VLAN（VirtualLocalAreaNetwork，虛擬局域網），通過在支持VLAN的交換機上添加VLAN，并且動態的調整每個端口所屬VLAN（默認端口都屬于VLAN1），實現一臺物理交換機上可以有多個LAN，每個LAN稱作VLAN，VLAN之間的廣播互不可達，VLAN間互不影響。每個VLAN是一個獨立的廣播域，如果不同VLAN中的結點想要互相訪問，需要通過一臺三層或三層以上設備才能實現（比如路由器、三層交換機、防火墻等）。這樣就增加了安全性，可以在三層設備上配置訪問列表來達到流量控制的目的。

為了提高處理效率，交換機內部的數據幀一律都帶有VLANTag，以統一方式處理。當一個數據幀進入交換機接口時，如果沒有帶VLANTag，且該接口上配置了PVID（PortDefaultVLANID），那么，該數據幀就會被標記上接口的PVID。如果數據幀已經帶有VLANTag，那么，即使接口已經配置了PVID，交換機不會再給數據幀標記VLANTag。

由于接口類型不同，交換機對幀的處理過程也不同。下面根據不同的接口類型分別介紹。

表1各類型接口對數據幀的處理方式

交換機間VLAN通信過程

這一部分結合下圖，講解一下802.1Q干線協議的工作流程：

圖中PC1和PC2屬于VLAN2，PC3和PC4屬于VLAN3，SW1和SW2通過干線相連，干線運行的是802.1Q協議。

假設PC1發送消息給PC2，剛開始PC1不知道PC2的MAC地址，所以它首先發送ARP查詢包，查詢PC2的MAC地址，ARP查詢包以廣播形式發送。

交換機SW1收到PC1發送過來的ARP查詢廣播包，SW1知道數據是從fa0/0接收到的，fa0/0被劃分到VLAN2中，是一個接入端口，SW1知道這是一個來自VLAN2的廣播包，SW1在MAC地址表中加入PC1的MAC和VLAN號以及對應的端口號，非VLAN交換機和VLAN交換機都會根據數據的源地址進行學習，只不過VLAN交換機除了記錄源MAC地址，還需要記錄源MAC所對應的VLAN號。

SW1在收到的數據幀中加入VLAN2的標識（VLAN交換機從Access（接入）端口收

到數據時需要插入VLAN標識），接著SW1將這個VLAN2的廣播包從除接收端口以外的所有屬于VLAN2的接口以及主干發送出去，在從所有屬于VLAN2的接入接口發送出去前需要去掉VLAN標識（VLAN交換機從Access將數據發出時要去掉VLAN標識，否則其他計算機不能識別這個加了標識的幀），從主干發送出去的幀不需要去掉VLAN標識（后面介紹到的本地VLAN除外）。也就是說如果此時SW1上還有一個非主干端口也被分配到VLAN2中，這個廣播從這接入端口送出前要去掉VLAN標識，而從SW1的fa0/2發往SW2的數據幀不需要去掉VLAN標識（本地VLAN除外）。

PC3接收不到PC1發出的ARP廣播請求，因為連接PC3的端口被劃分到VLAN3中了，不屬于VLAN2，一個VLAN是一個廣播域。

當SW2從自己的fa0/2接口（主干接口）接收到一個數據幀時，SW2查看數據幀中的VLAN標識，并在本地MAC地址表中添加了幀中源MAC地址、VLAN號以及對應的端口號fa0/2。接下來SW2將決定往哪轉發這個收到的數據幀，SW2通過查看VLAN標識和目的MAC地址，知道這是一個VLAN2的廣播ARP查詢包，SW2將這個包從除接收接口（fa0/2）以外的所有屬于VLAN2的接口以及其他的主干接口（如果有）發送出去，同理，在發出去之前，如果接口屬于接入接口，則去掉VLAN標識，如果是主干端口則保留VLAN標識。

PC4是收不到這個廣播包的，因為不屬于VLAN2，這個時候PC2收到了這個ARP請求包，發現請求的是自己的MAC地址，PC2封裝ARP應答包發給SW2。

SW2收到這個應答包，首先學習PC2的MAC地址和VLAN號以及對應端口到自己的MAC地址表，然后給這個數據幀添加VLAN2標識，之后SW2查詢MAC地址表，找到PC1對應的MAC號、VLAN號和端口號，SW2比較數據幀的源MAC和目的MAC在同一個VLAN2中，SW2將數據幀從目的MAC對應的fa0/2接口發出（PC1的MAC是第5步中收到SW1

發來的數據幀的時候記錄的）。

SW1收到這個數據幀，首先也是對源MAC、VLAN號以及對應端口進行學習，然后查看數據幀中的目的MAC，之前已經保存過PC1的MAC，SW1將目的MAC所在VLAN號和源MAC所在VLAN號進行對比，發現他們處于同一個VLAN2下，SW2將這個數據幀中的VLAN標記去除并直接從目的MAC（PC1的MAC）所對應的端口fa0/0發給PC1。

PC1成功收到ARP應答包，接下來的通信過程和這個步驟類似。

總結：交換機何時添加802.1Q標簽頭（VLAN標簽）與交換機的接口有關，如果交換機的接口接的是一臺計算機，那么這個端口是接入端口，在數據幀進入時被添加802.1Q標簽頭，數據幀從接入端口發出時去掉標簽頭；如果交換機的接口接的是另外一臺交換機，那么這個接口就屬于主干接口（Trunk），數據從這種接口發出一般不會去掉標簽頭（后面演示的NativeVLAN除外）。
責任編輯人：CC