一、概述

        网络层毫无疑问是最复杂的一层，涉及到大量的协议与结构的内容。在如今主流的设计中，大家都会把网络层分成两个部分：数据平面、控制平面。其中数据平面指的是网络层中每台路由器的功能，它决定了到达路由器端口输入链路之一的数据包（即网络层的分组）如何转发到该路由器的输出链路之一。控制平面主要功能是控制数据包沿着从源主机到目的主机的端到端路径中路由器之间的路由方式。

        在传统的设计上，控制平面的选择协议和数据平面的转发功能已经被实现成了一个整体，位于一台路由器中，如今软件定义网络（Software-Defined Networking,SDN）通过将控制平面功能作为一种单独服务，明确地分离数据平面和控制平面。

        网络层涉及到地内容非常多且复杂，但是从表面来看，网络层的功能非常简单，总结下来就是两个词：转发，路由选择。

1.1 转发（forwarding）

        当一个分组到达某路由器的一条输入链路时，该路由器必须将该分组移动到适当的输出链路。转发是在数据平面中实现的唯一功能。当然，分组也可能被现有的路由器阻挡（例如，该分组来源于一个已知的恶意主机，或者该分组发向一个被禁止的目的主机），或者可能是冗余的并经过多条出链路发送。

1.2 路由选择(routing)

        当分组从发送方流向接收方，网络层必须决定这些分组所采用地路由或路径。计算这些路径的算法被称为路由选择算法（routing algorithm）。

1.3 小结

        转发和路由选择是网络层实现的两个功能，转发（forwarding）是数据平面的主要功能，是指将分组从一个输入链路接口转移到适当的输出链路接口的路由器本地动作。转发发生的时间尺度很短（通常为几纳秒），因此通常用硬件来实现。路由选择（routing）是控制平面的主要功能，是指确定分组从源到目的地所采取的端到端路径的网络范围处理过程。路由选择发生的时间尺度长得多（通常为几秒），因此通常用软件来实现。

        每台网络路由器中有一个关键元素是它的转发表（forwarding table)。路由器检查到达分组首部的一个或多个字段值，进而使用这些首部值在其转发表中索引，通过这种方法来转发分组。这些值对应存储在转发表项中的值，指出了该分组将被转发的路由器的输出链路接口。

二、控制平面：传统方式

        对于控制平面来说，最重要的问题就是完成数据平面路由器中转发表的生成，路由选择算法决定了插入路由器中转发表的内容。

        通过考虑网络中的假想情况（不真实的，但技术上是可行的），也就是说路由器中物理上存在的所有转发表的内容是由人类网络操作员直接配置的，进一步说明转发和路由选择功能的区别和不同目的。在这种情况下，不需要任何路由选择协议！当然，这些人类操作员将需要彼此交互，以确保该转发表的配置能使分组到达它们想要到达的目的地。出现下列现象也很可能：人工配置更容易出错，并且对于网络拓扑变化的响应比起路由选择协议来更慢。我们要为所有网络具有转发和路由选择功能而感到幸运！

        下图中显示的实现路由选择功能的方法，是路由选择厂商在其产品中采用的传统方法。使用该方法，每台路由器都有一个与其他路由器的路由选择组件通信的路由选择组件。然而，对人类能够手动配置转发表的观察启发我们，对于控制平面功能来说，也许存在其他方式来确定数据平面转发表的内容。

三、控制平面：SDN方法

        下图显示了从路由器物理上分离的另一种方法，远程控制器计算和分发转发表以供每台路由器所使用。可以观察到两种方法（传统方法和SDN方法）数据平面组件是相同的。而SDN方法中，控制平面路由选择功能与物理的路由器是分离的，即路由选择设备仅执行转发，而远程控制器器计算并分发转发表。远程控制器可能实现在具有高可靠性和冗余的远程数据中心中，并可能由ISP或某些第三方管理。路由器和远程控制器是如何通信的呢？通过交换包含表和其他路由选择信息的报文。显示在下图中的控制平面方法是软件定义网络（Software-Defined Networking,SDN）的本质，因为计算转发表并与路由器交互的控制器是用软件实现的，故网络是"软件定义"的。

 四、网络服务模型

        网络服务模型（network service model）定义了分组在发送与接收端系统之间的端到端运输特性。我们现在考虑网络层能提供的某些可能的服务。这些服务可能包括：

• 确保交付。该服务确保分组将最终到达目的地。
• 具有时延上界的确保交付。该服务不仅确保分组的交付，而且在特定的主机到主机时延上界内（例如在100ms内）交付。
• 有序分组交付。该服务确保分组以它们发送的顺序到达目的地。
• 确保最小带宽。这种网络层服务模仿在发送和接收主机之间一条特定比特率（例如1 Mbps）的传输链路的行为。只要发送主机以低于特定比特率的速率传输比特（作为分组的组成部分），则所有分组最终会交付到目的主机。
• 安全性。网络层能够在源加密所有数据报并在目的地解密这些分组，从而对所有运输层报文段提供机密性。

        这只是网络层能够提供的服务的部分列表，有无数种可能的服务变种。
        因特网的网络层提供了单一的服务，称为尽力而为服务（best-effort service)。使用尽力而为服务，传送的分组既不能保证以它们发送的顺序被接收，也不能保证它们最终交付；既不能保证端到端时延，也不能保证有最小的带宽。尽力而为服务看起来是根本无服务的一种委婉说法，即一个没有向目的地交付分组的网络也符合尽力而为交付服务的定义！其他的网络体系结构已定义和实现了超过因特网尽力而为服务的服务模型。