三層以太網(wǎng)交換機：講述VLAN二層轉發(fā)介紹，三層以太網(wǎng)交換機中的設置部分，MAC地址介紹，VLAN二層轉發(fā)介紹將是文章討論的重點，希望大家在閱讀完下面文章后能夠有一個清晰明了的認識。三層以太網(wǎng)交換機的轉發(fā)機制主要分為兩個部分：二層轉發(fā)和三層交換。先講二層轉發(fā)流程。

MAC地址介紹
◆MAC地址是48 bit二進制的地址，如：00-e0-fc-00-00-06。
◆可以分為單播地址、多播地址和廣播地址。
◆單播地址：第一字節(jié)最低位為0，如：00-e0-fc-00-00-06
◆多播地址：第一字節(jié)最低位為1，如：01-e0-fc-00-00-06
◆廣播地址：48位全1，如：ff-ff-ff-ff-ff-ff

注意：
◆普通設備網(wǎng)卡或者路由器設備路由接口的MAC地址一定是單播的MAC地址才能保證其與其它設備的互通。
◆MAC地址是一個以太網(wǎng)絡設備在網(wǎng)絡上運行的基礎，也是鏈路層功能實現(xiàn)的立足點。

二層轉發(fā)介紹，三層以太網(wǎng)交換機二層的轉發(fā)特性，符合802.1D網(wǎng)橋協(xié)議標準。三層以太網(wǎng)交換機的二層轉發(fā)涉及到兩個關鍵的線程：地址學習線程和報文轉發(fā)線程。

學習線程如下：
◆三層以太網(wǎng)交換機接收網(wǎng)段上的所有數(shù)據(jù)幀，利用接收數(shù)據(jù)幀中的源MAC地址來建立MAC地址表；
◆端口移動機制：交換機如果發(fā)現(xiàn)一個包文的入端口和報文中源MAC地址的所在端口不同，就產(chǎn)生端口移動，將MAC地址重新學習到新的端口；
◆地址老化機制： 如果交換機在很長一段時間之內(nèi)沒有收到某臺主機發(fā)出的報文，在該主機對應的MAC地址就會被刪除，等下次報文來的時候會重新學習。
◆注意： 老化也是根據(jù)源MAC地址進行老化。

報文轉發(fā)線程:
◆交換機在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到，就將該數(shù)據(jù)幀發(fā)送到相應的端口，如果找不到，就向所有的端口發(fā)送；
◆如果三層以太網(wǎng)交換機收到的報文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報文；
◆三層以太網(wǎng)交換機向入端口以外的其它所有端口轉發(fā)廣播報文。

VLAN二層轉發(fā)介紹

◆報文轉發(fā)線程:引入了VLAN以后對二層交換機的報文轉發(fā)線程產(chǎn)生了如下的影響：

◆交換機在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到（同時還要確保報文的入VLAN和出VLAN是一致的），就將該數(shù)據(jù)幀發(fā)送到相應的端口，如果找不到，就向（VLAN內(nèi)）所有的端口發(fā)送；

◆如果交換機收到的報文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報文；

◆交換機向（VLAN內(nèi)）入端口以外的其它所有端口轉發(fā)廣播報文。

三層以太網(wǎng)交換機上通過引入VLAN，帶來了如下的好處：
◆限制了局部的網(wǎng)絡流量， 在一定程度上可以提高整個網(wǎng)絡的處理能力。
◆虛擬的工作組，通過靈活的VLAN設置，把不同的用戶劃分到工作組內(nèi)；
◆安全性，一個VLAN內(nèi)的用戶和其它VLAN內(nèi)的用戶不能互訪，提高了安全性。

另外，還有常見的兩個概念VLAN的終結和透傳， 從字面意思上就可以很好的了解這兩個概念。所謂VLAN的透傳就是某個VLAN不僅在一臺三層以太網(wǎng)交換機上有效，它還要通過某種方法延伸到別的三層以太網(wǎng)交換機上，在別的設備上照樣有效；終結的意思及相對，某個VLAN的有效域不能再延伸到別的設備，或者不能通過某條鏈路延伸到別的設備。

VLAN透傳可以使用802.1Q技術，VLAN終結可以使用PVLAN技術。IEEE802.1Q協(xié)議是VLAN的技術標準,主要是修改了標準的幀頭，添加了一個tag字段，其中包含了VLAN ID等VLAN信息，具體實現(xiàn)這里不談，如果有興趣可以看相關的標準和資料。

注意：在Trunk端口轉發(fā)報文的時候，如果報文的VLAN Tag等于端口上配置的默認VLAN ID，則該報文的Tag應該去掉，對端收到這個不帶Tag信息的報文后， 從端口的PVID獲得報文的所屬VLAN信息，因此配置的時候必須保證連接兩臺三層以太網(wǎng)交換機之間的一條Trunk鏈路兩端的PVID設置相同。

為什么要去Tag呢？這樣做是為了保證一般的用戶插到Trunk上以后，仍舊可以正常通信，因為普通用戶無法識別帶有802.1Q Vlan信息的報文。使用802.1Q技術可以很好的實現(xiàn)VLAN的透傳，可是有的時候需要把VLAN終結掉。

也就是說這個VLAN的邊界在哪里終止，PVLAN技術可以很好的實現(xiàn)這個功能，同時達到節(jié)省VLAN 的目的。cisco的PVLAN意思是private vlan，而我們的PVLAN意思是primary vlan。

這里的VLAN有兩類：Primary vlan和secondary vlan（子VLAN）。實現(xiàn)了接入用戶二層報文的隔離，同時上層三層以太網(wǎng)交換機下發(fā)的報文可以被每一個用戶接收到，簡化了配置，節(jié)省了VLAN資源。具體實現(xiàn)這里不談，如果有興趣可以相關資料。