{{data.item.arttitle}}
作者 {{data.item.artauthorname}} {{data.item.artcreatetime}}
请使用浏览器的分享功能分享到微信等请问路由器和交换机的主要区别是什么？尹淑雅交换机，顾名思意，主要是起交换数据的作用。
路由器，不但起交换数据的作用，它还会寻找到该数据会传给谁，该怎么传。这是交换机和路由器最基本的区别。路由器不但可以交换数据，还可以寻址、路由。
打个比方：A想给B传递一个东西，如果是在同一个房间内(网络上就是一个局域网内)，他们彼此之间是认识的，那么A就可以直接给B这个东东。这就是一个交换机可以完成的事项；
同样，A想给B传递一个东西，但是不在同一个房间内(网络上就是不同局域网内)，他们彼此之间是不认识的，那么A就不得不通过其他媒介，寻找到适当的方式才可以给B这个东东。这就是一个路由器该完成的事项；但是交换机做不到。
不过，现在的3层交换机也可以有路由功能。但是，交换机拥有强大的数据交换能力，这是路由器做不到的；路由器有强大的路由功能及安全策略能力，也是交换机做不到的。交换机一般用在区域内起数据交换的功能，路由器一般用在区域间起路由转发的功能。
查看更多更多回答纪德佑　 (1)工作层次不同
　　最初的的交换机是工作在OSI／RM开放体系结构的数据链路层，也就是第二层，而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层)，所以它的工作原理比较简单，而路由器工作在OSI的第三层(网络层)，可以得到更多的协议信息，路由器可以做出更加智能的转发决策。
　　(2)数据转发所依据的对象不同
　　交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的，描述的是设备所在的网络，有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的，由网卡生产商来分配的，而且已经固化到了网卡中去，一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。
　　(3)传统的交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域。由交换机连接的网段仍属于同一个广播域，广播数据包会在交换机连接的所有网段上传播，在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域，广播数据不会穿过路由器。
　　虽然第三层以上交换机具有VLAN功能，也可以分割广播域，但是各子广播域之间是不能通信交流的，它们之间的交流仍然需要路由器。
　　(4)路由器提供了防火墙的服务，它仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和未知目标网络数据包的传送，从而可以防止广播风暴。 望采纳。
英雄的汗水路由器相对于交换机来说，是包含交换机的功能。交换机常常的用途是用来扩展网络接口，比如一个情景是只有两个网口，但是却有四台电脑需要上网，这时候就面临网口不足的情况，这时候就可以买一台交换机来扩展接口。总结来说交换机起到的是增加网口的作用。而路由器则不同，路由器不但起到了扩展网口，还可以一个账号，实现多人多机上网的作用。
热门问答1234567891011121314151617181920查看更多21222324252627282930免费验房免费设计黄道吉日建材优惠家具定制Q：，多交流技术
Cisco路由器及交换机安全加固
根据木桶理论，一个桶能装多少水，取决于这个桶最短的那块木板。具体到信息系统的安全也是一样，整个信息系统的安全程度也取决于信息系统中最薄弱的环节，网络做为信息系统的体，其安全需求的重要性是显而易见的。 网络层面的安全主要有两个方面，一是数据层面的安全，使用ACL等技术手段，辅助应用系统增强系统的整体安全；二是控制层面的安全，通过限制对网 络设备自身的访问，增强网络设备自身的安全性。数据层面的安全在拙著《网络层权限访问控制――ACL详解》(http: //www.yesky.com/bang/08/1712713.shtml)已经较为系统的讨论。 本文主要集中讨论控制层面即设备自身的安全这部分，仍以最大市场占有率的思科设备为例进行讨论。 一、 控制层面主要安全威协与应对原则 网络设备的控制层面的实质还是运行的一个操作系统，既然是一个操作系统，那么，其它操作系统可能遇到的安全威胁网络设备都有可能遇到；总结起来有如下几个方面： 1、 系统自身的缺陷：操作系统作为一个复杂系统，不论在发布之前多么仔细的进行测试，总会有缺陷产生的。出现缺陷后的唯一办法就是尽快给系统要上补丁。 Cisco IOS/Catos与其它通用操作系统的区别在于，IOS/Catos需要将整个系统更换为打过补丁的系统，可以查询http: //www.cisco.com/en/US/customer/products/prod_security_advisories_list.html
取得cisco最新的安全公告信息与补丁信息。 2、 系统缺省服务：与大多数能用操作系统一样，IOS与CatOS缺省情况下也开了一大堆服务，这些服务可能会引起潜在的安全风险，解决的办法是按最小特权原则，关闭这些不需要的服务。 3、 弱密码与明文密码：在IOS中，特权密码的加密方式强加密有弱加密两种，而普通存取密码在缺省情况下则是明文； 4、 非授权用户可以管理设备：既可以通过telnet/snmp通过网络对设备进行带内管理，还可以通过console与aux口对设备进行带外管理。缺省情况下带外管理是没有密码限制的。隐含较大的安全风险； 5、 CDP协议造成设备信息的泄漏； 6、 DDOS攻击导致设备不能正常运行，解决方案，使用控制面策略，限制到控制层面的流量； 7、 发生安全风险之后，缺省审计功能。 二、 Cisco IOS加固 对于12.3(4)T之后的IOS版本，可以通过autosecure命令完成下述大多数功能，考虑到大部分用户还没有条件升级到该IOS版本，这里仍然列出需要使用到的命令行： 1、禁用不需要的服务： no ip http server　　
//禁用http server，这玩意儿的安全漏洞很多的 no ip source-route　　
//禁用IP源路由，防止路由欺骗 no service finger
//禁用finger服务　 no ip bootp server　　　//禁用bootp服务 no service udp-small-s
//小的udp服务 no service tcp-small-s
//禁用小的tcp服务 2、关闭CDP no cdp run
//禁用cdp 3、配置强加密与启用密码加密： service password-encryption　//启用加密服务，将对password密码进行加密 enable secret asdfajkls　　　//配置强加密的特权密码 no enable password　　　　　 //禁用弱加密的特权密码 4、配置log server、时间服务及与用于带内管理的ACL等，便于进行安全审计 service timestamp log datetime localtime
//配置时间戳为datetime方式，使用本地时间 logging 192.168.0.1
//向192.168.0.1发送log logging 192.168.0.2
//向192.168.0.2发送log access-list 98的主机进行通讯 no access-list 99
//在配置一个新的acl前先清空该ACL access-list 99 permit 192.168.0.0 0.0.0.255 access-list 99 deny any log
//log参数说明在有符合该条件的条目时产生一条logo信息 no access-list 98
//在配置一个新的acl前先清空该ACL access-list 98 permit host 192.168.0.1 access-list 98 deny any log
//log参数说明在有符合该条件的条目时产生一条logo信息 ! clock timezone PST-8
//设置时区 ntp authenticate　　　　　　 //启用NTP认证 ntp authentication-key 1 md5 uadsf
//设置NTP认证用的密码，使用MD5加密。需要和ntp server一致 ntp trusted-key 1　　　　　　　　　　//可以信任的Key. ntp acess-group peer 98
//设置ntp服务，只允许对端为符合access-list 98条件的主机 ntp server 192.168.0.1 key 1　　　　 //配置ntp server，server为192.168.0.1，使用1号key做为密码　 5、对带内管理行为进行限制： snmp-server community HSDxdf ro 98//配置snmp只读通讯字，并只允许access-list 98的主机进行通讯 line vty 0 4 access-class 99 in
//使用acl 99来控制telnet的源地址 login password 0 asdfaksdlf　　　　//配置telnet密码 exec-timeout 2 0　　　　　　 //配置虚终端超时参数，这里是2分钟 ! 6、对带外管理行为进行限制： line con 0 login password 0 adsfoii
//配置console口的密码 exec-timeout 2 0　　　　　　 //配置console口超时参数，这里是两分钟 ! line aux 0
transport input none
password 0 asfdkalsfj　　　　 no exec exit 7、应用control-plane police，预防DDOS攻击(注：需要12.2(18)S或12.3(4)T以上版本才支持) 允许信任主机(包括其它网络设备、管理工作站等)来的流量: access-list 110 deny ip host 1.1.1.1 any access-list 110 deny ip 2.2.2.0 255.255.255.0 any ..... access-list 110 deny ip 3.3.3.3 any 限制所有其它流量 access-list 110 permit ip any any ! class-map control-plane-limit match access-group 110 ! policy-map control-plane-policy class control-plane-limit police 32000 conform transmit exceed drop ! control-plane service-policy input control-plane-policy 三、 Cisco CatOS加固 1、 禁用不需要的服务： set cdp disable
//禁用cdp set ip http disable
//禁用http server，这玩意儿的安全漏洞很多的 2、 配置时间及日志参数，便于进行安全审计： set logging timestamp enable
//启用log时间戳 set logging server 192.168.0.1
//向192.168.0.1发送log set logging server 192.168.0.2
//向192.168.0.2发送log! set timezone PST-8
//设置时区 set ntp authenticate enable　　　　　　 //启用NTP认证 set ntp key 1 md5 uadsf
//设置NTP认证用的密码，使用MD5加密。需要和ntp server一致 set ntp server 192.168.0.1 key 1　//配置ntp server，server为192.168.0.1，使用1号key做为密码　 set ntp client enable
//启用ntp client 3、 限制带内管理： set snmp community HSDxdf
//配置snmp只读通讯字
set ip permit enable snmp
//启用snmp访问控制 set ip permit 192.168.0.1 snmp　 //允许192.168.0.1进行snmp访问 set ip permit enable telnet
//启用telnet访问控制 set ip permit 192.168.0.1 telnet　 //允许192.168.0.1进行telnet访问 set password
//配置telnet密码 set enable
　 　 //配置特权密码 set logout 2
//配置超时参数，2分钟
没有更多推荐了，404 Not Found
404 Not Found
nginx/1.14.0H3C交换机网络加固手册_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
H3C交换机网络加固手册
阅读已结束，下载本文需要
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩1页未读，
定制HR最喜欢的简历
你可能喜欢}