号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
每年都有新手问:“都用三层交换机了,还要什么路由器?”
甚至面试的时候,也会被问到:“三层交换机和路由器的区别到底在哪儿?”
很多人一听“三层交换机也能路由”,就以为它能替代所有路由器。
更有甚者,在园区网设计里,把三层交换机顶到最外网出口,完全不加边界设备。结果一出问题,全网躺平。
所以今天我们就来把这个事说透,到底三层交换机能做什么,不能做什么,路由器存在的意义又是什么。
阅读福利:《路由交换-华为实验手册(99页 40个实验) 》
这个超实用的网工实验手册你绝对不能错过。发送暗号“实验”,获取此份精选笔记资源。
私信我,无偿分享资料(回复稍慢请见谅,在当牛马)
一、什么是三层交换机?它真的能“路由”吗?能,当然能。但前提是:它“只会做 IP 路由”。
三层交换机,就是在二层交换芯片基础上,加了一块路由引擎,可以根据 IP 地址判断转发路径。这也是为啥它能“不同 VLAN 能互通”。
常见功能包括:
- 配置 VLANIF 接口(每个 VLAN 一个虚拟网关)
- 做静态路由、OSPF、RIP 等基础 IGP 路由协议
- 支持 ACL、QoS、基本 NAT
- 可以实现汇聚层和核心层的高速转发
但注意:这些都属于“基础 IP 路由”,更多的是本地互联。
它最擅长的,是园区网、数据中心、分支机构内部多个 VLAN 的互通。而不是出公网、做策略、跑 BGP。
二、路由器才是真正的“边界大脑”路由器不只是转发数据,它还是边界的安全、策略和控制核心。
路由器擅长什么?- 多种协议融合: BGP、MPLS、IPSec、GRE、VXLAN、SRv6……
- 地址翻译: 动态NAT、PAT、端口映射等应用层感知
- 策略控制: PBR、流量整形、链路备份、跨网段路由策略
- 安全控制: 防火墙功能、攻击防护、会话跟踪、应用识别
- 高可靠设计: 多CPU架构、独立控制面和转发面、链路检测机制更强
而这些,三层交换机基本都没法干,或者干不了那么细、那么强。
三、为什么你不能用三层交换机替代出口路由器?来几个真实场景举例:
1. BGP出公网,三层交换机就跪了你想要连接多个ISP做双线BGP,抱歉,大多数三层交换机根本不支持BGP,支持的也只能做到很基础,拿来跑公网,风险极大。
2. 出口做NAT,需要会话保持、地址池管理、流量统计三层交换机虽然有个 nat 功能,但只是最基础的静态 NAT 和一次性转换,缺少复杂场景下的连接跟踪、限速、日志记录等功能,管不了高并发。
3. 想配个 IPsec VPN,结果没法弄三层交换机一般不支持 VPN,连 ISAKMP 都没有,更不用说 SA、密钥协商、加密算法的细节控制。
4. 多条链路走不同策略?你得靠 PBR,而不是简单的路由表而 PBR(策略路由)在三层交换机上是“能配,但受限”,很多功能无法细化(比如基于端口/时间段/应用层特征决策)。
四、那三层交换机到底适合干嘛?一句话:高速局域网互联 + VLAN 间路由。
你可以在以下场景放心使用:
- 园区网汇聚层到核心层之间的三层互通
- 核心交换机作为多VLAN网关使用
- 小型网络中做静态路由和简单 OSPF
- 数据中心内网中,做服务器之间三层通信
- 企业网络中的“出口前一跳”
但只要涉及公网出接口、安全策略控制、复杂路由环境,建议老老实实上路由器。
总结:边界永远不是“能通”就行三层交换机,目标是性能 + 内网多VLAN管理 + 局部路由能力,而不是把网络“串出去”。
路由器,才是真正的“网络大脑”和“出入口安全闸门”,尤其在公网出入口、数据中心边界、企业与ISP之间的位置。
如果你只是想让 VLAN 通一下,用三层交换机就够了。
但如果你想跑公网、做边界策略、上安全功能,那还是让路由器上场吧。
原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
