别再问了，三层交换机根本不可能替代路由器

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

每年都有新手问：“都用三层交换机了，还要什么路由器？”

甚至面试的时候，也会被问到：“三层交换机和路由器的区别到底在哪儿？”

很多人一听“三层交换机也能路由”，就以为它能替代所有路由器。

更有甚者，在园区网设计里，把三层交换机顶到最外网出口，完全不加边界设备。结果一出问题，全网躺平。

所以今天我们就来把这个事说透，到底三层交换机能做什么，不能做什么，路由器存在的意义又是什么。

阅读福利：《路由交换-华为实验手册（99页 40个实验） 》

这个超实用的网工实验手册你绝对不能错过。发送暗号“实验”，获取此份精选笔记资源。

私信我，无偿分享资料（回复稍慢请见谅，在当牛马）

一、什么是三层交换机？它真的能“路由”吗？

能，当然能。但前提是：它“只会做 IP 路由”。

三层交换机，就是在二层交换芯片基础上，加了一块路由引擎，可以根据 IP 地址判断转发路径。这也是为啥它能“不同 VLAN 能互通”。

常见功能包括：

• 配置 VLANIF 接口（每个 VLAN 一个虚拟网关）

• 做静态路由、OSPF、RIP 等基础 IGP 路由协议

• 支持 ACL、QoS、基本 NAT

• 可以实现汇聚层和核心层的高速转发

但注意：这些都属于“基础 IP 路由”，更多的是本地互联。

它最擅长的，是园区网、数据中心、分支机构内部多个 VLAN 的互通。而不是出公网、做策略、跑 BGP。

二、路由器才是真正的“边界大脑”

路由器不只是转发数据，它还是边界的安全、策略和控制核心。

路由器擅长什么？

• 多种协议融合： BGP、MPLS、IPSec、GRE、VXLAN、SRv6……

• 地址翻译： 动态NAT、PAT、端口映射等应用层感知

• 策略控制： PBR、流量整形、链路备份、跨网段路由策略

• 安全控制： 防火墙功能、攻击防护、会话跟踪、应用识别

• 高可靠设计： 多CPU架构、独立控制面和转发面、链路检测机制更强

而这些，三层交换机基本都没法干，或者干不了那么细、那么强。

三、为什么你不能用三层交换机替代出口路由器？

来几个真实场景举例：

1. BGP出公网，三层交换机就跪了

你想要连接多个ISP做双线BGP，抱歉，大多数三层交换机根本不支持BGP，支持的也只能做到很基础，拿来跑公网，风险极大。

2. 出口做NAT，需要会话保持、地址池管理、流量统计

三层交换机虽然有个 nat 功能，但只是最基础的静态 NAT 和一次性转换，缺少复杂场景下的连接跟踪、限速、日志记录等功能，管不了高并发。

3. 想配个 IPsec VPN，结果没法弄

三层交换机一般不支持 VPN，连 ISAKMP 都没有，更不用说 SA、密钥协商、加密算法的细节控制。

4. 多条链路走不同策略？你得靠 PBR，而不是简单的路由表

而 PBR（策略路由）在三层交换机上是“能配，但受限”，很多功能无法细化（比如基于端口/时间段/应用层特征决策）。

四、那三层交换机到底适合干嘛？

一句话：高速局域网互联 + VLAN 间路由。

你可以在以下场景放心使用：

• 园区网汇聚层到核心层之间的三层互通

• 核心交换机作为多VLAN网关使用

• 小型网络中做静态路由和简单 OSPF

• 数据中心内网中，做服务器之间三层通信

• 企业网络中的“出口前一跳”

但只要涉及公网出接口、安全策略控制、复杂路由环境，建议老老实实上路由器。

总结：边界永远不是“能通”就行

三层交换机，目标是性能 + 内网多VLAN管理 + 局部路由能力，而不是把网络“串出去”。

路由器，才是真正的“网络大脑”和“出入口安全闸门”，尤其在公网出入口、数据中心边界、企业与ISP之间的位置。

如果你只是想让 VLAN 通一下，用三层交换机就够了。

但如果你想跑公网、做边界策略、上安全功能，那还是让路由器上场吧。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部