交换机工作原理（MAC地址表、VLAN）

目录

一、交换机的基本工作原理

数据帧的转发

MAC地址表的作用

交换机的转发方式

二、VLAN（虚拟局域网）

VLAN的定义

VLAN的作用

VLAN的实现方式

VLAN的帧标记

VLAN的通信

三、交换机与VLAN的结合

四、交换机与VLAN的实际应用场景

---

交换机是局域网中常用的网络设备，主要用于在多个设备之间高效地转发数据帧。它工作在OSI模型的数据链路层，通过MAC地址表和VLAN（虚拟局域网）等技术来实现高效的网络通信和隔离。以下是对交换机工作原理的详细讲解，重点介绍MAC地址表和VLAN的概念及作用。

一、交换机的基本工作原理

数据帧的转发

交换机的核心功能是接收数据帧，并根据帧的目的MAC地址将数据帧转发到正确的端口。与集线器（Hub）不同，交换机不会将数据帧广播到所有端口，而是通过智能转发减少网络流量，提高网络效率。

MAC地址表的作用

MAC地址表的定义：

MAC地址表（也称为交换表或转发表）是交换机内部的一个数据结构，用于记录每个端口连接的设备的MAC地址。

每个表项通常包含MAC地址和对应的端口号。

MAC地址表的建立：

当设备第一次发送数据帧时，交换机会学习源MAC地址，并将其与接收该帧的端口关联起来，记录到MAC地址表中。

例如，设备A（MAC地址为00:1A:2B:3C:4D:5E）连接到交换机的端口1，当设备A发送一个帧时，交换机会将00:1A:2B:3C:4D:5E与端口1关联起来。

这个过程称为MAC地址学习。

MAC地址表的使用：

当交换机收到一个数据帧时，它会检查帧的目的MAC地址。

如果目的MAC地址在MAC地址表中存在：

交换机会将帧转发到对应的端口。例如，如果目的MAC地址是00:1A:2B:3C:4D:5E，且该地址与端口1关联，则交换机会将帧转发到端口1。

如果目的MAC地址不在MAC地址表中：

交换机会将帧广播到所有端口（除了接收该帧的端口），以便找到目标设备。这个过程称为未知单播帧的泛洪。

MAC地址表的老化机制：

为了避免MAC地址表中记录的设备信息过时，交换机会设置一个老化时间（通常为300秒或5分钟）。

如果在老化时间内没有收到某个MAC地址的帧，交换机会自动删除该表项。

这样可以确保MAC地址表中的信息始终是最新的。

交换机的转发方式

直通转发（Cut - Through Forwarding）：

交换机在接收到帧的头部（包含目的MAC地址）后，立即开始转发帧，而不需要等待整个帧接收完成。

这种方式的优点是延迟低，但缺点是无法对帧进行错误检测。

存储转发（Store - and - Forward）：

交换机会接收完整的帧，并对其进行错误检测（如CRC校验）。

如果帧没有错误，交换机会根据目的MAC地址进行转发；如果帧有错误，则丢弃该帧。

这种方式的优点是可靠性高，但缺点是延迟相对较高。

二、VLAN（虚拟局域网）

VLAN的定义

VLAN（Virtual Local Area Network）是一种将局域网划分为多个逻辑子网的技术，用于隔离不同用户群体的流量，提高网络的安全性和管理效率。

VLAN的作用

流量隔离：

不同VLAN之间的流量默认是隔离的，不能直接通信。例如，财务部门和市场部门可以分别属于不同的VLAN，它们之间的流量不会相互干扰。

增强安全性：

VLAN可以限制广播域的范围，减少广播流量对网络性能的影响。同时，不同VLAN之间的隔离也增加了网络的安全性。

灵活的网络管理：

VLAN可以在不改变物理连接的情况下，通过软件配置实现网络的重新划分和调整。

VLAN的实现方式

基于端口的VLAN：

这是最常见的VLAN实现方式。交换机的每个端口可以被分配到一个或多个VLAN。

例如，端口1 - 10可以分配给VLAN 10（财务部门），端口11 - 20可以分配给VLAN 20（市场部门）。

当设备连接到某个端口时，它自动属于该端口所属的VLAN。

基于MAC地址的VLAN：

交换机可以根据设备的MAC地址将其分配到特定的VLAN。

这种方式的优点是设备可以连接到任何端口，但缺点是需要手动配置每个设备的MAC地址。

基于协议的VLAN：

交换机会根据数据帧的协议类型（如IPv4、IPv6、IPX等）将流量分配到不同的VLAN。

例如，所有IPv4流量可以分配到VLAN 10，所有IPv6流量可以分配到VLAN 20。

VLAN的帧标记

为了在交换机之间传输VLAN信息，需要对数据帧进行标记。最常用的标记协议是IEEE 802.1Q：

VLAN标记：

在以太网帧的类型/长度字段之后插入一个4字节的VLAN标签（Tag），其中包含VLAN ID（12位）。

VLAN ID的范围是0 - 4095，其中0和4095是保留值，实际可用的VLAN ID范围是1 - 4094。

标记帧的结构：

前导码（7字节） + 帧开始定界符（1字节） + 目的MAC地址（6字节） + 源MAC地址（6字节） + 802.1Q标签（4字节） + 类型/长度（2字节） + 数据字段（46 - 1500字节） + 帧校验序列（4字节）。

VLAN的通信

同一VLAN内的通信：

同一VLAN内的设备可以直接通信，交换机会根据MAC地址表进行帧的转发。

不同VLAN之间的通信：

不同VLAN之间的通信需要通过路由器或三层交换机（具有路由功能的交换机）来实现。

路由器或三层交换机会根据IP地址进行路由转发，同时剥离VLAN标签。

三、交换机与VLAN的结合

交换机通过VLAN技术可以实现高效的网络隔离和管理：

端口配置：

管理员可以为交换机的每个端口配置VLAN信息，指定端口属于哪个VLAN。

例如，使用命令switchport access vlan 10将端口配置为VLAN 10。

VLAN间路由：

三层交换机可以在内部实现VLAN间的路由转发，无需额外的路由器设备。

通过配置VLAN接口（如VLAN 10的IP地址为192.168.10.1/24），三层交换机可以实现不同VLAN之间的通信。

VLAN的管理：

VLAN可以通过命令行界面（CLI）或图形界面（GUI）进行配置和管理。

管理员可以创建、删除、修改VLAN，以及查看VLAN的配置信息。

四、交换机与VLAN的实际应用场景

企业网络：

不同部门（如财务、市场、研发）可以分别属于不同的VLAN，实现流量隔离和安全保护。

通过三层交换机实现部门之间的通信，同时限制不必要的流量。

学校网络：

教师和学生可以分别属于不同的VLAN，确保教学网络的稳定性和安全性。

实验室设备可以分配到特定的VLAN，便于管理和维护。

数据中心：

不同的应用系统（如Web服务器、数据库服务器）可以分别属于不同的VLAN，减少广播流量对性能的影响。

通过VLAN实现虚拟机的隔离，提高资源利用率和安全性。