在網路傳輸系統中，交換機、路由器和防火牆是常見的網路設備，交換機可以啟用區域網內部通信，而路由器將您的網路接入互聯網，防火牆則可以保護您的網路，因此這三種設備對於網路而言是不可或缺的。本文將重點為您介紹交換機、路由器和防火牆的工作原理以及它們之間的區別。

交換機——橋接網路設備

交換機是一種用於光/電信號轉發的網路設備，通常工作在數據鏈路層或網路層（即OSI參考模型的第二層和第三層），支持各種數據包協議。在區域網（LAN）中，交換機類似於城市中的立交橋，它的主要功能是橋接其他網路設備（路由器、防火牆和無線接入點），並連接客戶端設備（計算機、伺服器、網路攝像機和IP印表機），從而構建區域網，實現所有設備之間的通信。簡而言之，交換機可以為網路上所有的不同設備提供一個中心連接點。

工作原理

1. 當交換機從其某個埠收到一個數據包時，會先讀取包頭中的源MAC地址（即發送該數據包的設備網卡的MAC地址），將該MAC地址和埠對應起來添加到交換機內存里的地址表中；

2. 然後再讀取包頭中的目的MAC地址，對照內存里的地址表看該MAC地址與哪個埠對應，如果地址表中有該MAC地址的對應埠，則將該數據包直接複製到對應的埠上，如果沒有找到，則將該數據幀作為一個廣播幀發送到所有的埠，對應的MAC地址設備會自動接受該幀數據；

3. 同時，交換機將接受該幀數據的埠與這個目的MAC地址對應起來放入內存中的地址表中。這樣下次再有MAC 地址為這個MAC 地址的幀發送時交換機就可以直接從內存里的地址表中找到對應的轉發埠，直接轉發，不用再泛洪了。

路由器——接入互聯網

路由器是用於連接多個邏輯上分開的網路，所謂邏輯網路是代表一個單獨的網路或者一個子網。當數據從一個子網傳輸到另一個子網時，可通過路由器來完成。路由器具有判斷網路地址和選擇路徑的功能，它能在多網路互聯環境中，建立靈活的連接，可用完全不同的數據分組和介質訪問方法連接各種子網，路由器只接受源站或其他路由器的信息，屬網路層的一種互聯設備。它不關心各子網使用的硬體設備，但要求運行與網路層協議相一致的軟體。其主要的目的就是為經過路由器的每個數據幀尋找一條最佳傳輸路徑，並將該數據有效地傳送到目的站點。

工作原理

路由器檢查每個數據包的源IP地址和目的IP地址，並在IP路由表中查找數據包的目的地，再一遍又一遍地將數據包路由到另一個路由器或交換機上，直到到達目的IP地址並作出回應。當有多種方式都可以到達目的IP地址時，路由器可以巧妙地選擇最經濟快捷的方式。當路由表中沒有列出報文的目的地時，報文將被發送到默認路由器（如果有的話），如果數據包沒有目的地，它將被丟棄。

通常情況下，路由器由Internet服務提供商（ISP）提供，並且Internet服務提供商會為您分配一個公共的路由器IP地址。當瀏覽互聯網時，公共的IP地址會被識別為是外界IP地址，而私有IP地址會受到保護。然而，桌面、筆記本電腦、iPad、電視媒體盒和網路複印機的私有IP地址完全不同，否則，路由器無法識別每個設備的請求。

作用

路由器在不同的網路之間進行轉換。除了最常用的乙太網，還有許多其他不同的網路，如ATM和令牌環網。網路會以不同的方法封裝數據，因此它們不能直接通信，而路由器可以從不同的網路「轉換」這些數據包，以便不同網路之間能夠更有效地傳輸數據。

路由器可以減少網路混亂。若沒有路由器，廣播將轉發到每個設備的每個埠，並由每個設備處理。當廣播數量太大時，整個網路都會比較混亂，這時候路由器將網路細分為兩個或多個由其連接的較小的網路，並且不允許廣播在子網之間傳輸。

交換機和路由器的區別

由於三層交換機能夠進行路由，因此有人可能會問如果網路中有三層交換機，那麼是不是不需要路由器？答案是依然需要路由器。每個設備都有自己的功能，要不要路由器取決於很多因素。一方面，對於具有10-100個用戶的小型網路，三層交換機的成本過高，而選擇一個合適的路由器就能夠以合理的成本滿足網路需要。另一方面，您可以在路由器上安裝交換模塊，使其像三層交換機一樣工作。因此，設備的選擇應該考慮可擴展性、軟體功能、硬體性能、應用情況、成本等因素，不能一概而論。

防火牆——保護網路

防火牆也被稱為防護牆，它是一種位於內部網路與外部網路之間的網路安全系統，可以將內部網路和外部網路隔離。通常，防火牆可以保護內部/私有區域網免受外部攻擊，並防止重要數據泄露。在沒有防火牆的情況下，路由器會在內部網路和外部網路之間盲目傳遞流量且沒有過濾機制，而防火牆不僅能夠監控流量，還能夠阻止未經授權的流量。

除了將內部區域網與外部Internet隔離之外，防火牆還可以將區域網中的普通數據和重要數據進行分離，所以也可以避免內部入侵。

工作原理

防火牆有硬體防火牆和軟體防火牆這兩種類型，硬體防火牆允許您通過埠的傳輸控制協議（TCP）或用戶數據報協議（UDP）來定義阻塞規則，例如禁止不必要的埠和IP地址的訪問。軟體防火牆就像互連內部網路和外部網路的代理伺服器，它可以讓內部網路不直接與外部網路進行通信，但是很多企業和數據中心會將這兩種類型的防火牆進行組合，主要是因為這樣做可以更加有效地提升網路的安全性。

如何連接交換機、路由器和防火牆？

通常來說，路由器是區域網的第一步，而內部網路和路由器之間的防火牆用來過濾非法入，接下來需要連接的是交換機。需要注意的是，許多互聯網提供商現在正在提供光纖服務（FiOS），因此您需要在防火牆之前使用數據機將數字信號轉換成可通過乙太網銅纜傳輸的電信號。所以典型的連接方式依次是Internet-數據機-路由器-防火牆-交換機，然後交換機再連接其他網路設備。

結論

不管是交換機，路由器還是防火牆，這些網路設備的功能實現都需要網路工程師預先對設備進行配置（比如VLAN虛擬網埠的劃分，防火牆安全策略的配置，路由器默認網關的設定等），充分認識交換機、路由器和防火牆之間的不同將有助於您找到更適用於自身網路的設備。希望通過本文對交換機、路由器和防火牆的介紹，您能更加清它們之間之間的區別，從而選出合適的設備用於網路部署。