没有VLAN的古老交换机 话说最早的一座古城（交换机）所有的端口都属于一个国家（没有VLAN的概念），其它的古城也属于这个国家，自然古城之间的城门也属于这个国家，天下大同。 有VLAN的现代交换机 后来国家大了，城里的臣民越来越多，遇到屁大点事臣民会叽叽喳喳，闹哄哄不利于管理，于是国王决定将国家分成若干个郡国（VLAN），可能每座古城里都有不同的郡国的臣民。 交换机Access端口 每个郡国的臣民（Ethernet Frame）进入城门（Access 端口）之后，都会被门卫强制穿上一件属于这个郡国的特定颜色的马甲，有黄色、蓝色、橙色（分属不同VLAN）…，当臣民需要离开古城时，门卫需要强制脱掉马甲，这样臣民就会不穿任何马甲回到自己的家。 交换机Trunk端口 当臣民需要到另外一个古城时，需要经过古城之间的城门（Trunk口），有了这些不同颜色的马甲，入口的门卫可以知道这个臣民属于哪个郡国。 VLAN消息隔离 不同郡国内发布的消息（ARP等广播）只会属于这个郡国的臣民可以接收到。 VLAN之间通信 如果郡国之间的臣民需要沟通交流，需要经过一个关卡（Gateway），关卡会先脱掉原来郡国颜色的马甲，完成必要得通关手续（路由查找），再穿上目的郡国颜色的马甲，双向都是这么处理，完成通信。 读者一定知道，国家大了，就会滋生特权，于是出现了一些特权： 支持802.1Q的主机 有些权贵阶层（支持802.1Q的主机）抱怨说：罢了，每天经过城门都要被门卫搜身、穿马甲，TMD太烦了，搞的像做贼似的。于是和郡王商量，能否我在家就穿好马甲，免得被门卫搜身？郡王说：善！于是权贵就这么做了，入口时门卫直接放行，权贵们溜达完了，回家的时候途径城门，门卫自然不敢阻拦，于是权贵子弟穿着自己一直穿着的马甲，大摇大摆地离开了城门，到家了再脱掉。 Native VLAN 还有一些地头蛇，要到另外一个古城，途径古城城门时对门卫骂骂咧咧：穿着这个破马甲TMD太烦了，老子不穿了，于是仍在地上，门卫自然不敢怠慢：老大，别发火，不穿就不穿好了。于是地头蛇没有穿任何马甲，大摇大摆离开了城门，当到达另外一个城门时，门卫的势力眼一瞅，就明白了，哦，这个赤佬是地头蛇郡国（Native VLAN）的人，于是找来地头蛇郡国的马甲给他穿上，起初地头蛇死活不肯穿，但门卫一句话就让地头蛇焉了：在皇城内不穿马甲，杀无赦！于是地头蛇乖乖就范，穿上了马甲。 Cisco Voice Vlan 皇亲国戚于是又和郡王商量，咱家的主人（IP 电话）在家就套上黄马褂（Voice VLAN），免得被门卫搜身；至于仆人（个人电脑）该怎样就怎样如何？ 郡王曰：然！于是主人们套上黄马褂在城门处、城门内横行无阻。而仆人们就没有那么好福气了，在城门入口处被搜身并强制套上马甲，出城时再脱掉。 QinQ 当臣民需要穿越另外一个国家（穿越另外一个二层交换网络），看清楚了，是另外一个国家，而不是一个郡国。这个国家的国王有命令：不管外来臣民原来穿什么马甲，黄马甲、白马甲，到我的地盘一律给我在外面套上灰马甲（Service VLAN），一直到离开朕的国家，才可以脱掉灰色马甲。 -------- 原始答案------- 先来回答这个问题，交换机Trunk 口，俗称的主干端口，用于交换机之间的互联，在该主干端口上可以传输任意VLAN的帧，在传输的过程中，需要保留每个VLAN帧的802.1Q，这样对端的交换机可以依据802.1Q里的 VLAN ID值来决定，接收到的帧属于哪个VLAN，便于进一步的处理。 以太网帧从进入交换机的那一刻，就会穿上一个802.1Q 马甲（ 缺省情况下，VLAN 1 不需要，至于为什么，接下来会详细阐述），并且会一直穿着这个马甲，直到最终从交换机的端口离开交换网络（有例外情况，接下来会阐述）。 一句话，802.1Q马甲从进入交换网络一直不离身，交换机可以依据802.1Q里的 VLAN ID值来在特定VLAN ID的 MAC Address Table 完成交换。 进一步的阅读： VLAN 给很多初学网络的读者造成了很大的困扰，写这篇文章帮助大家理清VLAN与交换机的概念。 二层交换机端口类型： Access Mode 接入端口，用于接入主机、服务器、打印机、IP电话等接入设备，帧进入交换机端口，穿上802.1Q马甲。离开交换机端口，脱掉马甲，毕竟马甲是属于交换机的财产，接入设备（用户电脑）一般也不知道该马甲派何用场，所以不会自己穿马甲，交换机帮它穿上马甲，离开时，交换机帮它脱掉。 802.1Q马甲嵌入在以太帧中的位置及格式： Trunk Mode 一般用于交换机之间的互联端口，也有例外，有些服务器物理接口可以发送、接收 802.1Q帧，所以相连的交换机端口也需要配置Trunk Mode。 还有一种跑在服务器上vSwitch，一种软件交换机，也同样需要连接服务器的交换机端口配置Trunk Mode，因为vSwitch需要支持多VLAN，自然需要配置一个支持多VLAN传输的Trunk 端口。 802.1Q Tunnel Mode 对于初学者，这是最难以理解的端口类型。举个例子：运营商给某公司提供二层接入，用户的802.1Q帧进入运营商交换机端口，该端口配置为802.1Q Tunnel Mode，交换机就会在用户802.1Q字段前加上属于运营商的802.1Q，于是就有了两个802.1Q，俗称 QinQ。 为什么要QinQ？有啥好处？ 可以将用户VLAN MAC Address Table 在QinQ处隔离，避免用户的MAC Address Table 冲击运营商的MAC Address Table。 同时目前802.1Q内VLAN只有12位，最大4096，如果不采用QinQ，一个客户使用一个VLAN，那最大只能支持4096个客户。而采用QinQ 则可以提供 4096 * 4096 = 种选择。 Native VLAN 土著，如果trunk 端口 Native VLAN= 1，则 VLAN 1 帧途径该trunk 端口，则可以不需要穿802.1Q马甲，因为对端交换机也知道该潜规则，到达对端再穿上马甲也不迟。当然，一直穿着马甲更没有什么问题。 Cisco Voice VLAN 熟悉cisco 交换机的读者，一般都见识过 access mode 端口可以配置两个VLAN，一个用于电脑的Data VLAN，一个用于IP电话的Voice VLAN，如何分辨它们呢？ 交换机对于Data VLAN，电脑的进出流量在该端口上都是没有穿马甲的，交换机知道该潜规则，知道它属于Data VLAN，会帮它穿上黄马甲。 而对于Voice VLAN的流量则需要在IP电话上先穿上蓝马甲，毕竟IP 电话机可以认识802.1Q，并且可以正确处理，交换机会保留这个蓝马甲。 通过以上方法，可以将数据、语音流量分离开来，达成了预期的目标。