包過濾路由器又稱為
⑴ 靜態包過濾技術主要用在什麼樣的網路路由器上
路由器
要解釋路由器的概念,首先要介紹什麼是路由。所謂「路由」,是指把數據從一個地方傳送到另一個地方的行為和動作,而路由器,正是執行這種行為動作的機器,它的英文名稱為Router。
簡單的講,路由器主要有以下幾種功能:
第一,網路互連,路由器支持各種區域網和廣域網介面,主要用於互連區域網和廣域網,實現不同網路互相通信;
第二,數據處理,提供包括分組過濾、分組轉發、優先順序、復用、加密、壓縮和防火牆等功能;
第三,網路管理,路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。
為了完成「路由」的工作,在路由器中保存著各種傳輸路徑的相關數據--路由表(Routing Table),供路由選擇時使用。路由表中保存著子網的標志信息、網上路由器的個數和下一個路由器的名字等內容。路由表可以是由系統管理員固定設置好的,也可以由系統動態修改,可以由路由器自動調整,也可以由主機控制。在路由器中涉及到兩個有關地址的名字概念,那就是:靜態路由表和動態路由表。由系統管理員事先設置好固定的路由表稱之為靜態(static)路由表,一般是在系統安裝時就根據網路的配置情況預先設定的,它不會隨未來網路結構的改變而改變。動態(Dynamic)路由表是路由器根據網路系統的運行情況而自動調整的路由表。路由器根據路由選擇協議(Routing Protocol)提供的功能,自動學習和記憶網路運行情況,在需要時自動計算數據傳輸的最佳路徑。
為了簡單地說明路由器的工作原理,現在我們假設有這樣一個簡單的網路。如圖所示,A、B、C、D四個網路通過路由器連接在一起。
現在我們來看一下在如圖所示網路環境下路由器又是如何發揮其路由、數據轉發作用的。現假設網路A中一個用戶A1要向C網路中的C3用戶發送一個請求信號時,信號傳遞的步驟如下:
第1步:用戶A1將目的用戶C3的地址C3,連同數據信息以數據幀的形式通過集線器或交換機以廣播的形式發送給同一網路中的所有節點,當路由器A5埠偵聽到這個地址後,分析得知所發目的節點不是本網段的,需要路由轉發,就把數據幀接收下來。
第2步:路由器A5埠接收到用戶A1的數據幀後,先從報頭中取出目的用戶C3的IP地址,並根據路由表計算出發往用戶C3的最佳路徑。因為從分析得知到C3的網路ID號與路由器的C5網路ID號相同,所以由路由器的A5埠直接發向路由器的C5埠應是信號傳遞的最佳途經。
第3步:路由器的C5埠再次取出目的用戶C3的IP地址,找出C3的IP地址中的主機ID號,如果在網路中有交換機則可先發給交換機,由交換機根據MAC地址表找出具體的網路節點位置;如果沒有交換機設備則根據其IP地址中的主機ID直接把數據幀發送給用戶C3,這樣一個完整的數據通信轉發過程也完成了。
從上面可以看出,不管網路有多麼復雜,路由器其實所作的工作就是這么幾步,所以整個路由器的工作原理基本都差不多。當然在實際的網路中還遠比上圖所示的要復雜許多,實際的步驟也不會像上述那麼簡單,但總的過程是這樣的。
增加路由器涉及的基本協議
路由器英文名稱為Router,是一種用於連接多個網路或網段的網路設備。這些網路可以是幾個使用不同協議和體系結構的網路(比如互聯網與區域網),可以是幾個不同網段的網路(比如大型互聯網中不同部門的網路),當數據信息從一個部門網路傳輸到另外一個部門網路時,可以用路由器完成。現在,家庭區域網也越來越多地採用路由器寬頻共享的方式上網。
路由器在連接不同網路或網段時,可以對這些網路之間的數據信息進行「翻譯」,然後「翻譯」成雙方都能「讀」懂的數據,這樣就可以實現不同網路或網段間的互聯互通。同時,它還具有判斷網路地址和選擇路徑的功能以及過濾和分隔網路信息流的功能。目前,路由器已成為各種骨幹網路內部之間、骨幹網之間以及骨幹網和互聯網之間連接的樞紐。
NAT:全稱Network Address Translation(網路地址轉換),路由器通過NAT功能可以將區域網內部的IP地址轉換為合法的IP地址並進行Internet的訪問。比如,區域網內部有個IP地址為192.168.0.1的計算機,當然通過該IP地址可以和內網其他的計算機通信;但是如果該計算機要訪問外部Internet網路,那麼就需要通過NAT功能將192.168.0.1轉換為合法的廣域網IP地址,比如210.113.25.100。
DHCP:全稱Dynamic Host Configuration Protocol(動態主機配置協議),通過DHCP功能,路由器可以為網路內的主機動態指定IP地址,而不需要每個用戶去設置靜態IP地址,並將TCP/IP配置參數分發給區域網內合法的網路客戶端。
DDNS:全稱Dynamic Domain Name Server(動態域名解析系統),通常稱為「動態DNS」,因為對於普通的寬頻上網使用的都是ISP(網路服務商)提供的動態IP地址。如果在區域網內建立了某個伺服器需要Internet用戶進行訪問,那麼,可以通過路由器的DDNS功能將動態IP地址解析為一個固定的域名,比如www.cpcw.com,這樣Internet用戶就可以通過該固定域名對內網伺服器進行訪問。
PPPoE:全稱PPP over Ethernet(乙太網上的點對點協議),通過PPPoE技術,可以讓寬頻數據機(比如ADSL Modem)用戶獲得寬頻網的個人身份驗證訪問,能為每個用戶創建虛擬撥號連接,這樣就可以高速連接到Internet。路由器具備該功能,可以實現PPPoE的自動撥號連接,這樣與路由器連接的用戶可以自動連接到Internet。
ICMP:全稱Internet Control Message Protocol(Internet控制消息協議),該協議是TCP/IP協議集中的一個子協議,主要用於在主機與路由器之間傳遞控制信息,包括報告錯誤、交換受限控制和狀態信息等。
總的來說,路由器與交換機的主要區別體現在以下幾個方面:
(1)工作層次不同
最初的的交換機是工作在OSI/RM開放體系結構的數據鏈路層,也就是第二層,而路由器一開始就設計工作在OSI模型的網路層。由於交換機工作在OSI的第二層(數據鏈路層),所以它的工作原理比較簡單,而路由器工作在OSI的第三層(網路層),可以得到更多的協議信息,路由器可以做出更加智能的轉發決策。
(2)數據轉發所依據的對象不同
交換機是利用物理地址或者說MAC地址來確定轉發數據的目的地址。而路由器則是利用不同網路的ID號(即IP地址)來確定數據轉發的地址。IP地址是在軟體中實現的,描述的是設備所在的網路,有時這些第三層的地址也稱為協議地址或者網路地址。MAC地址通常是硬體自帶的,由網卡生產商來分配的,而且已經固化到了網卡中去,一般來說是不可更改的。而IP地址則通常由網路管理員或系統自動分配。
(3)傳統的交換機只能分割沖突域,不能分割廣播域;而路由器可以分割廣播域
由交換機連接的網段仍屬於同一個廣播域,廣播數據包會在交換機連接的所有網段上傳播,在某些情況下會導致通信擁擠和安全漏洞。連接到路由器上的網段會被分配成不同的廣播域,廣播數據不會穿過路由器。雖然第三層以上交換機具有VLAN功能,也可以分割廣播域,但是各子廣播域之間是不能通信交流的,它們之間的交流仍然需要路由器。
(4)路由器提供了防火牆的服務
路由器僅僅轉發特定地址的數據包,不傳送不支持路由協議的數據包傳送和未知目標網路數據包的傳送,從而可以防止廣播風暴。
交換機一般用於LAN-WAN的連接,交換機歸於網橋,是數據鏈路層的設備,有些交換機也可實現第三層的交換。 路由器用於WAN-WAN之間的連接,可以解決異性網路之間轉發分組,作用於網路層。他們只是從一條線路上接受輸入分組,然後向另一條線路轉發。這兩條線路可能分屬於不同的網路,並採用不同協議。相比較而言,路由器的功能較交換機要強大,但速度相對也慢,價格昂貴,第三層交換機既有交換機線速轉發報文能力,又有路由器良好的控制功能,因此得以廣泛應用。
目前個人比較多寬頻接入方式就是ADSL,因此筆者就ADSL的接入來簡單的說明一下。現在購買的ADSL貓大多具有路由功能(很多的時候廠家在出廠時將路由功能屏蔽了,因為電信安裝時大多是不啟用路由功能的,啟用DHCP。打開ADSL的路由功能),如果個人上網或少數幾台通過ADSL本身就可以了,如果電腦比較多你只需要再購買一個或多個集線器或者交換機。考慮到如今集線器與交換機的 價格相差十分小,不是特殊的原因,請購買一個交換機。不必去追求高價,因為如今產品同質化十分嚴重,我最便宜的交換機現在沒有任 何問題。給你一個參考報價,建議你購買一個8口的,以滿足擴充需求,一般的價格100元左右。接上交換機,所有電腦再接到交換機上就行了。餘下所要做的事情就只有把各個機器的網線插入交換機的介面,將貓的網線插入uplink介面。然後設置路由功能,DHCP等, 就可以共享上網了。
看完以上的解說讀者應該對交換機、集線器、路由器有了一些了解,目前的使用主要還是以交換機、路由器的組合使用為主,具體的組合方式可根據具體的網路情況和需求來確定。
路由器是互聯網路中必不可少的網路設備之一,路由器是一種連接多個網路或網段的網路設備,它能將不同網路或網段之間的數據信息進行「翻譯」,以使它們能夠相互「讀」懂對方的數據,從而構成一個更大的網路。 路由器有兩大典型功能,即數據通道功能和控制功能。數據通道功能包括轉發決定、背板轉發以及輸出鏈路調度等,一般由特定的硬體來完成;控制功能一般用軟體來實現,包括與相鄰路由器之間的信息交換、系統配置、系統管理等。
⑵ 路由器如何進行數據包過濾
數據包是TCP/IP協議通信傳輸中的數據單位,區域網中傳輸的不是「幀」嗎?
但是TCP/IP協議是工作在OSI模型第三層(網路層)、第四層(傳輸層)上的,而幀是工作在第二層(數據鏈路層)。
上一層的內容由下一層的內容來傳輸,所以在區域網中,「包」是包含在「幀」里的。
一、數據包過濾有時也稱為靜態數據包過濾,它通過分析傳入和傳出的數據包以及根據既定標准傳遞或阻止數據包來控制對網路的訪問,當路由器根據過濾規則轉發或拒絕數據包時,它便充當了一種數據包過濾器。
當數據包到達過濾數據包的路由器時,路由器會從數據包報頭中提取某些信息,根據過濾規則決定該數據包是應該通過還是應該丟棄。數據包過濾工作在開放式系統互聯 (OSI) 模型的網路層,或是 TCP/IP 的 Internet 層。
二、作為第3層設備,數據包過濾路由器根據源和目的 IP 地址、源埠和目的埠以及數據包的協議,利用規則來決定是應該允許還是拒絕流量。這些規則是使用訪問控制列表 (ACL) 定義的。
三、相信您還記得,ACL 是一系列 permit 或 deny 語句組成的順序列表,應用於 IP 地址或上層協議。ACL 可以從數據包報頭中提取以下信息,根據規則進行測試,然後決定是「允許」還是「拒絕」。
四、簡單的說,你上網打開網頁,這個簡單的動作,就是你先發送數據包給網站,它接收到了之後,根據你發送的數據包的IP地址,返回給你網頁的數據包,也就是說,網頁的瀏覽,實際上就是數據包的交換。
1、數據鏈路層對數據幀的長度都有一個限制,也就是鏈路層所能承受的最大數據長度,這個值稱為最大傳輸單元,即MTU。以乙太網為例,這個值通常是1500位元組。
2、對於IP數據包來講,也有一個長度,在IP包頭中,以16位來描述IP包的長度。一個IP包,最長可能是65535位元組。
3、結合以上兩個概念,第一個重要的結論就出來了,如果IP包的大小,超過了MTU值,那麼就需要分片,也就是把一個IP包分為多個。
數據包的結構與我們平常寫信非常類似,目的IP地址是說明這個數據包是要發給誰的,相當於收信人地址;
源IP地址是說明這個數據包是發自哪裡的,相當於發信人地址,而凈載數據相當於信件的內容,正是因為數據包具有這樣的結構,安裝了TCP/IP協議的計算機之間才能相互通信。
在使用基於TCP/IP協議的網路時,網路中其實傳遞的就是數據包。
⑶ 什麼是網關
網關(Gateway)又稱網間連接器、協議轉換器。網關在網路層以上實回現網路互連,是復雜的網路互連設答備,僅用於兩個高層協議不同的網路互連。網關既可以用於廣域網互連,也可以用於區域網互連。 網關是一種充當轉換重任的計算機系統或設備。
使用在不同的通信協議、數據格式或語言,甚至體系結構完全不同的兩種系統之間,網關是一個翻譯器。與網橋只是簡單地傳達信息不同,網關對收到的信息要重新打包,以適應目的系統的需求。
(3)包過濾路由器又稱為擴展閱讀:
預設網關在TCP網路中扮演重要的角色,它通常是一個路由器,在TCP網路上可以轉發數據包到其他網路,可以為網路上的TCP主機提供同遠程網路上其他主機通信時所使用的默認路由。
預設網關/預設路由器 Default Gateway/Default Router這些術語具有二層意義,具體含義取決於設備功能。
在兩種情況下,詞「路由器」和「網關」是等價的。對於IP主機,預設路由器/網關是主機用於向主機廣播域之外傳輸數據報所使用的IP路由器的地址。對於IP路由器,預設路由器/網關是在不知道其他路由器時數據報應該轉發到的路由器的IP地址,網關目前被認為是應用層協議轉換設備。
⑷ 具備包過濾功能的路由器可以作為( )。
A 硬體防火牆
這有什麼解釋的啊,過濾非法包不就是防火牆的功能嗎
⑸ 有關包過濾路由器的問題
1.初步分析,你的路抄由器襲上至少有3個介面,介面1為企業內部介面,介面2為企業外部介面,介面3為廣域網介面。
2.訪問控制如果是按照訪問控制列表來做,並且嚴格的寫了控制條目的話,就涉及到應用的問題,首先你說的「除了目的地址=主機A且TCP目的埠號=80的數據包,禁止轉發從Internet到來的所以數據包」應該做在介面2上,如果做在3上,寫法就不同了,而「同時,允許轉發所有從企業內部網發出的數據包」應該做在介面1上,如果在2上無意義,在3上的話寫法也不一樣。那麼你要做的就是在這2個埠上應用訪問控制列表,如果是,可以達到預期目的。
3.我給你些建議:
3.1 你需要允許內網到公網所有的應用,那麼你在埠1上應用一條只允許內網網段訪問公網地址的控制列表即可,因為訪問列表默認會拒絕你沒有應用的所有數據
3.2 你需要外部網路訪問主機A的WWW服務,那麼你在埠2上應用一條只允許外網網段訪問到主機A的WWW流量的控制列表即可。
⑹ 簡述包過濾路由器防火牆的基本工作原理。
包過濾路由器防抄火牆是將過濾器安裝在襲路由器上或包過濾軟體安裝在PC機上的防火牆。它工作在網路層(IP),並對每個進入的IP分組使用一個規則集合。包過濾規則是基於所收到的數據包的源地址、目的地址、TCP/UDP、源埠號及目的埠號、分組出入介面、協議類型和數據包中的各種標志位等參數,與管理者預定的訪問控製表(擬定一個提供接收和服務對象的清單,一個不接受訪問或服務對象的清單)進行比較,按所定安全政策允許或拒絕訪問,決定數據是否符合預先制定的安全策略,決定數據分組的轉發或丟棄,即實施信息過濾。
⑺ 什麼叫包過濾技術
基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其專技術原理在於屬加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。
⑻ 包過濾路由器的優點有哪些
(1)簡單實用。
(2)速度快、效率高。
(3)對用戶和應用來講是透明的。
例子自己想吧
⑼ 什麼是網關,網關有什麼作用
網關(Gateway)又稱網間連接器、協議轉換器。網關在網路層以上實現網路互連,是復雜專的網屬絡互連設備,僅用於兩個高層協議不同的網路互連。
網關既可以用於廣域網互連,也可以用於區域網互連。 網關是一種充當轉換重任的計算機系統或設備。使用在不同的通信協議、數據格式或語言,甚至體系結構完全不同的兩種系統之間,網關是一個翻譯器。與網橋只是簡單地傳達信息不同,網關對收到的信息要重新打包,以適應目的系統的需求。
(9)包過濾路由器又稱為擴展閱讀
要實現這兩個網路之間的通信,則必須通過網關。如果網路A中的主機發現數據包的目的主機不在本地網路中,就把數據包轉發給它自己的網關,再由網關轉發給網路B的網關,網路B的網關再轉發給網路B的某個主機。
在和 Novell NetWare 網路交互操作的上下文中,網關在 Windows 網路中使用的伺服器信息塊 (SMB) 協議以及NetWare網路使用的 NetWare 核心協議 (NCP) 之間起著橋梁的作用。網關也被稱為 IP路由器。
⑽ 請問交換機的支持L2(Layer 2)~L4(Layer 4)包過濾功能,具體值得是哪些內容啊
計算機網路往往由許多種不同類型的網路互連連接而成。如果幾個計算機網路只是在物理上連接在一起,它們之間並不能進行通信,那麼這種「互連」並沒有什麼實際意義。因此通常在談到「互連」時,就已經暗示這些相互連接的計算機是可以進行通信的,也就是說,從功能上和邏輯上看,這些計算機網路已經組成了一個大型的計算機網路,或稱為互聯網路,也可簡稱為互聯網、互連網。將網路互相連接起來要使用一些中間設備(或中間系統),ISO的術語稱之為中繼(relay)系統。根據中繼系統所在的層次,可以有以下五種中繼系統:1.物理層(即常說的第一層、層L1)中繼系統,即轉發器(repeater)。2.數據鏈路層(即第二層,層L2),即網橋或橋接器(bridge)。3.網路層(第三層,層L3)中繼系統,即路由器(router)。4.網橋和路由器的混合物橋路器(brouter)兼有網橋和路由器的功能。5.在網路層以上的中繼系統,即網關(gateway).當中繼系統是轉發器時,一般不稱之為網路互聯,因為這僅僅是把一個網路擴大了,而這仍然是一個網路。高層網關由於比較復雜,目前使用得較少。因此一般討論網路互連時都是指用交換機和路由器進行互聯的網路。本文主要闡述交換機和路由器及其區別。交換機和路由器「交換」是今天網路里出現頻率最高的一個詞,從橋接到路由到ATM直至電話系統,無論何種場合都可將其套用,搞不清到底什麼才是真正的交換。其實交換一詞最早出現於電話系統,特指實現兩個不同電話機之間話音信號的交換,完成該工作的設備就是電話交換機。所以從本意上來講,交換只是一種技術概念,即完成信號由設備入口到出口的轉發。因此,只要是和符合該定義的所有設備都可被稱為交換設備。由此可見,「交換」是一個涵義廣泛的詞語,當它被用來描述數據網路第二層的設備時,實際指的是一個橋接設備;而當它被用來描述數據網路第三層的設備時,又指的是一個路由設備。我們經常說到的乙太網交換機實際是一個基於網橋技術的多埠第二層網路設備,它為數據幀從一個埠到另一個任意埠的轉發提供了低時延、低開銷的通路。由此可見,交換機內部核心處應該有一個交換矩陣,為任意兩埠間的通信提供通路,或是一個快速交換匯流排,以使由任意埠接收的數據幀從其他埠送出。在實際設備中,交換矩陣的功能往往由專門的晶元(ASIC)完成。另外,乙太網交換機在設計思想上有一個重要的假設,即交換核心的速度非常之快,以致通常的大流量數據不會使其產生擁塞,換句話說,交換的能力相對於所傳信息量而無窮大(與此相反,ATM交換機在設計上的思路是,認為交換的能力相對所傳信息量而言有限)。雖然乙太網第二層交換機是基於多埠網橋發展而來,但畢竟交換有其更豐富的特性,使之不但是獲得帶寬的最好途徑,而且還使網路更易管理。而路由器是OSI協議模型的網路層中的分組交換設備(或網路層中繼設備),路由器的基本功能是把數據(IP報文)傳送到正確的網路,包括:1.IP數據報的轉發,包括數據報的尋徑和傳送;2.子網隔離,抑制廣播風暴;3.維護路由表,並與其他路由器交換路由信息,這是IP報文轉發的基礎。4.IP數據報的差錯處理及簡單的擁塞控制;5.實現對IP數據報的過濾和記帳。對於不同地規模的網路,路由器的作用的側重點有所不同。在主幹網上,路由器的主要作用是路由選擇。主幹網上的路由器,必須知道到達所有下層網路的路徑。這需要維護龐大的路由表,並對連接狀態的變化作出盡可能迅速的反應。路由器的故障將會導致嚴重的信息傳輸問題。在地區網中,路由器的主要作用是網路連接和路由選擇,即連接下層各個基層網路單位--園區網,同時負責下層網路之間的數據轉發。在園區網內部,路由器的主要作用是分隔子網。早期的互連網基層單位是區域網(LAN),其中所有主機處於同一邏輯網路中。隨著網路規模的不斷擴大,區域網演變成以高速主幹和路由器連接的多個子網所組成的園區網。在其中,處個子網在邏輯上獨立,而路由器就是唯一能夠分隔它們的設備,它負責子網間的報文轉發和廣播隔離,在邊界上的路由器則負責與上層網路的連接。第二層交換機和路由器的區別傳統交換機從網橋發展而來,屬於OSI第二層即數據鏈路層設備。它根據MAC地址定址,通過站表選擇路由,站表的建立和維護由交換機自動進行。路由器屬於OSI第三層即網路層設備,它根據IP地址進行定址,通過路由表路由協議產生。交換機最大的好處是快速,由於交換機只須識別幀中MAC地址,直接根據MAC地址產生選擇轉發埠演算法簡單,便於ASIC實現,因此轉發速度極高。但交換機的工作機制也帶來一些問題。1.迴路:根據交換機地址學習和站表建立演算法,交換機之間不允許存在迴路。一旦存在迴路,必須啟動生成樹演算法,阻塞掉產生迴路的埠。而路由器的路由協議沒有這個問題,路由器之間可以有多條通路來平衡負載,提高可靠性。2.負載集中:交換機之間只能有一條通路,使得信息集中在一條通信鏈路上,不能進行動態分配,以平衡負載。而路由器的路由協議演算法可以避免這一點,OSPF路由協議演算法不但能產生多條路由,而且能為不同的網路應用選擇各自不同的最佳路由。3.廣播控制:交換機只能縮小沖突域,而不能縮小廣播域。整個交換式網路就是一個大的廣播域,廣播報文散到整個交換式網路。而路由器可以隔離廣播域,廣播報文不能通過路由器繼續進行廣播。4.子網劃分:交換機只能識別MAC地址。MAC地址是物理地址,而且採用平坦的地址結構,因此不能根據MAC地址來劃分子網。而路由器識別IP地址,IP地址由網路管理員分配,是邏輯地址且IP地址具有層次結構,被劃分成網路號和主機號,可以非常方便地用於劃分子網,路由器的主要功能就是用於連接不同的網路。5.保密問題:雖說交換機也可以根據幀的源MAC地址、目的MAC地址和其他幀中內容對幀實施過濾,但路由器根據報文的源IP地址、目的IP地址、TCP埠地址等內容對報文實施過濾,更加直觀方便。6.介質相關:交換機作為橋接設備也能完成不同鏈路層和物理層之間的轉換,但這種轉換過程比較復雜,不適合ASIC實現,勢必降低交換機的轉發速度。因此目前交換機主要完成相同或相似物理介質和鏈路協議的網路互連,而不會用來在物理介質和鏈路層協議相差甚元的網路之間進行互連。而路由器則不同,它主要用於不同網路之間互連,因此能連接不同物理介質、鏈路層協議和網路層協議的網路。路由器在功能上雖然占據了優勢,但價格昂貴,報文轉發速度低。近幾年,交換機為提高性能做了許多改進,其中最突出的改進是虛擬網路和三層交換。劃分子網可以縮小廣播域,減少廣播風暴對網路的影響。路由器每一介面連接一個子網,廣播報文不能經過路由器廣播出去,連接在路由器不同介面的子網屬於不同子網,子網范圍由路由器物理劃分。對交換機而言,每一個埠對應一個網段,由於子網由若干網段構成,通過對交換機埠的組合,可以邏輯劃分子網。廣播報文只能在子網內廣播,不能擴散到別的子網內,通過合理劃分邏輯子網,達到控制廣播的目的。由於邏輯子網由交換機埠任意組合,沒有物理上的相關性,因此稱為虛擬子網,或叫虛擬網。虛擬網技術不用路由器就解決了廣播報文的隔離問題,且虛擬網內網段與其物理位置無關,即相鄰網段可以屬於不同虛擬網,而相隔甚遠的兩個網段可能屬於不同虛擬網,而相隔甚遠的兩個網段可能屬於同一個虛擬網。不同虛擬網內的終端之間不能相互通信,增強了對網路內數據的訪問控制。交換機和路由器是性能和功能的矛盾體,交換機交換速度快,但控制功能弱,路由器控制性能強,但報文轉發速度慢。解決這個矛盾的最新技術是三層交換,既有交換機線速轉發報文能力,又有路由器良好的控制功能。第三層交換機和路由器的區別在第三層交換技術出現之前,幾乎沒有必要將路由功能器件和路由器區別開來,他們完全是相同的:提供路由功能正在路由器的工作,然而,現在第三層交換機完全能夠執行傳統路由器的大多數功能。作為網路互連的設備,第三層交換機具有以下特徵:1.轉發基於第三層地址的業務流;2.完全交換功能;3.可以完成特殊服務,如報文過濾或認證;4.執行或不執行路由處理。第三層交換機與傳統路由器相比有如下優點:1.子網間傳輸帶寬可任意分配:傳統路由器每個介面連接一個子網,子網通過路由器進行傳輸的速率被介面的帶寬所限制。而三層交換機則不同,它可以把多個埠定義成一個虛擬網,把多個埠組成的虛擬網作為虛擬網介面,該虛擬網內信息可通過組成虛擬網的埠送給三層交換機,由於埠數可任意指定,子網間傳輸帶寬沒有限制。2.合理配置信息資源:由於訪問子網內資源速率和訪問全局網中資源速率沒有區別,子網設置單獨伺服器的意義不大,通過在全局網中設置伺服器群不僅節省費用,更可以合理配置信息資源。3.降低成本:通常的網路設計用交換機構成子網,用路由器進行子網間互連。目前採用三層交換機進行網路設計,既可以進行任意虛擬子網劃分,又可以通過交換機三層路由功能完成子網間通信,為此節省了價格昂貴的路由器。4.交換機之間連接靈活:作為交換機,它們之間不允許存在迴路,作為路由器,又可有多條通路來提高可靠性、平衡負載。三層交換機用生成樹演算法阻塞造成迴路的埠,但進行路由選擇時,依然把阻塞掉的通路作為可選路徑參與路由選擇。五、結論綜上所述,交換機一般用於LAN-WAN的連接,交換機歸於網橋,是數據鏈路層的設備,有些交換機也可實現第三層的交換。路由器用於WAN-WAN之間的連接,可以解決異性網路之間轉發分組,作用於網路層。他們只是從一條線路上接受輸入分組,然後向另一條線路轉發。這兩條線路可能分屬於不同的網路,並採用不同協議。相比較而言,路由器的功能較交換機要強大,但速度相對也慢,價格昂貴,第三層交換機既有交換機線速轉發報文能力,又有路由器良好的控制功能,因此得以廣播應用。