二层、三层、四层到底怎么分？一张图搞清网络三大层次

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

经常有人说：“这是二层交换”、“这玩意是三层转发”、“这里得做四层 ACL”……

听起来很专业，但你真要问清楚每一层到底是谁、干嘛的、怎么配、在哪用，十有八九都答不完整。

今天来搞定这个常年绕不清的问题：

二层、三层、四层，到底怎么分？到底谁负责干嘛？

别硬记概念，看完这一篇，配 ACL、建 VLAN、调路由都更顺手！

一、别背概念，先看图！

来，先上一张图：

你听说的“二层设备”“三层交换”“四层策略”，其实都是网络设备干活时处理数据的不同层次。

理解它们，就得看设备“动手到哪一层”。

二、什么是“二层”？

看的是 MAC 地址

不关心 IP

完全不做路由

基本上就是傻瓜转发

典型代表：二层交换机

它的活儿非常纯粹： 收到一个包，查 MAC 表 → 知道从哪个口出去 → 原样发出去。 连 IP 都懒得管，ARP 广播照样全转。

常见操作：

• 建 VLAN（虚拟局域网）
• 配端口类型（access/trunk）
• 做 MAC 静态绑定
• 做广播风暴抑制

场景举例：

• 办公桌面层、摄像头汇聚、AP接入、租户隔离

三、什么是“三层”？

看的是 IP 地址

能做路由转发

能处理 VLAN 之间的互通

网络里真正能“跨网段”的设备

典型代表：三层交换机、路由器

你配置的网关地址，其实就是交换机/路由器上建的 VLANIF 接口。它会接收来自某个 VLAN 的流量，然后根据 IP 走路由表决定下一跳。

常见操作：

• 创建 VLANIF 接口
• 配置静态路由 / OSPF / BGP
• 做 ACL 匹配 IP
• 做 NAT 出口地址转换

场景举例：

• VLAN 间通信、园区汇聚、出口 NAT、分支互联

四、什么是“四层”？

看的是 TCP/UDP 端口号

能区分服务（80 是 HTTP，443 是 HTTPS）

常用于策略控制、防火墙、负载均衡

三层只能判断“去哪台设备”，但四层能判断“用啥服务”。比如： 两个 IP 是一样的，但你可以阻止 80 端口、允许 443 → 这就是四层 ACL。

常见操作：

• 四层 ACL（基于端口的访问控制）
• 流量识别、QoS 优化
• 防火墙策略
• 基于应用的 NAT 转发

场景举例：

• 禁止外网访问公司内网某服务
• 限制某台服务器只开放 HTTPS
• 做策略路由，按应用走不同链路

总结一张表

看懂层次你才能配得准。

很多网络配置问题其实就是“你用三层方式解决了二层的问题”，或者“你试图在二层设备上做四层控制”——自然不通、自然炸。

举几个误区：

• 想做 ACL 控制访问，结果下在二层交换上 → 根本看不到 IP
• 想做服务区分转发，却没用端口匹配 → 全部混发
• 不配 VLANIF 就想让 VLAN 互通 → 不可能

设备处理到哪一层，决定了你能做多少事

一句话记住：

二层看 MAC，三层看 IP，四层看服务。

想在企业网络搞得明明白白，不光得会配，更要知道设备“眼里看到什么、手里能干啥”。

搞懂这三层，才是真正从配置工走向网络架构师的起点。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部