VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)），通過在支持VLAN的交換機(jī)上添加VLAN，并且動態(tài)的調(diào)整每個端口所屬VLAN（默認(rèn)端口都屬于VLAN1），實(shí)現(xiàn)一臺物理交換機(jī)上可以有多個LAN，每個LAN稱作VLAN，VLAN之間的廣播互不可達(dá)，VLAN間互不影響。每個VLAN是一個獨(dú)立的廣播域，如果不同VLAN中的結(jié)點(diǎn)想要互相訪問，需要通過一臺三層或三層以上設(shè)備才能實(shí)現(xiàn)（比如路由器、三層交換機(jī)、防火墻等）。這樣就增加了安全性，可以在三層設(shè)備上配置訪問列表來達(dá)到流量控制的目的。

為了提高處理效率，交換機(jī)內(nèi)部的數(shù)據(jù)幀一律都帶有VLANTag，以統(tǒng)一方式處理。當(dāng)一個數(shù)據(jù)幀進(jìn)入交換機(jī)接口時，如果沒有帶VLANTag，且該接口上配置了PVID（PortDefaultVLANID），那么，該數(shù)據(jù)幀就會被標(biāo)記上接口的PVID。如果數(shù)據(jù)幀已經(jīng)帶有VLANTag，那么，即使接口已經(jīng)配置了PVID，交換機(jī)不會再給數(shù)據(jù)幀標(biāo)記VLANTag。

由于接口類型不同，交換機(jī)對幀的處理過程也不同。下面根據(jù)不同的接口類型分別介紹。

表1各類型接口對數(shù)據(jù)幀的處理方式

交換機(jī)間VLAN通信過程

這一部分結(jié)合下圖，講解一下802.1Q干線協(xié)議的工作流程：

圖中PC1和PC2屬于VLAN2，PC3和PC4屬于VLAN3，SW1和SW2通過干線相連，干線運(yùn)行的是802.1Q協(xié)議。

假設(shè)PC1發(fā)送消息給PC2，剛開始PC1不知道PC2的MAC地址，所以它首先發(fā)送ARP查詢包，查詢PC2的MAC地址，ARP查詢包以廣播形式發(fā)送。

交換機(jī)SW1收到PC1發(fā)送過來的ARP查詢廣播包，SW1知道數(shù)據(jù)是從fa0/0接收到的，fa0/0被劃分到VLAN2中，是一個接入端口，SW1知道這是一個來自VLAN2的廣播包，SW1在MAC地址表中加入PC1的MAC和VLAN號以及對應(yīng)的端口號，非VLAN交換機(jī)和VLAN交換機(jī)都會根據(jù)數(shù)據(jù)的源地址進(jìn)行學(xué)習(xí)，只不過VLAN交換機(jī)除了記錄源MAC地址，還需要記錄源MAC所對應(yīng)的VLAN號。

SW1在收到的數(shù)據(jù)幀中加入VLAN2的標(biāo)識（VLAN交換機(jī)從Access（接入）端口收

到數(shù)據(jù)時需要插入VLAN標(biāo)識），接著SW1將這個VLAN2的廣播包從除接收端口以外的所有屬于VLAN2的接口以及主干發(fā)送出去，在從所有屬于VLAN2的接入接口發(fā)送出去前需要去掉VLAN標(biāo)識（VLAN交換機(jī)從Access將數(shù)據(jù)發(fā)出時要去掉VLAN標(biāo)識，否則其他計(jì)算機(jī)不能識別這個加了標(biāo)識的幀），從主干發(fā)送出去的幀不需要去掉VLAN標(biāo)識（后面介紹到的本地VLAN除外）。也就是說如果此時SW1上還有一個非主干端口也被分配到VLAN2中，這個廣播從這接入端口送出前要去掉VLAN標(biāo)識，而從SW1的fa0/2發(fā)往SW2的數(shù)據(jù)幀不需要去掉VLAN標(biāo)識（本地VLAN除外）。

PC3接收不到PC1發(fā)出的ARP廣播請求，因?yàn)檫B接PC3的端口被劃分到VLAN3中了，不屬于VLAN2，一個VLAN是一個廣播域。

當(dāng)SW2從自己的fa0/2接口（主干接口）接收到一個數(shù)據(jù)幀時，SW2查看數(shù)據(jù)幀中的VLAN標(biāo)識，并在本地MAC地址表中添加了幀中源MAC地址、VLAN號以及對應(yīng)的端口號fa0/2。接下來SW2將決定往哪轉(zhuǎn)發(fā)這個收到的數(shù)據(jù)幀，SW2通過查看VLAN標(biāo)識和目的MAC地址，知道這是一個VLAN2的廣播ARP查詢包，SW2將這個包從除接收接口（fa0/2）以外的所有屬于VLAN2的接口以及其他的主干接口（如果有）發(fā)送出去，同理，在發(fā)出去之前，如果接口屬于接入接口，則去掉VLAN標(biāo)識，如果是主干端口則保留VLAN標(biāo)識。

PC4是收不到這個廣播包的，因?yàn)椴粚儆赩LAN2，這個時候PC2收到了這個ARP請求包，發(fā)現(xiàn)請求的是自己的MAC地址，PC2封裝ARP應(yīng)答包發(fā)給SW2。

SW2收到這個應(yīng)答包，首先學(xué)習(xí)PC2的MAC地址和VLAN號以及對應(yīng)端口到自己的MAC地址表，然后給這個數(shù)據(jù)幀添加VLAN2標(biāo)識，之后SW2查詢MAC地址表，找到PC1對應(yīng)的MAC號、VLAN號和端口號，SW2比較數(shù)據(jù)幀的源MAC和目的MAC在同一個VLAN2中，SW2將數(shù)據(jù)幀從目的MAC對應(yīng)的fa0/2接口發(fā)出（PC1的MAC是第5步中收到SW1

發(fā)來的數(shù)據(jù)幀的時候記錄的）。

SW1收到這個數(shù)據(jù)幀，首先也是對源MAC、VLAN號以及對應(yīng)端口進(jìn)行學(xué)習(xí)，然后查看數(shù)據(jù)幀中的目的MAC，之前已經(jīng)保存過PC1的MAC，SW1將目的MAC所在VLAN號和源MAC所在VLAN號進(jìn)行對比，發(fā)現(xiàn)他們處于同一個VLAN2下，SW2將這個數(shù)據(jù)幀中的VLAN標(biāo)記去除并直接從目的MAC（PC1的MAC）所對應(yīng)的端口fa0/0發(fā)給PC1。

PC1成功收到ARP應(yīng)答包，接下來的通信過程和這個步驟類似。

總結(jié)：交換機(jī)何時添加802.1Q標(biāo)簽頭（VLAN標(biāo)簽）與交換機(jī)的接口有關(guān)，如果交換機(jī)的接口接的是一臺計(jì)算機(jī)，那么這個端口是接入端口，在數(shù)據(jù)幀進(jìn)入時被添加802.1Q標(biāo)簽頭，數(shù)據(jù)幀從接入端口發(fā)出時去掉標(biāo)簽頭；如果交換機(jī)的接口接的是另外一臺交換機(jī)，那么這個接口就屬于主干接口（Trunk），數(shù)據(jù)從這種接口發(fā)出一般不會去掉標(biāo)簽頭（后面演示的NativeVLAN除外）。
責(zé)任編輯人：CC