交换机、路由器与防火墙的区别详解

几乎每个网络都有交换机、路由器和防火墙这3种基本设备，本文将详细解析这3种设备的原理及它们之间的区别。

交换机——桥接网络设备

在局域网（LAN）中，交换机类似于城市中的立交桥，它的主要功能是桥接其他网络设备（路由器、防火墙和无线接入点），并连接客户端设备（计算机、服务器、网络摄像机和IP打印机）。

简而言之，交换机可以为网络上所有的不同设备提供一个中心连接点。

交换机的工作原理

MAC地址通常由网卡（NIC）决定，并且每个网卡、交换机和路由器的每个端口都有唯一的MAC地址。交换机从数据帧中查找源MAC和目的MAC，并将在某个交换机端口上看到的MAC地址保存在表中。

如果接收到表中没有目的MAC地址，则会将帧泛洪到所有的交换机端口，这个过程被称为广播。当接收到响应时，则会将MAC地址放在表中，下一次不再泛洪。

路由器——接入互联网

路由器也被称为网关设备，它通常被用来路由不同网络之间的数据包，也会根据信道的情况自动选择和设定路由，并将您的网络与Internet连接起来。事实上，互联网是由成千上万个路由器组成的。

路由器的工作原理

路由器检查每个数据包的源IP地址和目的IP地址，并在IP路由表中查找数据包的目的地，再一遍又一遍地将数据包路由到另一个路由器或交换机上，直到到达目的IP地址并作出回应。

当有多种方式都可以到达目的IP地址时，路由器可以巧妙地选择最经济快捷的方式。当路由表中没有列出报文的目的地时，报文将被发送到默认路由器（如果有的话），如果数据包没有目的地，它将被丢弃。

通常情况下，路由器由Internet服务提供商（ISP）提供，并且 Internet 服务提供商会为您分配一个公共的路由器IP地址。当浏览互联网时，公共的IP地址会被识别为是外界IP地址，而私有IP地址会受到保护。

然而，桌面、笔记本电脑、iPad、电视媒体盒和网络复印机的私有 IP 地址完全不同，否则，路由器无法识别每个设备的请求。

路由器的作用

路由器在不同的网络之间进行转换。除了最常用的以太网，还有许多其他不同的网络，如ATM和令牌环网。网络会以不同的方法封装数据，因此它们不能直接通信，而路由器可以从不同的网络“转换”这些数据包，以便不同网络之间能够更有效地传输数据。

路由器可以减少网络混乱。若没有路由器，广播将转发到每个设备的每个端口，并由每个设备处理。当广播数量太大时，整个网络都会比较混乱，这时候路由器将网络细分为两个或多个由其连接的较小的网络，并且不允许广播在子网之间传输。

交换机和路由器的区别

由于三层交换机能够进行路由，因此有人可能会问如果网络中有三层交换机，那么是不是不需要路由器？答案是依然需要路由器。每个设备都有自己的功能，要不要路由器取决于很多因素。

一方面，对于具有10-100个用户的小型网络，三层交换机的成本过高，而选择一个合适的路由器就能够以合理的成本满足网络需要。

另一方面，您可以在路由器上安装交换模块，使其像三层交换机一样工作。因此，设备的选择应该考虑可扩展性、软件功能、硬件性能、应用情况、成本等因素，不能一概而论。

防火墙——保护网络

防火墙也被称为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。

通常，防火墙可以保护内部/私有局域网免受外部攻击，并防止重要数据泄露。在没有防火墙的情况下，路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制，而防火墙不仅能够监控流量，还能够阻止未经授权的流量。

除了将内部局域网与外部 Internet 隔离之外，防火墙还可以将局域网中的普通数据和重要数据进行分离，所以也可以避免内部入侵。

防火墙的工作原理

防火墙有硬件防火墙和软件防火墙这两种类型，硬件防火墙允许您通过端口的传输控制协议（TCP）或用户数据报协议（UDP）来定义阻塞规则，例如禁止不必要的端口和 IP 地址的访问。

软件防火墙就像互连内部网络和外部网络的代理服务器，它可以让内部网络不直接与外部网络进行通信，但是很多企业和数据中心会将这两种类型的防火墙进行组合，主要是因为这样做可以更加有效地提升网络的安全性。

如何连接交换机、路由器和防火墙？

通常来说，路由器是局域网的第一步，而内部网络和路由器之间的防火墙用来过滤非法接入，接下来需要连接的是交换机。

需要注意的是，许多互联网提供商现在正在提供光纤服务（FiOS），因此您需要在防火墙之前使用调制解调器将数字信号转换成可通过以太网铜缆传输的电信号。

所以典型的连接方式依次是 Internet-调制解调器-路由器-防火墙-交换机，然后交换机再连接其他网络设备。

交换机可以启用局域网内部通信，路由器将您接入互联网，防火墙保护您的网络。所以这三个设备在网络中不可或缺。