典型代表：二层交换机

它的活儿非常纯粹： 收到一个包，查 MAC 表 → 知道从哪个口出去 → 原样发出去。 连 IP 都懒得管，ARP 广播照样全转。

常见操作：

建 VLAN（虚拟局域网）

配端口类型（access/trunk）

做 MAC 静态绑定

做广播风暴抑制

场景举例：

办公桌面层、摄像头汇聚、AP接入、租户隔离

三、什么是“三层”？

看的是 IP 地址

能做路由转发

能处理 VLAN 之间的互通

网络里真正能“跨网段”的设备

看的是 IP 地址

能做路由转发

能处理 VLAN 之间的互通

网络里真正能“跨网段”的设备

典型代表：三层交换机、路由器

你配置的网关地址，其实就是交换机/路由器上建的 VLANIF 接口。它会接收来自某个 VLAN 的流量，然后根据 IP 走路由表决定下一跳。

常见操作：

创建 VLANIF 接口

配置静态路由 / OSPF / BGP

做 ACL 匹配 IP

做 NAT 出口地址转换

场景举例：

VLAN 间通信、园区汇聚、出口 NAT、分支互联

四、什么是“四层”？

看的是 TCP/UDP 端口号

能区分服务（80 是 HTTP，443 是 HTTPS）

常用于策略控制、防火墙、负载均衡

看的是 TCP/UDP 端口号

能区分服务（80 是 HTTP，443 是 HTTPS）

常用于策略控制、防火墙、负载均衡

三层只能判断“去哪台设备”，但四层能判断“用啥服务”。比如： 两个 IP 是一样的，但你可以阻止 80 端口、允许 443 → 这就是四层 ACL。

常见操作：

四层 ACL（基于端口的访问控制）

流量识别、QoS 优化

防火墙策略

基于应用的 NAT 转发

场景举例：

禁止外网访问公司内网某服务

限制某台服务器只开放 HTTPS

做策略路由，按应用走不同链路

总结一张表

看懂层次你才能配得准。

很多网络配置问题其实就是“你用三层方式解决了二层的问题”，或者“你试图在二层设备上做四层控制”——自然不通、自然炸。

举几个误区：

想做 ACL 控制访问，结果下在二层交换上 → 根本看不到 IP

想做服务区分转发，却没用端口匹配 → 全部混发

不配 VLANIF 就想让 VLAN 互通 → 不可能

设备处理到哪一层，决定了你能做多少事

一句话记住：

二层看 MAC，三层看 IP，四层看服务。

想在企业网络搞得明明白白，不光得会配，更要知道设备“眼里看到什么、手里能干啥”。

搞懂这三层，才是真正从配置工走向网络架构师的起点。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部返回搜狐，查看更多