“数据不知道要到另外一个网口”？交换机正常学习到客户端 MAC 地址后就可以查表把报文往对应端口送啊，除非(a)两侧设备交互的不是以太报文(b)报文已经带了 vlan 。如果是前者用直通头是唯一方案，后者要不让 5600 也参与这部分 vlan 的转发，要不配置 q-in-q 。

不是很明白楼主的意思，还是需要根据拓扑结构来判断，主交换机针对不同网络的设备的接入端口配置 vlan ，另一端交换机配置相同的 vlan ，如果主交换机的这个端口需要通过不同 vlan 的数据，那就要配置 trunk ，不知道能不能帮到楼主

@sendmailtest123
@sanshao124 我说一个具体遇到的问题。
我入了一个 PA 流控，需要串入网桥。

1~9 口都是二层网口
正常上级路由器 LAN 口 连接到 交换机的 1 口，1 口配置 vlanid=1 ，为 access
其他设备分别接入 2~9 口，vlanid=1 ，都为 access

交换机的 10 口接 PA 的 ETH0 ，为外网（接路由器方向）
交换机的 11 口接 PA 的 ETH1 ，为内网（接交换机方向）

需求：不改 2~9 口的设置和 vlan ，不动 1~11 口的接线，让数据从路由器 lan 出，经 PA ，回到交换机，给 2~9 口的设备提供网络？

我猜一个可行的方案是，需要对接的网口改成三成接口，互设置对方是网关？

数据：我 tm 怎么知道要怎么走，要不然你自己来走一下

@deorth 哈哈哈是我深入学习了交换机的原理之后，发现数据确实不知道怎么走

交换机的二层 ACL 有个问题是：它声明的是“可以”这么走，而不是“必须”这么走。和路由不一样

@phpfpm 针对#3 中描述的拓扑，假设 PA 的角色是透明网桥（ ETH0-1 桥接且不会过滤广播报文，即不是网关或路由模式）可以用纯二层组网实现你想要的效果，需要在 5600 上改动的配置也极少。


创建一个新 id 为非 1 的 vlan ，记为 x
g/1 配置 pvid = x
g/10 配置相同 pvid = x
若交换机和 PA 间启用了生成树协议，需要切换成能感知 vlan 的模式（ pvst ）
其余业务数据保持不变


以 g/2 下挂客户机 aaaa-bbbb-cccc 、g/1 下挂上级路由 dddd-eeee-ffff 为例，转发表学习到位以后双向网络就能通，而且报文走向应该符合楼主的要求，具体为
a) 客户机外发报文目的 MAC 为 dddd-eeee-ffff -> 交换机 g/2 查 vlan 1 表确定出接口 g/11 -> PA ETH1 查表确定出接口 ETH0 -> 交换机 g/10 查 vlan x 表确定出接口 g/1 -> 上级路由
b) 路由器回向报文目的 MAC 为 aaaa-bbbb-cccc -> 交换机 g/1 查 vlan x 表确定出接口 g/10 -> PA ETH0 查表确定出接口 ETH1 -> 交换机 g/11 查 vlan 1 表确定出接口 g/2 -> 客户机


底层转发表学习流程大致是这样的：

客户机发布 ARP 报文
客户机 -> g/2(5600 vlan 1 转发表学习 aaaa-bbbb-cccc 出接口 g/2) -> 泛洪至 g/11 进 PA ETH1(PA 转发表学习 aaaa-bbbb-cccc 出接口 ETH1) -> 泛洪至 PA ETH0 进 g/10(5600 vlan x 转发表学习 aaaa-bbbb-cccc 出接口 g/10) -> 泛洪至 g/1 进上级路由 LAN(上级路由器转发表学习 aaaa-bbbb-cccc 出接口 LAN)

上级路由器发布 ARP 报文
路由器 -> g/1(5600 vlan x 转发表学习 dddd-eeee-ffff 出接口 g/1) -> 泛洪至 g/10 进 PA ETH0(PA 转发表学习 dddd-eeee-ffff 出接口 ETH0) -> 泛洪至 PA ETH1 进 g/11(5600 vlan 1 转发表学习 dddd-eeee-ffff 出接口 g/11) -> 泛洪至 g/2 进客户机(客户机转发表学习 dddd-eeee-ffff 出接口交换机)


楼主若有兴趣可以用模拟器建立拓扑实验一下，用一台空配交换机平替 PA 就行。