一次路由多次转发的背后：三层交换机按数据处理分纯硬件和纯软件

摘要：三层交换机（L3 Switch）既干二层交换，又能在不同网段间完成三层转发（俗称“跨 VLAN 路由”）。它的“路由功能”不是为了替代边界路由器，而是为了加速大型局域网内的跨网段数据转发，将常见的 L3 处理前移到交换芯片（或系统）中，就地完成高速转发。

三层交换机（L3 Switch）既干二层交换，又能在不同网段间完成三层转发（俗称“跨 VLAN 路由”）。它的“路由功能”不是为了替代边界路由器，而是为了加速大型局域网内的跨网段数据转发，将常见的 L3 处理前移到交换芯片（或系统）中，就地完成高速转发。

一句话概括：

一次路由，多次转发 —— 把“如何转发”的知识预先固化到快速路径里，后续同类报文不再走慢路径。

围绕“数据（data）如何被处理”，三层交换机在实现上主要分两大类：

纯硬件三层：核心依赖 ASIC/TCAM 等专用硬件完成 L3 查表与改写；纯软件三层：依赖 CPU 用软件栈查路由、做邻居解析，再交由二层芯片转发。

工程实践中还会看到混合式（硬件为主、软件兜底），但其本质仍围绕“数据处理路径”展开。

控制平面（CP）：运行路由协议、生成路由表（RIB），下发转发表（FIB）、邻接表、ACL/QoS 规则等。典型由 CPU 完成。数据平面（DP）：面对每一帧/每一包的“高速流水线”，负责解析→查表→重写→排队→转发。纯硬件三层将关键步骤做进 ASIC，纯软件三层则把“查表+决策”交给 CPU。

把这两者分清，下面的架构差异就一目了然。

ASIC/NP 芯片：内建 L2/L3 解析与流水线；TCAM：存最长前缀匹配（LPM）、ACL 条目；SRAM/DRAM：存邻接信息、计数器、哈希表等；背板/交换矩阵：承载多端口并发无阻塞转发；CPU：负责控制面（OSPF/ISIS/BGP 静态路由等）、将 RIB 编译成 FIB/邻接表，下装到 ASIC。

Ingress Port → 解析报文头 → L2 查表 ├─ 命中同 VLAN MAC → 二层直转 └─ 需三层转发：解析 L3 → LPM 命中 FIB → 查邻接（下一跳 MAC/出端口/VLAN） → 重写 MAC（DA=下一跳MAC，SA=出接口MAC）/TTL-1/重算校验 → 队列调度/整形 → Egress Port 发出

要点：

流缓存型（Flow-Cache）：早期实现，首包上送 CPU 做决策，生成硬件流表，后续同流量走硬件。优点：表项省；缺点：首包时延、DDoS/长尾流压力大。拓扑编译型（CEF/Topo-Compiled）：现代主流，FIB/邻接全量预置，无需“首包慢路径”，更加稳定。背板带宽（Gbps）：衡量矩阵总交换能力；PPS 能力：64B 小包线速时的极限包转发率；端口密度：多少个 10G/25G/40G/100G 口；时延：常为亚微秒到几微秒级（cut-through 更低）。

纯软件三层Ingress Port → L2 查找未命中/需 L3 → 上送 CPU → CPU 查 RIB/FIB → ARP/NDP 获取下一跳 MAC → 生成二层头/改写 → 回注到交换芯片 → Egress不足：包多就“抖”，首包与每包都可能走 CPU；在高 PPS 场景下易成为瓶颈。优化：流表缓存：常见流量形成软件“快路径”；Zero-Copy/DPDK：减少内核开销；分核绑定/中断亲和：提升并行处理能力。

但无论怎样优化，软件三层很难在高密高 PPS 下替代纯硬件。

“混合式”三层

虽然二分法清晰，但项目里更多看到的是硬件为主、软件兜底：

大多数跨 VLAN、热点前缀走硬件；罕见特性（特殊封装、非常规 ACL 动作）走 CPU；异常流量/报文采样（NetFlow/sFlow）或控制报文上送 CPU。这种模式结合了两端优点：性能稳定，同时保留应急可控与特性弹性。