VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)），通過(guò)在支持VLAN的交換機(jī)上添加VLAN，并且動(dòng)態(tài)的調(diào)整每個(gè)端口所屬VLAN（默認(rèn)端口都屬于VLAN1），實(shí)現(xiàn)一臺(tái)物理交換機(jī)上可以有多個(gè)LAN，每個(gè)LAN稱作VLAN，VLAN之間的廣播互不可達(dá)，VLAN間互不影響。每個(gè)VLAN是一個(gè)獨(dú)立的廣播域，如果不同VLAN中的結(jié)點(diǎn)想要互相訪問(wèn)，需要通過(guò)一臺(tái)三層或三層以上設(shè)備才能實(shí)現(xiàn)（比如路由器、三層交換機(jī)、防火墻等）。這樣就增加了安全性，可以在三層設(shè)備上配置訪問(wèn)列表來(lái)達(dá)到流量控制的目的。

為了提高處理效率，交換機(jī)內(nèi)部的數(shù)據(jù)幀一律都帶有VLANTag，以統(tǒng)一方式處理。當(dāng)一個(gè)數(shù)據(jù)幀進(jìn)入交換機(jī)接口時(shí)，如果沒(méi)有帶VLANTag，且該接口上配置了PVID（PortDefaultVLANID），那么，該數(shù)據(jù)幀就會(huì)被標(biāo)記上接口的PVID。如果數(shù)據(jù)幀已經(jīng)帶有VLANTag，那么，即使接口已經(jīng)配置了PVID，交換機(jī)不會(huì)再給數(shù)據(jù)幀標(biāo)記VLANTag。

由于接口類型不同，交換機(jī)對(duì)幀的處理過(guò)程也不同。下面根據(jù)不同的接口類型分別介紹。

表1各類型接口對(duì)數(shù)據(jù)幀的處理方式

交換機(jī)間VLAN通信過(guò)程

這一部分結(jié)合下圖，講解一下802.1Q干線協(xié)議的工作流程：

圖中PC1和PC2屬于VLAN2，PC3和PC4屬于VLAN3，SW1和SW2通過(guò)干線相連，干線運(yùn)行的是802.1Q協(xié)議。

假設(shè)PC1發(fā)送消息給PC2，剛開始PC1不知道PC2的MAC地址，所以它首先發(fā)送ARP查詢包，查詢PC2的MAC地址，ARP查詢包以廣播形式發(fā)送。

交換機(jī)SW1收到PC1發(fā)送過(guò)來(lái)的ARP查詢廣播包，SW1知道數(shù)據(jù)是從fa0/0接收到的，fa0/0被劃分到VLAN2中，是一個(gè)接入端口，SW1知道這是一個(gè)來(lái)自VLAN2的廣播包，SW1在MAC地址表中加入PC1的MAC和VLAN號(hào)以及對(duì)應(yīng)的端口號(hào)，非VLAN交換機(jī)和VLAN交換機(jī)都會(huì)根據(jù)數(shù)據(jù)的源地址進(jìn)行學(xué)習(xí)，只不過(guò)VLAN交換機(jī)除了記錄源MAC地址，還需要記錄源MAC所對(duì)應(yīng)的VLAN號(hào)。

SW1在收到的數(shù)據(jù)幀中加入VLAN2的標(biāo)識(shí)（VLAN交換機(jī)從Access（接入）端口收

到數(shù)據(jù)時(shí)需要插入VLAN標(biāo)識(shí)），接著SW1將這個(gè)VLAN2的廣播包從除接收端口以外的所有屬于VLAN2的接口以及主干發(fā)送出去，在從所有屬于VLAN2的接入接口發(fā)送出去前需要去掉VLAN標(biāo)識(shí)（VLAN交換機(jī)從Access將數(shù)據(jù)發(fā)出時(shí)要去掉VLAN標(biāo)識(shí)，否則其他計(jì)算機(jī)不能識(shí)別這個(gè)加了標(biāo)識(shí)的幀），從主干發(fā)送出去的幀不需要去掉VLAN標(biāo)識(shí)（后面介紹到的本地VLAN除外）。也就是說(shuō)如果此時(shí)SW1上還有一個(gè)非主干端口也被分配到VLAN2中，這個(gè)廣播從這接入端口送出前要去掉VLAN標(biāo)識(shí)，而從SW1的fa0/2發(fā)往SW2的數(shù)據(jù)幀不需要去掉VLAN標(biāo)識(shí)（本地VLAN除外）。

PC3接收不到PC1發(fā)出的ARP廣播請(qǐng)求，因?yàn)檫B接PC3的端口被劃分到VLAN3中了，不屬于VLAN2，一個(gè)VLAN是一個(gè)廣播域。

當(dāng)SW2從自己的fa0/2接口（主干接口）接收到一個(gè)數(shù)據(jù)幀時(shí)，SW2查看數(shù)據(jù)幀中的VLAN標(biāo)識(shí)，并在本地MAC地址表中添加了幀中源MAC地址、VLAN號(hào)以及對(duì)應(yīng)的端口號(hào)fa0/2。接下來(lái)SW2將決定往哪轉(zhuǎn)發(fā)這個(gè)收到的數(shù)據(jù)幀，SW2通過(guò)查看VLAN標(biāo)識(shí)和目的MAC地址，知道這是一個(gè)VLAN2的廣播ARP查詢包，SW2將這個(gè)包從除接收接口（fa0/2）以外的所有屬于VLAN2的接口以及其他的主干接口（如果有）發(fā)送出去，同理，在發(fā)出去之前，如果接口屬于接入接口，則去掉VLAN標(biāo)識(shí)，如果是主干端口則保留VLAN標(biāo)識(shí)。

PC4是收不到這個(gè)廣播包的，因?yàn)椴粚儆赩LAN2，這個(gè)時(shí)候PC2收到了這個(gè)ARP請(qǐng)求包，發(fā)現(xiàn)請(qǐng)求的是自己的MAC地址，PC2封裝ARP應(yīng)答包發(fā)給SW2。

SW2收到這個(gè)應(yīng)答包，首先學(xué)習(xí)PC2的MAC地址和VLAN號(hào)以及對(duì)應(yīng)端口到自己的MAC地址表，然后給這個(gè)數(shù)據(jù)幀添加VLAN2標(biāo)識(shí)，之后SW2查詢MAC地址表，找到PC1對(duì)應(yīng)的MAC號(hào)、VLAN號(hào)和端口號(hào)，SW2比較數(shù)據(jù)幀的源MAC和目的MAC在同一個(gè)VLAN2中，SW2將數(shù)據(jù)幀從目的MAC對(duì)應(yīng)的fa0/2接口發(fā)出（PC1的MAC是第5步中收到SW1

發(fā)來(lái)的數(shù)據(jù)幀的時(shí)候記錄的）。

SW1收到這個(gè)數(shù)據(jù)幀，首先也是對(duì)源MAC、VLAN號(hào)以及對(duì)應(yīng)端口進(jìn)行學(xué)習(xí)，然后查看數(shù)據(jù)幀中的目的MAC，之前已經(jīng)保存過(guò)PC1的MAC，SW1將目的MAC所在VLAN號(hào)和源MAC所在VLAN號(hào)進(jìn)行對(duì)比，發(fā)現(xiàn)他們處于同一個(gè)VLAN2下，SW2將這個(gè)數(shù)據(jù)幀中的VLAN標(biāo)記去除并直接從目的MAC（PC1的MAC）所對(duì)應(yīng)的端口fa0/0發(fā)給PC1。

PC1成功收到ARP應(yīng)答包，接下來(lái)的通信過(guò)程和這個(gè)步驟類似。

總結(jié)：交換機(jī)何時(shí)添加802.1Q標(biāo)簽頭（VLAN標(biāo)簽）與交換機(jī)的接口有關(guān)，如果交換機(jī)的接口接的是一臺(tái)計(jì)算機(jī)，那么這個(gè)端口是接入端口，在數(shù)據(jù)幀進(jìn)入時(shí)被添加802.1Q標(biāo)簽頭，數(shù)據(jù)幀從接入端口發(fā)出時(shí)去掉標(biāo)簽頭；如果交換機(jī)的接口接的是另外一臺(tái)交換機(jī)，那么這個(gè)接口就屬于主干接口（Trunk），數(shù)據(jù)從這種接口發(fā)出一般不會(huì)去掉標(biāo)簽頭（后面演示的NativeVLAN除外）。
責(zé)任編輯人：CC