二层转发包括了普通二层转发、INLINE转发和跨VLAN二层转发。
如果设备接收到的报文目的MAC地址匹配三层接口的MAC,则通过设备的三层接口进行三层转发;否则通过设备的二层以太网接口进行二层转发。
高端防火墙支持二层INLINE转发,二层INLINE转发分为转发类型、反射类型、黑洞类型三种,工作机制分别如下:
l 转发类型:用户通过配置直接指定从某接口入的报文从特定接口出。此时,报文转发不再根据MAC表进行,而是根据用户指定的一组配对接口进行转发,发送到设备的报文从其中一个接口进入后从另一个接口转发出去。
l 反射类型:用户通过配置将某接口收到的报文处理完以后,还从该接口发送出去。
l 黑洞类型:用户通过配置将某接口收到的报文处理完以后丢弃。
INLINE转发支持子接口。
设备接收到报文的前64字节后,立即转发。
该功能可以节省报文在设备中消耗的时间,提高转发性能。
跨VLAN二层转发,顾名思义,就是由数据链路层来完成不同VLAN间的通信。目前这种技术主要应用在防火墙插卡上。
防火墙插卡是H3C为了适应灵活多变的网络应用而推出的新的防火墙形态。防火墙插卡和交换机配合使用,经过交换机的二层网络流量由防火墙插卡过滤后再进行转发,如图1-1所示。
跨VLAN二层转发的过程简述如下:
(1) 报文进入交换机,交换机对报文加上Tag标签。因为报文目的属于另一个VLAN,所以不能直接从交换机的另一个接口发送出去,报文由Trunk口发送至防火墙插卡。
(2) 防火墙插卡去掉报文中的Tag标签,加上防火墙VLAN的Tag标签,之后对报文进行相关处理(防火墙的各种安全功能)。
(3) 防火墙插卡去掉报文中防火墙VLAN的Tag标签,加上出方向子接口的编号对应VLAN的Tag标签(出方向子接口可以通过查MAC地址表确定)后把报文发送至交换机。
(4) 交换机在对应的VLAN中转发报文。