1. 了解三层所需要的基本组件和关键组件的基本原理
      2. 比较二层交换和多层交换,解释每一种交换模式数据包的流程图
      3. 了解多层交换数据表的结构
      4. 了解集中转发和分布转发和基于命令的交换和基于拓扑的交换

        三层交换:把二层交换功能和三层功能结合起来,使得三层包转发的吞吐量达到每秒数百万个包.具有处理功能和包转发功能。包转发采用硬件实现，三层和四层性能差不多等于二层的转发性能。
        二层包交换所经过的包的转发流程：在端口收到数据包---输入端口的处理----入口的ACL的安全的检查和过滤---再执行二层的查找----找到对应 的出口或出口VLAN----VLAN的ACL过滤----经常QOS输出的限制----检测输出接口的物理链路----在物理链路进行排队----把帧 转发出去。

         三层转发流程：在端口收到 数据包---输入端口的处理----入口的ACL的安全的检查和过滤---再执行二层的查找----路由器转发模块----执行 输入的访问控制列表检查----检查IP是否能够转发----查找IP转发路由表----输出访问控制器的安全检查(ACL)--- 找到对应的出口或出口VLAN----VLAN的ACL过滤----经常QOS输出的限制----检测输出接口的物理链路----在物理链路进行排队-- --把帧转发出去。

         三层转发时IP包在输入时和输出时的变化：目的MAC地址改为下一跳地址，原MAC地址改为路由器的MAC地址，TTL=TTL-1，校验合也要重新计算。

        交换机在执行查找的时候，比如根据目的MAC地址查找，它是基于进行二进制去匹配的，把目的MAC当成一个搜索关键字，执行哈稀算法，然后得到一个指针，该指针指向交换机里的内容地址存储器(内存可编址存储器),该地方为所匹配的值。

        交换机里还有三重内容地址表，即可以匹配0、1或都不需要匹配。即为不全匹配地址。集中转发：只有一个转发表(如6500系列和4000系列)，转发时所有数据都要通过中央转发引擎，中央引擎中存在转发表。

        分布式转发：在每一个模块、端口上面都可以做本地的转发查找转发决策(比如3550和带分布式转发卡的6500)。
        基于netflow的交换(基于流的交换)，即一次路由多次交换。它是把路由处理器和专用集成电路结合起来一起工作，通过交换机的第一个三层转发(路由器 通过查寻转发信息表，得到输出接口，把数据包改写，完了之后把改写信息和转发信息传给硬件转发表里，再把数据包转发出去)。第二次数据包要做三层转发的时 候就直接查找硬件转发表，不用通过路由处理器了。
        传统的路由的三层包转发模式叫做处理器交换(一秒种只能转发数千个包)，基于流的数据交换是基于硬件的交换(一秒钟可以转发数百万个包)。
基于拓扑的交换模式(CISCO特有的，即Cef)：在数据包转发以前预先在硬件(专用集成电路)里面建立转发信息表和邻居表，所有数据包转发都不用通过路由处理器而直接通过硬件进行转发。

配置多层交换：
      1. 了解基于CEF的多层交换的特性和工作原理
      2. 配置和检验CEF
      3. 诊断CEF的故障
         Cef(cisco express forward)包括两个平面（功能模块）：控制平面和数据平面。其中控制平面(以路由器为基本组成结构)用负责软件去建立转发信息表和邻居表，并把这些 信息存放在三层转发模块和接口上。数据平面负责用硬件转发ip单播，当一个需要路由的ip包到达接口时，由三层转发模块的数据平面负责查找转发信息表，找 到下跳mac并改写数据帧。
        CEF查找用到两个表：转发信息表由路由器的路由表计算得到，邻居表有arp协议来发现。三层的数据包先经过三重的转发信息表查找，找到最佳匹配，得到邻居信息，得到邻居指针，用第二层信息对数据帧进行改写，然后转发。
        基于CEF的多层交换机工作过程：接口收到数据包(目的MAC地址是交换机的MAC，交换机便知道数据包需要三层转发)----交换机用目的IP地址去查 找IP信息表得到指向邻居表的指针----在邻居表里找到下一跳的MAC地址和VLAN号码----用下一跳MAC和交换机MAC来改写数据包----从 输出端口转发出去。

        Arp抑制：当一个新的目的地址被客户pc请求时，在三层交换的转发信息表中不存在这个mac对应的链路路径，在交换机得到正确的链路路径前，所有发往此ip的数据将被丢弃掉。

        多层交换的负载均衡：当到一个目的地址存在多条可达路径时，可在邻居表中可构建多条邻居路径，最多可为６条。分配规则可基于源，目的ip地址。源，目的地址对。
在支持cef的交换机上，cef的功能缺省是开启状态。no ip route-cache cef 命令可以关闭cef功能。

Show inte***ce inte***ce-num | begin L3查看三层包的数量
Show inte***ce inte***ce-num | include switched查看三层交换机的单，组播包的数量
Show ip cef 查看cef的运行状态
Show adjacency 查看交换机的邻居
Debug ip cef 诊断cef的信息
Debug ip cef ipc查看进程间的通信信息

VLAN之间的路由：
        1. 掌握多层交换机做VLAN路由中所用到的各种接口类型
        2. 解释VLAN之间路由的工作原理和配置
        3. 了解末端路由器它的工作原理和配置
        4. 检验VLAN之间路由的配置

交换机常见端口：
      1. 交换端口(二层物理端口)
            (1)接入端口：一般用来连接终端，中属于一个VLAN
            (2)干线端口：属于多上VLAN，可以传送多个VLAN的流量
      2. 虚拟接口(逻辑接口)
      3. 路由端口(三层交换机上有些物理端口就是一个可路由的端口，它不属于任何VLAN，在三层交换机上通过执行no switchport可以把接口置为三层路由端口)

VLAN之间路由配置：
Ip routing 激活交换机路由功能
Router ip_routing_protocol 启用路由协议
Inte***ce lan_id 创建或进入一个虚拟端口，代表一上VLAN
单臂路由：802.1Q有一个native vlan(默认VLAN)，它是没有tagged,要用一个子接口把native vlan标出来，这样在native vlan里面就有一个缺省网关(即上述的子接口。)

CCIE Security 2009 IOS防火墙合集