的是交換機。需要注意的是，許多互聯網提供商現在正在提供光纖服務（FiOS），因此您需要在防火牆之前使用調製解調器將數字信號轉換成可通過以太網銅纜傳輸的電信號。所以典型的連接方式依次是Internet-調製解調器-路由器-防火牆-交換機，然後交換機再連接其他網絡設備。

結論

不管是交換機，路由器還是防火牆，這些網絡設備的功能實現都需要網絡工程師預先對設備進行配置（比如VLAN虛擬網端口的劃分，防火牆安全策略的配置，路由器默認網關的設定等），充分認識交換機、路由器和防火牆之間的不同將有助於您找到更適用於自身網絡的設備。希望通過本文對交換機、路由器和防火牆的介紹，您能更加清它們之間之間的區別，從而選出合適的設備用於網絡部署。

相關推薦：集線器、交換機和路由器之間有何不同？