淺析華為以太網(wǎng)交換機VLAN二層轉(zhuǎn)發(fā)介紹及其好處，要想解決華為以太網(wǎng)交換機引入了VLAN的問題，必須先了解引入VLAN，帶來了怎樣的好處。還得記住相應(yīng)的實例。所以仔細(xì)研讀下文是非常有利的。

報文轉(zhuǎn)發(fā)線程:引入了VLAN 以后對二層交換機的報文轉(zhuǎn)發(fā)線程產(chǎn)生了如下的影響：

◆交換機在MAC 地址表中查找數(shù)據(jù)幀中的目的MAC 地址，如果找到（同時還要確保報文的入VLAN 和出VLAN 是一致的），就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向（VLAN 內(nèi)）所有的端口發(fā)送；

◆如果交換機收到的報文中源MAC 地址和目的MAC 地址所在的端口相同，則丟棄該報文；

◆交換機向（VLAN 內(nèi)）入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報文。

華為以太網(wǎng)交換機上通過引入VLAN，帶來了如下的好處：
◆限制了局部的網(wǎng)絡(luò)流量， 在一定程度上可以提高整個網(wǎng)絡(luò)的處理能力。
◆虛擬的工作組，通過靈活的VLAN 設(shè)置，把不同的用戶劃分到工作
◆安全性，一個VLAN 內(nèi)的用戶和其它VLAN 內(nèi)的用戶不能互訪，提高了安全性。

另外，還有常見的兩個概念VLAN 的終結(jié)和透傳， 從字面意思上就可以很好的了解這兩個概念。所謂VLAN 的透傳就是某個VLAN 不僅在一臺交換機上有效，它還要通過某種方法延伸到別的華為以太網(wǎng)交換機上，在別的設(shè)備上照樣有效；終結(jié)的意思及相對，某個VLAN 的有效域不能再延伸到別的設(shè)備，或者不能通過某條鏈路延伸到別的設(shè)備。

VLAN 透傳可以使用802.1Q 技術(shù)，VLAN 終結(jié)可以使用PVLAN 技術(shù)。IEEE802.1Q 協(xié)議是VLAN 的技術(shù)標(biāo)準(zhǔn),主要是修改了標(biāo)準(zhǔn)的幀頭，添加了一個tag 字段，其中包含了VLAN ID 等VLAN 信息，具體實現(xiàn)這里不談，如果有興趣可以看相關(guān)的標(biāo)準(zhǔn)和資料。

注意：在Trunk 端口轉(zhuǎn)發(fā)報文的時候，如果報文的VLAN Tag 等于端口上配置的默認(rèn)VLAN ID，則該報文的Tag 應(yīng)該去掉，對端收到這個不帶Tag 信息的報文后， 從端口的PVID 獲得報文的所屬VLAN 信息，因此配置的時候必須保證連接兩臺交換機之間的一條Trunk 鏈路兩端的PVID 設(shè)置相同。

為什么要去Tag 呢？這樣做是為了保證一般的用戶插到Trunk 上以后，仍舊可以正常通信，因為普通用戶無法識別帶有802.1Q Vlan 信息的報文。使用802.1Q 技術(shù)可以很好的實現(xiàn)VLAN 的透傳，可是有的時候需要把VLAN 終結(jié)掉。

也就是說這個VLAN 邊界在哪里終止，PVLAN 技術(shù)可以很好的實現(xiàn)這個功能， 同時達到節(jié)省VLAN 的目的。cisco 的PVLAN 意思是private vlan，而我們的PVLAN 意思是primary vlan。

這里的VLAN 有兩類：Primary vlan 和secondary vlan（子VLAN）。實現(xiàn)了接入用戶二層報文的隔離，同時上層交換機下發(fā)的報文可以被每一個用戶接收到，簡化了配置，節(jié)省了VLAN 資源。具體實現(xiàn)這里不談，如果有興趣可以相關(guān)資料。

用VLAN 分段，隔離了VLAN 間的通信，用支持VLAN 的路由器（三層設(shè)備）可以建立VLAN 間通信。但使用路由器來互聯(lián)企業(yè)園區(qū)網(wǎng)中不同的VLAN 顯然不合時代的潮流。因為我們可以使用三層交換來實現(xiàn)。

差別1（性能）：傳統(tǒng)的路由器基于微處理器轉(zhuǎn)發(fā)報文，靠軟件處理，而三層交換機通過ASIC 硬件來進行報文轉(zhuǎn)發(fā)，性能差別很大；差別2（接口類型）：三層交換機的接口基本都是以太網(wǎng)接口，沒有路由器接口類型豐富；差別3：三層交換機，還可以工作在二層模式，對某些不需路由的包文直接交換，而路由器不具有二層的功能。

首先讓我們看一下設(shè)備互通的過程：如圖所示：交換機上劃分了兩個VLAN，在VLAN1，VLAN 2 上配置了路由接口用來實現(xiàn)vlan1 和 vlan 2 之間的互通。A 和B 之間的互通（以A 向B 發(fā)起ping 請求為例）：
◆A 檢查報文的目的IP 地址，發(fā)現(xiàn)和自己在同一個網(wǎng)段；
◆A---->B ARP 請求報文，該報文在VLAN1 內(nèi)廣播；
◆B---->A ARP 回應(yīng)報文；
◆A---->B icmp request;
◆B---->A icmp reply;

A 和C 之間的互通（以A 向C 發(fā)起ping 請求為例）：
◆A 檢查報文的目的IP 地址，發(fā)現(xiàn)和自己不在同一個網(wǎng)段；
◆A---->switch（int vlan 1） ARP 請求報文，該報文在VLAN1 內(nèi)廣播；
◆網(wǎng)關(guān)---->A ARP 回應(yīng)報文；
◆A---->switch icmp request（目的MAC 是 int vlan 1 的MAC，源MAC 是A 的MAC，目的IP 是C，源IP 是A）；
◆switch 收到報文后判斷出是三層的報文。檢查報文的目的IP 地址，發(fā)現(xiàn)是在自己的直連網(wǎng)段；
◆switch（int vlan 2）---->C ARP 請求報文，該報文在VLAN2 內(nèi)廣播；
◆C--->switch（int vlan 2） ARP 回應(yīng)報文；

switch（int vlan 2）---->C icmp request （目的MAC 是 C 的MAC，源MAC 是 int vlan 2 的MAC，目的IP 是C，源IP 是A）同步驟4）相比報文的MAC 頭進行了重新的封裝， 而IP 層以上的字段基本上不變；C---->A icmp reply，這以后的處理同前面icmp request 的過程基本相同。以上的各步處理中，如果ARP 表中已經(jīng)有了相應(yīng)的表項，則不會給對方發(fā)ARP 請求報文。

怎么樣來區(qū)分二和三層的數(shù)據(jù)流？3526 產(chǎn)品是三層華為以太網(wǎng)交換機，在其處理流程中既包括了二層的處理功能，又包括了三層的處理功能。區(qū)別二三層轉(zhuǎn)發(fā)的基本模型：
vlan 1 vlan 2
A C
1.1.1.1
255.255.0.0
1.1.1.2
255.255.0.0
2.2.2.2
255.255.0.0
2.2.2.1
255.255.0.0
1.1.1.3
255.255.0.0

三層交換機劃分了2 個VLAN， A 和B 之間的通信是在一個VLAN 內(nèi)完成，對與交換機而言是二層數(shù)據(jù)流，A 和C 之間的通信需要跨越VLAN，是三層的數(shù)據(jù)流。上面提到的是宏觀的方法，具體到微觀的角度，一個報文從端口進入后，Swtich 設(shè)備是怎么來區(qū)分二層包文，還是三層報文的呢？

從A 到B 的報文由于在同一個VLAN 內(nèi)部， 報文的目的MAC 地址將是主機B 的MAC 地址，而從A 到C 的報文，要跨越VLAN，報文的目的MAC 地址是設(shè)備虛接口VLAN1 上的MAC 地址。因此交換機區(qū)分二三層報文的標(biāo)準(zhǔn)就是看報文的目的MAC地址是否等于交換機虛接口上的MAC 地址。以華為S3526 交換機為例，三層交換機整個處理流程中分成了三個大的部分：

平臺軟件協(xié)議棧部分這部分中關(guān)鍵功能有：運行路由協(xié)議，維護路由信息表；IP 協(xié)議棧功能，在整個系統(tǒng)的處理流程中，這部分擔(dān)負(fù)著重要的功能，當(dāng)硬件不能完成報文轉(zhuǎn)發(fā)的時候，這部分可以代替硬件來完成報文的三層轉(zhuǎn)發(fā)。另外對交換機進行telnet, ping, FTP,snmp 的數(shù)據(jù)流都是在這部分來處理。#p#

華為以太網(wǎng)交換機舉例：
show ip route：
Routing Tables:
Destination/Mask Proto Pre Metric Nexthop Interface
0.0.0.0/0 Static 60 0 10.110.255.9 VLAN-Interface2
10.110.48.0/21 Direct 0 0 10.110.48.1 VLAN-Interface1
10.110.48.1/32 Direct 0 0 127.0.0.1 InLoopBack0
10.110.255.8/30 Direct 0 0 10.110.255.10 VLAN-Interface2
10.110.255.10/32 Direct 0 0 127.0.0.1 InLoopBack0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0
show arp：
IpAddress Mac_Address VLAN ID Port Name Type
10.110.255.9 00e0.fc00.5518 2 GigabitEthernet2/1 Dynamic
10.110.51.75 0010.b555.f039 1 Ethernet0/9 Dynamic
10.110.54.30 0800.20aa.f41d 1 Ethernet0/10 Dynamic
10.110.51.137 0010.a4aa.fce6 1 Ethernet0/12 Dynamic
10.110.50.90 0010.b555.e04f 1 Ethernet0/8 Dynamic

硬件處理流程主要的表項是：二層MAC 地址表，和三層的ip fdb 表，這兩個表中用于保存轉(zhuǎn)發(fā)信息，在轉(zhuǎn)發(fā)信息比較全的情況下，報文的轉(zhuǎn)發(fā)和處理全部由硬件來完成處理，不需要軟件的干預(yù)。 這兩個表的功能是獨立的，沒有相互的關(guān)系，因為一個報文只要一進入交換機，硬件就會區(qū)分出這個包是二層還是三層。非此即彼。

華為以太網(wǎng)交換機例如：show mac all：
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0000.21cf.73f4 1 Learned Ethernet0/19 266
0002.557c.5a79 1 Learned Ethernet0/12 225
0004.7673.0b38 1 Learned Ethernet0/9 262
0005.5d04.9648 1 Learned Ethernet0/16 232
0005.5df5.9f64 1 Learned Ethernet0/16 300
MAC 地址表是精確匹配的IVL 方式， 其中關(guān)鍵的參數(shù)是：Vlan ID, Port
index。

華為以太網(wǎng)交換機例如：show ipfdb all：
0: System 1: Learned 2: UsrCfg Age 3: UsrCfg noAge Other: Error
Ip Address RtIf Vtag VTValid Port Mac Status
10.11.83.77 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.11.198.28 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.63.32.2 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.72.255.100 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2
10.75.35.103 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2
10.75.35.106 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2

路由接口索引（RtIf）：該索引用來確定該轉(zhuǎn)發(fā)表項位于哪個路由接口下面，對3526 產(chǎn)品來講，支持的路由接口數(shù)目是32；
Vlan tag: 該值用來表明所處的VLAN，該VLAN 和路由接口是對應(yīng)的；
Vlan tag 有效位（VTValid）：用來標(biāo)識轉(zhuǎn)發(fā)出去的報文中是否需要插入
Vlan tag 標(biāo)記。

端口索引（Port）：用來說明該轉(zhuǎn)發(fā)表項的出端口；下一跳MAC：三層設(shè)備每完成一跳的轉(zhuǎn)發(fā)，會重新封裝報文中的MAC頭，硬件ASIC 芯片一般依據(jù)這個域里面的數(shù)值來封裝報文頭。兩個重要的概念：

解析，未解析，每次收到報文，ASIC 都會從其中提取出源和目的地址在MAC Table 或者 IP Fdb Table 中進行查找，如果地址在轉(zhuǎn)發(fā)表中可以找到，則認(rèn)為該地址是解析的，如果找不到，則認(rèn)為該地址是未解析的。

根據(jù)這個地址是源，還是目的，還可以有源解析，目的未解析等等的組合。對于二層未解析，硬件本身可以將該報文在VLAN 內(nèi)廣播，但是對于三層報文地址的未解析報文硬件本身則不對該報文進行任何的處理，而產(chǎn)生CPU 中斷，靠軟件來處理。

硬件部分的處理可以用這句話來描述：收到報文后，判斷該報文是二或是三層報文，然后判斷其中的源，目的地址是否已經(jīng)解析，如果已經(jīng)解析，則硬件完成該報文的轉(zhuǎn)發(fā)，如果是未解析的情況，則產(chǎn)生CPU 中斷，靠軟件來學(xué)習(xí)該未解析的地址。

驅(qū)動代碼部分其中關(guān)鍵的核心有：地址解析任務(wù)：在該任務(wù)中對已經(jīng)報上來的未解析的地址進行學(xué)習(xí)，以便硬件完成后續(xù)的報文的轉(zhuǎn)發(fā)而不需軟件干預(yù)。地址管理任務(wù)：為了便于軟件管理和維護，軟件部分保存了一份同硬件中轉(zhuǎn)發(fā)表相同的地址表copy。

fib（forwarding information base）表: 這個表的信息來源于ip route table 中的路由信息，之所以把它放在了driver 部分， 是為了地址解析任務(wù)在學(xué)IP 地址時查找的方便。

華為以太網(wǎng)交換機舉例：
show fib：
Destination/Mask Nexthop Flag Interface
0.0.0.0/0 10.110.255.9 I VLAN-Interface2
10.110.48.0/21 10.110.48.1 D VLAN-Interface1
10.110.48.1/32 127.0.0.1 D InLoopBack0
10.110.255.8/30 10.110.255.10 D VLAN-Interface2
10.110.255.10/32 127.0.0.1 D InLoopBack0
127.0.0.0/8 127.0.0.1 D InLoopBack0

三層轉(zhuǎn)發(fā)主要涉及到兩個關(guān)鍵的線程：地址學(xué)習(xí)線程和報文轉(zhuǎn)發(fā)線程，這個和二層的線程是類似的；報文轉(zhuǎn)發(fā)線程主要根據(jù)地址學(xué)習(xí)線程生成的轉(zhuǎn)發(fā)表（ipfdb table）信息來對報文進行轉(zhuǎn)發(fā)。

如果里面的信息足夠多，這個轉(zhuǎn)發(fā)的過程全部由硬件來完成，如果信息不夠，則會要求地址學(xué)習(xí)線程來進行學(xué)習(xí)，同時該報文硬件不能轉(zhuǎn)發(fā)，會交給軟件協(xié)議棧來進行轉(zhuǎn)發(fā)。

地址學(xué)習(xí)線程主要用來生成硬件轉(zhuǎn)發(fā)表（ipfdb table）其實ipfdb table 和二層的MAC 地址表也是類似的，只不過里面的具體表項所代表的含義和所起的作用不同罷了。

有一個問題：在路由器等軟件轉(zhuǎn)發(fā)引擎中，每收一個報文都會去查路由表查下一跳，然后再查ARP 表找下一跳的MAC，可是在三層交換機（如S3526）中，報文轉(zhuǎn)發(fā)的時候不需要去查路由表和ARP 表，這樣的話，這兩個表是不是就沒有什么作用了？

回答當(dāng)然是否定的，在S3526 的三層轉(zhuǎn)發(fā)流程中，過程一般都是這樣的，***個報文硬件無法轉(zhuǎn)發(fā)，要進行IP 地址的學(xué)習(xí)，同時為了保證不丟包，該報文也由軟件來進行轉(zhuǎn)發(fā)，在學(xué)習(xí)完成以后，第二，第三個報文以華為認(rèn)證技術(shù)文章

后就一直是由硬件來完成轉(zhuǎn)發(fā)了，這個過程也可以套用“一次路由，多次交換”來形象的進行總結(jié)，在一次路由中，要利用路由表和ARP 表來學(xué)習(xí)IP 地址，和轉(zhuǎn)發(fā)***個報文，在以后的多次交換過程中，則只要有ipfdb table 就可以了。