二层和三层转发

二层和三层转发

二层转发的机制是什么? 学习线程和报文转发线程。二层只跟MAC 地址有关与IP 无关 所以在二层做IP －MAC 绑定是无效的。

三层以太网交换机的转发机制主要分为两个部分：

二层转发和三层交换。

先讲二层转发流程。

1、 MAC 地址介绍

MAC 地址是48 bit二进制的地址，如：00-e0-fc-00-00-06。

可以分为单播地址、多播地址和广播地址。

单播地址：第一字节最低位为0，如：00-e0-fc-00-00-06

多播地址：第一字节最低位为1，如：01-e0-fc-00-00-06

广播地址：48位全1，如：ff-ff-ff-ff-ff-ff

注意：

1）普通设备网卡或者路由器设备路由接口的MAC 地址一定是单播的MAC 地址才能保证其与其它设备的互通。

2） MAC 地址是一个以太网络设备在网络上运行的基础，也是链路层功能实现的立足点。

----------------------------------------------------------------------------------

2、 二层转发介绍

交换机二层的转发特性，符合802.1D 网桥协议标准。

交换机的二层转发涉及到两个关键的线程：地址学习线程和报文转发线程。

学习线程如下：

1）交换机接收网段上的所有数据帧，利用接收数据帧中的源MAC 地址来建立MAC 地址表；

2）端口移动机制：交换机如果发现一个包文的入端口和报文中源MAC 地址的所在端口不同，就产生端口移动，将MAC 地址重新学习到新的端口；

3）地址老化机制： 如果交换机在很长一段时间之内没有收到某台主机发出的报文，在该主机对应的MAC 地址就会被删除，等下次报文来的时候会重新学习。

注意： 老化也是根据源MAC 地址进行老化。

报文转发线程:

1）交换机在MAC 地址表中查找数据帧中的目的MAC 地址，如果找到，就将该数据帧发送到相应的端口，如果找不到，就向所有的端口发送；

2）如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同，则丢弃该报文；

3）交换机向入端口以外的其它所有端口转发广播报文。

3、 VLAN 二层转发介绍

报文转发线程:

引入了VLAN 以后对二层交换机的报文转发线程产生了如下的影响：

1）交换机在MAC 地址表中查找数据帧中的目的MAC 地址，如果找到（同时还要确保报文的入VLAN 和出VLAN 是一致的），就将该数据帧发送到相应的端口，如果找不到，就向（VLAN 内）所有的端口发送；

2）如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同，则丢弃该报文；

3）交换机向（VLAN 内）入端口以外的其它所有端口转发广播报文。

以太网交换机上通过引入VLAN ，带来了如下的好处：

1）限制了局部的网络流量， 在一定程度上可以提高整个网络的处理能力。

2）虚拟的工作组，通过灵活的VLAN 设置，把不同的用户划分到工作组内；

3）安全性，一个VLAN 内的用户和其它VLAN 内的用户不能互访，提高了安全性。

另外，还有常见的两个概念VLAN 的终结和透传， 从字面意思上就可以很好的了解这两个概念。所谓VLAN 的透传就是某个VLAN 不仅在一台交换机上有效，它还要通过某种方法延伸到别的以太网交换机上，在 别的设备上照样有效；终结的意思及相对，某个VLAN 的有效域不能再延伸到别的设备，或者不能通过某条链路延伸到别的设备。

VLAN 透传可以使用802.1Q 技术，VLAN 终结可以使用PVLAN 技术。

IEEE802.1Q 协议是VLAN 的技术标准, 主要是修改了标准的帧头，添加了一个tag 字段，其中包含了VLAN ID等VLAN 信息，具体实现这里不谈，如果有兴趣可以看相关的标准和资料。

注意：在Trunk 端口转发报文的时候，如果报文的VLAN Tag等于端口上配置的默认VLAN ID，则该报文的Tag 应该去掉，对端收到这个不带Tag 信息的报文后， 从端口的PVID 获得报文的所属VLAN 信息，因此配置的时候必须保证连接两台交换机之间的一条Trunk 链路两端的PVID 设置相同。

为什么要去Tag 呢？

这样做是为了保证一般的用户插到Trunk 上以后，仍旧可以正常通信，因为普通用户无法识别带有802.1Q Vlan信息的报文。

使用802.1Q 技术可以很好的实现VLAN 的透传，可是有的时候需要把VLAN 终结掉，也就是说这个VLAN 的边界在哪里终止，PVLAN 技术可以 很好的实现这个功能，同时达到节省VLAN 的目的。cisco 的PVLAN 意思是private vlan，而我们的PVLAN 意思是primary vlan 。

这里的VLAN 有两类：Primary vlan和secondary vlan（子VLAN ）。

实现了接入用户二层报文的隔离，同时上层交换机下发的报文可以被每一个用户接收到，简化了配置，节省了VLAN 资源。具体实现这里不谈，如果有兴趣可以相关资料。

下面谈谈三层交换流程。

用VLAN 分段，隔离了VLAN 间的通信，用支持VLAN 的路由器（三层设备）可以建立VLAN 间通信。但使用路由器来互联企业园区网中不同的VLAN 显然不合时代的潮流。因为我们可以使用三层交换来实现。

差别1（性能）：传统的路由器基于微处理器转发报文，靠软件处理，而三层交换机通过ASIC 硬件来进行报文转发，性能差别很大；

差别2（接口类型）：三层交换机的接口基本都是以太网接口，没有路由器接口类型丰富；差别3：三层交换机，还可以工作在二层模式，对某些不需路由的包文直接交换，而路由器不具有二层的功能。

首先让我们看一下设备互通的过程：

如图所示：交换机上划分了两个VLAN ，在VLAN1，VLAN 2上配置了路由接口用来实现vlan1 和 vlan 2之间的互通。

A 和B 之间的互通（以A 向B 发起ping 请求为例）：

1） A 检查报文的目的IP 地址，发现和自己在同一个网段；

2） A---->B ARP 请求报文，该报文在VLAN1 内广播；

3） B---->A ARP 回应报文；

4） A---->B icmp request;

5） B---->A icmp reply;

A 和C 之间的互通（以A 向C 发起ping 请求为例）：

1） A 检查报文的目的IP 地址，发现和自己不在同一个网段；

2） A---->switch（int vlan 1） ARP 请求报文，该报文在VLAN1 内广播；

3） 网关---->A ARP 回应报文；

4） A---->switch icmp request（目的MAC 是 int vlan 1的MAC ，源MAC 是A 的MAC ，目的IP 是C ，源IP 是A ）；

5） switch 收到报文后判断出是三层的报文。检查报文的目的IP 地址，发现是在自己的直连网段；

6） switch （int vlan 2）---->C ARP 请求报文，该报文在VLAN2 内广播；

7） C--->switch（int vlan 2） ARP 回应报文；

8） switch （int vlan 2）---->C icmp request （目的MAC 是 C 的MAC ，源MAC 是 int vlan 2的MAC ，目的IP 是C ，源IP 是A ）同步骤4）相比报文的MAC 头进行了重新的封装， 而IP 层以上的字段基本上不变；

9） C---->A icmp reply，这以后的处理同前面icmp request的过程基本相同。

以上的各步处理中，如果ARP 表中已经有了相应的表项，则不会给对方发ARP 请求报文。

怎么样来区分二和三层的数据流？

3526产品是三层以太网交换机，在其处理流程中既包括了二层的处理功能，又包括了三层的处理功能。

区别二三层转发的基本模型：

如图所示：

三层交换机划分了2个VLAN ， A 和B 之间的通信是在一个VLAN 内完成，对与交换机而言是二层数据流，A 和C 之间的通信需要跨越VLAN ，是三层的数据流。

上面提到的是宏观的方法，具体到微观的角度，一个报文从端口进入后，Swtich 设备是怎么来区分二层包文，还是三层报文的呢？

从A 到B 的报文由于在同一个VLAN 内部，报文的目的MAC 地址将是主机B 的MAC 地址，而从A 到C 的报文，要跨越VLAN ，报文的目的MAC 地址是设备虚接口VLAN1上的MAC 地址。

因此交换机区分二三层报文的标准就是看报文的目的MAC 地址是否等于交换机虚接口上的MAC 地址。

以华为3ComS3526交换机为例，三层交换机整个处理流程中分成了三个大的部分：

1）平台软件协议栈部分

这部分中关键功能有：

运行路由协议，维护路由信息表；

二层和三层转发

二层转发的机制是什么? 学习线程和报文转发线程。二层只跟MAC 地址有关与IP 无关 所以在二层做IP －MAC 绑定是无效的。

三层以太网交换机的转发机制主要分为两个部分：

二层转发和三层交换。

先讲二层转发流程。

1、 MAC 地址介绍

MAC 地址是48 bit二进制的地址，如：00-e0-fc-00-00-06。

可以分为单播地址、多播地址和广播地址。

单播地址：第一字节最低位为0，如：00-e0-fc-00-00-06

多播地址：第一字节最低位为1，如：01-e0-fc-00-00-06

广播地址：48位全1，如：ff-ff-ff-ff-ff-ff

注意：

1）普通设备网卡或者路由器设备路由接口的MAC 地址一定是单播的MAC 地址才能保证其与其它设备的互通。

2） MAC 地址是一个以太网络设备在网络上运行的基础，也是链路层功能实现的立足点。

----------------------------------------------------------------------------------

2、 二层转发介绍

交换机二层的转发特性，符合802.1D 网桥协议标准。

交换机的二层转发涉及到两个关键的线程：地址学习线程和报文转发线程。

学习线程如下：

1）交换机接收网段上的所有数据帧，利用接收数据帧中的源MAC 地址来建立MAC 地址表；

2）端口移动机制：交换机如果发现一个包文的入端口和报文中源MAC 地址的所在端口不同，就产生端口移动，将MAC 地址重新学习到新的端口；

3）地址老化机制： 如果交换机在很长一段时间之内没有收到某台主机发出的报文，在该主机对应的MAC 地址就会被删除，等下次报文来的时候会重新学习。

注意： 老化也是根据源MAC 地址进行老化。

报文转发线程:

1）交换机在MAC 地址表中查找数据帧中的目的MAC 地址，如果找到，就将该数据帧发送到相应的端口，如果找不到，就向所有的端口发送；

2）如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同，则丢弃该报文；

3）交换机向入端口以外的其它所有端口转发广播报文。

3、 VLAN 二层转发介绍

报文转发线程:

引入了VLAN 以后对二层交换机的报文转发线程产生了如下的影响：

1）交换机在MAC 地址表中查找数据帧中的目的MAC 地址，如果找到（同时还要确保报文的入VLAN 和出VLAN 是一致的），就将该数据帧发送到相应的端口，如果找不到，就向（VLAN 内）所有的端口发送；

2）如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同，则丢弃该报文；

3）交换机向（VLAN 内）入端口以外的其它所有端口转发广播报文。

以太网交换机上通过引入VLAN ，带来了如下的好处：

1）限制了局部的网络流量， 在一定程度上可以提高整个网络的处理能力。

2）虚拟的工作组，通过灵活的VLAN 设置，把不同的用户划分到工作组内；

3）安全性，一个VLAN 内的用户和其它VLAN 内的用户不能互访，提高了安全性。

另外，还有常见的两个概念VLAN 的终结和透传， 从字面意思上就可以很好的了解这两个概念。所谓VLAN 的透传就是某个VLAN 不仅在一台交换机上有效，它还要通过某种方法延伸到别的以太网交换机上，在 别的设备上照样有效；终结的意思及相对，某个VLAN 的有效域不能再延伸到别的设备，或者不能通过某条链路延伸到别的设备。

VLAN 透传可以使用802.1Q 技术，VLAN 终结可以使用PVLAN 技术。

IEEE802.1Q 协议是VLAN 的技术标准, 主要是修改了标准的帧头，添加了一个tag 字段，其中包含了VLAN ID等VLAN 信息，具体实现这里不谈，如果有兴趣可以看相关的标准和资料。

注意：在Trunk 端口转发报文的时候，如果报文的VLAN Tag等于端口上配置的默认VLAN ID，则该报文的Tag 应该去掉，对端收到这个不带Tag 信息的报文后， 从端口的PVID 获得报文的所属VLAN 信息，因此配置的时候必须保证连接两台交换机之间的一条Trunk 链路两端的PVID 设置相同。

为什么要去Tag 呢？

这样做是为了保证一般的用户插到Trunk 上以后，仍旧可以正常通信，因为普通用户无法识别带有802.1Q Vlan信息的报文。

使用802.1Q 技术可以很好的实现VLAN 的透传，可是有的时候需要把VLAN 终结掉，也就是说这个VLAN 的边界在哪里终止，PVLAN 技术可以 很好的实现这个功能，同时达到节省VLAN 的目的。cisco 的PVLAN 意思是private vlan，而我们的PVLAN 意思是primary vlan 。

这里的VLAN 有两类：Primary vlan和secondary vlan（子VLAN ）。

实现了接入用户二层报文的隔离，同时上层交换机下发的报文可以被每一个用户接收到，简化了配置，节省了VLAN 资源。具体实现这里不谈，如果有兴趣可以相关资料。

下面谈谈三层交换流程。

用VLAN 分段，隔离了VLAN 间的通信，用支持VLAN 的路由器（三层设备）可以建立VLAN 间通信。但使用路由器来互联企业园区网中不同的VLAN 显然不合时代的潮流。因为我们可以使用三层交换来实现。

差别1（性能）：传统的路由器基于微处理器转发报文，靠软件处理，而三层交换机通过ASIC 硬件来进行报文转发，性能差别很大；

差别2（接口类型）：三层交换机的接口基本都是以太网接口，没有路由器接口类型丰富；差别3：三层交换机，还可以工作在二层模式，对某些不需路由的包文直接交换，而路由器不具有二层的功能。

首先让我们看一下设备互通的过程：

如图所示：交换机上划分了两个VLAN ，在VLAN1，VLAN 2上配置了路由接口用来实现vlan1 和 vlan 2之间的互通。

A 和B 之间的互通（以A 向B 发起ping 请求为例）：

1） A 检查报文的目的IP 地址，发现和自己在同一个网段；

2） A---->B ARP 请求报文，该报文在VLAN1 内广播；

3） B---->A ARP 回应报文；

4） A---->B icmp request;

5） B---->A icmp reply;

A 和C 之间的互通（以A 向C 发起ping 请求为例）：

1） A 检查报文的目的IP 地址，发现和自己不在同一个网段；

2） A---->switch（int vlan 1） ARP 请求报文，该报文在VLAN1 内广播；

3） 网关---->A ARP 回应报文；

4） A---->switch icmp request（目的MAC 是 int vlan 1的MAC ，源MAC 是A 的MAC ，目的IP 是C ，源IP 是A ）；

5） switch 收到报文后判断出是三层的报文。检查报文的目的IP 地址，发现是在自己的直连网段；

6） switch （int vlan 2）---->C ARP 请求报文，该报文在VLAN2 内广播；

7） C--->switch（int vlan 2） ARP 回应报文；

8） switch （int vlan 2）---->C icmp request （目的MAC 是 C 的MAC ，源MAC 是 int vlan 2的MAC ，目的IP 是C ，源IP 是A ）同步骤4）相比报文的MAC 头进行了重新的封装， 而IP 层以上的字段基本上不变；

9） C---->A icmp reply，这以后的处理同前面icmp request的过程基本相同。

以上的各步处理中，如果ARP 表中已经有了相应的表项，则不会给对方发ARP 请求报文。

怎么样来区分二和三层的数据流？

3526产品是三层以太网交换机，在其处理流程中既包括了二层的处理功能，又包括了三层的处理功能。

区别二三层转发的基本模型：

如图所示：

三层交换机划分了2个VLAN ， A 和B 之间的通信是在一个VLAN 内完成，对与交换机而言是二层数据流，A 和C 之间的通信需要跨越VLAN ，是三层的数据流。

上面提到的是宏观的方法，具体到微观的角度，一个报文从端口进入后，Swtich 设备是怎么来区分二层包文，还是三层报文的呢？

从A 到B 的报文由于在同一个VLAN 内部，报文的目的MAC 地址将是主机B 的MAC 地址，而从A 到C 的报文，要跨越VLAN ，报文的目的MAC 地址是设备虚接口VLAN1上的MAC 地址。

因此交换机区分二三层报文的标准就是看报文的目的MAC 地址是否等于交换机虚接口上的MAC 地址。

以华为3ComS3526交换机为例，三层交换机整个处理流程中分成了三个大的部分：

1）平台软件协议栈部分

这部分中关键功能有：

运行路由协议，维护路由信息表；