网络交换机（英语：Network switch）是一个扩大网络的器材，能为子网中提供更多的连接端口，以便连接更多的电脑。

二层交换机工作于OSI参考模型的第二层，即数据链路层。交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。因此交换机可用于划分数据链路层广播，即冲突域；但它不能划分网络层广播，即广播域。

具体可分为：

• 直通转发（cut-through）：数据包的前6个字节（MAC地址）一到达交换机，即确定目的地址，向相应端口转发该数据包。这时可能该数据包在接收端口还没有传输完。适用于网络质量好，误码率低的情形。

• 存储转发（store-and-forward）：交换机把收到的完整数据包暂存，然后检查其校验和或其他；通过检验的数据包再读取其目的地址，向相应端口转发。

• 无帧（fragment-free）：基本类似于直通转发。但对数据包的前64个字节做存储-校验-转发。因为大部分误码、碰撞（collision）发生在数据包头64字节。

通常，交换机采取直通转发，如果误码率上升到某个阈值，再改用存储转发。

当一台交换机安装配置好之后，其工作过程如下：

• 收到某网段（设为A）MAC地址为X的计算机发给MAC地址为Y的计算机的数据包。交换机从而记下了MAC地址X在网段A。这称为学习（learning）。

• 交换机还不知道MAC地址Y在哪个网段上，于是向除了A以外的所有网段转发该数据包。这称为泛洪（flooding）。

• MAC地址Y的计算机收到该数据包，向MAC地址X发出确认包。交换机收到该包后，从而记录下MAC地址Y所在的网段。

• 交换机向MAC地址X转发确认包。这称为转发（forwarding）。

• 交换机收到一个数据包，查表后发现该数据包的来源地址与目的地址属于同一网段。交换机将不处理该数据包。这称为过滤（filtering）。

• 交换机内部的MAC地址-网段查询表的每条记录采用时间戳记录最后一次访问的时间。早于某个阈值（用户可配置）的记录被清除。这称为老化（aging）。

对于全交换（full-switch）局域网，交换机每个端口只连接一台设备，因此不会发生碰撞。交换机也不需要做过滤。