彻底搞懂交换机TAG和UNTAG

VLAN、tag和untag深入问题untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的以太网端口有三种链路类型：Access、Hybrid和Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；Hybrid 类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。

缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN 1如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。

另外需要注意的是：（1）Trunk端口不能和isolate-user-vlan同时配置；Hybrid端口可以和isolate-user-vlan同时配置。

但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN，则不允许修改缺省VLAN ID，只有在解除映射后才能进行修改。

tagged和untagged tagged和untagged遵循以下五条原则1.Tagged数据帧Tagged数据帧Untagged数据帧Untagged数据帧in out in outTagged端⼝原样接收原样发送按端⼝的pvid打tag标记按端⼝的pvid打tag标记Untagged端⼝丢弃去掉tag标记发送按端⼝的pvid打tag标记发送2. 端⼝的tagged和untagged设置，并⾮对于物理端⼝的设置，⽽是对属于这个物理端⼝的vlan的设置，也就是说⼀个vlan可以在这个端⼝下是tag的，另⼀个vlan在这个端⼝下untagged的3. 每个端⼝只有⼀个pvid，⽽且和这个pvid相同tag的vid，在这个端⼝上⼀定是untagged的4. 端⼝的pvid参数，作⽤是当接收到没有标签的数据包时进⾏打标操作，不影响设备内部的数据转发5. 如果拥有和tag标记相同的vid的物理端⼝，不管这个vid在这个物理端⼝是untagged的还是tagged的，都可以接收来⾃内部的有这个tag标记的数据包6. 如果拥有和tag标记相同的vid的物理端⼝，只有当这个vid在这个物理端⼝是tagged的时候，才能够接收来⾃外部的有这个tag标记的数据包下⾯是实际情况，港湾6808下⾯连接了港湾24E第⼀种情况：1.港湾6808上的1/1端⼝连接港湾24E的25端⼝，在1/1端⼝上vlan 2是untagged的，vlan3是tagged的2.港湾24E的25端⼝上vlan3是tag的，vlan2047(默认vlan)是untagged的3.配置港湾24E的2，3，4，5为vlan3的untagged端⼝，其他端⼝不做配置Harbour_6808(config)# show running-config!VLAN configinterface vlan Test2 2add port 1/1 untaggedip address 192.168.2.1 255.255.255.0exitinterface vlan Test3 3add port 1/1 taggedip address 192.168.3.1 255.255.255.0exitHarbour_24E(config)# show running-config!Vlan configcreate vlan Test3 tag 3config vlan Test3 add port 25 taggedconfig vlan Test3 add port 2,3,4,5 untaggedconfig port 2 inputvlan Test3config port 3 inputvlan Test3config port 4 inputvlan Test3config port 5 inputvlan Test3config ipaddress 192.168.2.230 255.255.255.0Harbour_24E (config)# show vlanVLAN ID : 2047Name : defaultMac address : 00:05:3b:0a:62:23Tagged Ports :Untagged Ports : 1 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25Description : normalVLAN ID : 3Name : Test3Mac address : 00:05:3b:0a:62:23Tagged Ports : 25Untagged Ports : 2 3 4 5Description : normal做完上述配置后，在港湾24E上查看vlan相关信息，发现2，3，4，5端⼝是vlan3的untagged，其他端⼝是vlan2047(默认vlan)的untagged⼝PC2⾃动获取地址流程如下：1.DHCP⼯作流程是：DHCP Discover，DHCP Offer，DHCP request和DHCP Ack2.流程1，PC2使⽤DHCP获取地址时，会往端⼝2⼴播DHCP Discover报⽂，港湾24E上的端⼝2上vlan3是untagged的，所以从该端⼝接收数据时，会为该数据打上vlan3的vlan信息，这⾥遵循的是原则13.流程2，然后发送到本地的vlan3，同时也会发送到和vlan3有相同vid的物理端⼝，这⾥遵循的是原则5。

交换机端口untaged、taged、trunk、access 的区别分类：系统运维来源：网络首先，将交换机的类型进行划分，交换机分为低端(SOHO级)和高端(企业级)。

其两者的重要区别就是低端的交换机，每一个物理端口为一个逻辑端口，而高端交换机则是将多个物理端口捆绑成一个逻辑端口再进行的配置的。

cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：access/ trunk/ multi/ dot1q-tunnel。

1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。

2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。

3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。

主要用于接入支持多vlan的服务器或者一些网络分析设备。

现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。

4、dot1q-tunnel: 用在Q-in-Q隧道配置中。

Cisco网络设备支持动态协商端口的工作状态，这为网络设备的实施提供了一定的方便（但不建议使用动态方式）。

cisco动态协商协议从最初的DISL（Cisco私有协议）发展到DTP（公有协议）。

根据动态协议的实现方式，Cisco网络设备接口主要分为下面几种模式：1、switchport mode access: 强制接口成为access接口，并且可以与对方主动进行协商，诱使对方成为access模式。

2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性，如果邻居接口模式为Trunk/desirable/auto之一，则接口将变成trunk接口工作。

如果不能形成trunk 模式，则工作在access模式。

这种模式是现在交换机的默认模式。

3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口，所以它是一种被动模式，当邻居接口为Trunk／desirable之一时，才会成为Trunk。

交换机端口untaged、taged、trunk、access 的区别首先，将交换机的类型进行划分，交换机分为低端(SOHO级)和高端(企业级)。

其两者的重要区别就是低端的交换机，每一个物理端口为一个逻辑端口，而高端交换机则是将多个物理端口捆绑成一个逻辑端口再进行的配置的。

cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：access/ trunk/ multi/ dot1q-tunnel。

1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。

2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。

3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。

主要用于接入支持多vlan的服务器或者一些网络分析设备。

现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。

4、dot1q-tunnel: 用在Q-in-Q隧道配置中。

Cisco网络设备支持动态协商端口的工作状态，这为网络设备的实施提供了一定的方便（但不建议使用动态方式）。

cisco动态协商协议从最初的DISL（Cisco私有协议）发展到DTP（公有协议）。

根据动态协议的实现方式，Cisco网络设备接口主要分为下面几种模式：1、switchport mode access: 强制接口成为access接口，并且可以与对方主动进行协商，诱使对方成为access模式。

2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性，如果邻居接口模式为Trunk/desirable/auto之一，则接口将变成trunk接口工作。

如果不能形成trunk模式，则工作在access模式。

这种模式是现在交换机的默认模式。

3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口，所以它是一种被动模式，当邻居接口为Trunk／desirable之一时，才会成为Trunk。

一、相关定义1、Trunk口，Trunk口上可以同时传送多个VLAN的包，一般用于交换机之间的链接。

2、Hybrid口，Hybrid口上可以同时传送多个VLAN的包，一般用于交换机之间的链接或交换机于服务器的链接。

3、Access口，Access口只能属于1个VLAN，一般用于连接计算机的端口。

4、Tag和Untag，tag是指vlan的标签，即vlan的id，用于指名数据包属于那个vlan，untag指数据包不属于任何vlan，没有vlan标记。

5、pvid，即端口vlan id号，是非标记端口的vlan id 设定，当非标记数据包进入交换机，交换机将检查vlan设定并决定是否进行转发。

一个ip包进入交换机端口的时候，如果没有带tag头，且该端口上配置了pvid，那么，该数据包就会被打上相应的tag头！如果进入的ip包已经带有tag头（vlan数据）的话，那么交换机一般不会再增加tag头，即使是端口上配置了pvid号；当非标记数据包进入交换机。

二、端口的Tag和Untag若某一端口在vlan设定中被指定为非标记端口untagged port, 所有从此端口转发出的数据包上都没有标记 (untagged)。

若有标记的数据包进入交换机，则其经过非标记端口时，标记将被去除。

因为目前众多设备并不支持标记数据包，其也无法识别标记数据包，因此，需要将与其连接的端口设定为非标记。

若某一端口在vlan设定中被指定为标记端口tagged port, 所有从此端口转发出的数据包上都将有标记 (tagged)。

若有非标记的数据包进入交换机，则其经过标记端口时，标记将被加上。

此时，其将使用在ingress 端口上的pvid设定作为增加的标记中的vlan id号。

三、端口的封装类型：ISL、802.1QISL Trunk上所有的包都是tag的（Cisco专用）；802.1q 设计的时候为了兼容与不支持VLAN的交换机混合部署，特地设计成可以不tag：但是只有一个VLAN允许不tag，这样N个VLAN，(N-1)个都tag了，不tag的包一定是来自那个特殊VLAN的，所以不会乱套。

VLAN中tagged与untagged的处理VLAN中tagged与untagged的处理2009-03-04 08:52一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化.Tag为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下几个IEEE802.1Q协议的定义；1、下面是定义的各种端口类型对各种数据帧的处理方法；in=进交换器 out=出交换机Tagged数据帧Tagged数据帧Untagged数据帧Untagged数据帧inout in out Tagged端口原样接收原样发送按端口PVID打TAG标记按照PVID打TAG标记Untagged端口丢弃去掉TAG标记按端口PVID打TAG标记原样发送2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged 数据帧；以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN 的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；在了解了以上的基础理论之后，我们在来看一下楼主的问题：一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？我们先把上述的描述变换为IEEE802.1Q的标准描述：一个数据包从PC机发出经过（Untagged 数据帧）ACCESS端口（PVID定义为100，VID=100=Untagged Port）->TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->PC数据包发生了怎么样的变化？（Untagged 数据帧）首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID 打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；另一个交换机的Trunk端口，接收到标记tag为100的tagged 数据帧，并不作任何的更改；参照上面的定理1；另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；另一个交换机的ACCESS端口在发出标记tag为100的tagged 数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；这样PC机就收到了这个数据；*************************************************************** *********************************Access、Hybrid和Trunk三种模式的理解Tag，untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了，然而笔者发现在实际工作中技术人员往往对这些概念似懂非懂，笔者根据自己的理解再结合一个案例，试图向大家阐明这些概念untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。

交换机端口的tag与untag一般来说，交换机的端口可以以tag的方式属于多个VLAN，但只能以untag的方式属于一个VLAN。

untag的方式属于的那个VLAN，称做端口的本征VLAN。

而以tag方式加入的那些VLAN，就是端口的关联VLAN了。

当一个端口收到一个不带802.1Q标记的以太网帧时，它会在该数据帧中插入该端口的本征vlan（default VID）的Tag标记值，并会在本征Vlan关联的端口根据FDB表转发。

如果根据FDB表查得的端口以tagged模式属于Vlan,交换机会保留以太网帧中的802.1Q标记并从该端口转发出去，如果是untag的，则去掉802.1Q标记并从该端口转发出去；当一个端口收到一个带802.1Q的以太网帧时，它会比较该以太网帧中的VLAN ID和所有本端口所关联VLAN的Tag标记值：A，如果有匹配的，就往该VLAN ID所标示的VLAN中转发，出端口处理方式同上B，如果都不匹配，则丢弃该数据注：FDB表，即MAC地址转发表，记录着各端口及下面端口各MAC地址的对应关系。

--------------------------------------------- 以太网端口有三种链路类型：Access、Hybrid和Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；Hybrid 类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。

端口t a g g e d和u n t a g g e d详解情况列举 Switch收发 Switch对标记的处理 remarkAccess (接收) Tagged = PVID 不接收注：部分高端产品可能接收。

Access (接收) Tagged =/ PVID 不接收注：部分高端产品可能接收。

Access (接收) Untagged 接收增加tag＝PVID 从PCAccess (发送) Tagged = PVID 转发删除tagAccess (发送) Tagged =/ PVID 不转发不处理Access (发送) Untagged 无此情况无此情况无此情况Trunk (接收) Tagged = PVID 接收不修改tagTrunk (接收) Tagged =/ PVID 接收不修改tagTrunk (接收) Untagged 接收增加tag＝PVIDTrunk (发送) Tagged = PVID If Passing then 转发删除tagTrunk (发送) Tagged =/ PVID If Passing then 转发不修改tagTrunk (发送) Untagged 无此情况无此情况无此情况（注）Hybrid (接收) Tagged = PVID 接收不修改tag 对端是trunkHybrid (接收) Tagged =/ PVID 接收不修改tag 对端是trunkHybrid (接收) Untagged 接收增加tag＝PVID 类TrunkHybrid (发送) Tagged = PVID Tag 和 untag 中列出的vlan可以passing 看Tag项和untag项Hybrid (发送) Tagged =/ PVID Tag 和 untag 中列出的vlan可以passing 看Tag项和untag项Hybrid (发送) Untagged 无此情况无此情况无此情况（注）我来解释一下收报文：Acess端口1、收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）发报文：Acess端口： 1、将报文的VLAN信息剥离，直接发送出去收报文：trunk端口： 1、收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该 VLAN的数据进入：如果可以则转发，否则丢弃发报文：trunk端口： 1、比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送收报文：hybrid端口： 1、收到一个报文2、判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃发报文：hybrid端口：1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN是untag，哪些VLAN是tag）2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送先呈请一下上面的几个帖子的术语：Tag为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下几个IEEE802.1Q协议的定理；1、下面是定义的各种端口类型对各种数据帧的处理方法；2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是讲诉物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到Untagged 数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged 数据帧；以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；在了解了以上的基础理论之后，我们在来看一下楼主的问题：一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？我们先把上述的描述变换为IEEE802.1Q的标准描述：一个数据包从PC机发出经过（Untagged 数据帧）ACCESS端口（PVID定义为100，VID=100=Untagged Port）->TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->PC数据包发生了怎么样的变化？（Untagged 数据帧）首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；这样PC机就收到了这个数据；============================================================= ========其实就是cisco中的trunk和access的区别端口接收数据时：如果端口是tagged方式，当数据包本身不包含VLAN的话，输入的数据包就加上该缺省vlan；如果数据包本身已经包含了VLAN，那么就不再添加。

交换机中tag、untag的理解情况列举Switch收发Switch对标记的处理remarkAccess (接收) Tagged = PVID 不接收注：部分高端产品可能接收。

Access (接收) Tagged =/ PVID 不接收注：部分高端产品可能接收。

Access (接收) Untagged 接收增加tag＝PVID 从PCAccess (发送) Tagged = PVID 转发删除tagAccess (发送) Tagged =/ PVID 不转发不处理Access (发送) Untagged 无此情况无此情况无此情况Trunk (接收) Tagged = PVID 接收不修改tagTrunk (接收) Tagged =/ PVID 接收不修改tagTrunk (接收) Untagged 接收增加tag＝PVIDTrunk (发送) Tagged = PVID If Passing then 转发删除tagTrunk (发送) Tagged =/ PVID If Passing then 转发不修改tagTrunk (发送) Untagged 无此情况无此情况无此情况（注）Hybrid (接收) Tagged = PVID 接收不修改tag 对端是trunkHybrid (接收) Tagged =/ PVID 接收不修改tag 对端是trunkHybrid (接收) Untagged 接收增加tag＝PVID 类TrunkHybrid (发送) Tagged = PVID Tag 和untag 中列出的vlan可以passing 看Tag项和untag项Hybrid (发送) Tagged =/ PVID Tag 和untag 中列出的vlan可以passing 看Tag项和untag项Hybrid (发送) Untagged 无此情况无此情况无此情况（注）我来解释一下收报文：Acess端口1、收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）发报文：Acess端口：1、将报文的VLAN信息剥离，直接发送出去收报文：trunk端口：1、收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃发报文：trunk端口：1、比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送收报文：hybrid端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid 端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃发报文：hybrid端口：1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN是untag，哪些VLAN是tag）2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送================================以下是神码大学郑老师的讲解，更清楚直观先呈请一下上面的几个帖子的术语：Tag为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下几个IEEE802.1Q协议的定理；1、下面是定义的各种端口类型对各种数据帧的处理方法；2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID 的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged 数据帧；以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；在了解了以上的基础理论之后，我们在来看一下楼主的问题：一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？我们先把上述的描述变换为IEEE802.1Q的标准描述：一个数据包从PC机发出经过（Untagged 数据帧）ACCESS端口（PVID定义为100，VID=100=Untagged Port）->TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->PC数据包发生了怎么样的变化？（Untagged 数据帧）首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；这样PC机就收到了这个数据；。

T ag 和untaguntag 就是普通的Ethernet 报文，普通PC 机的网卡是可以识别这样的报文进行通讯；tag 报文结构的变化是在源mac 地址和目的mac 地址之后，加上了4bytes 的vlan 信息，也就是vlan tag 头；一般来说这样的报文普通PC 机的网卡是不能识别的。

带802.1Q 的帧是在标准以太网帧上插入了 4 个字节的标识。

其中包含：2 个字节的协议标识符（TPID) ，当前置0x8100 的固定值，表明该帧带有802.1Q 的标记信息。

2 个字节的标记控制信息（TCI ），包含了三个域。

Priority 域，占3bits ，表示报文的优先级，取值0 到7 ，7 为最高优先级，0 为最低优先级。

该域被802.1p 采用。

规范格式指示符（CFI) 域，占1bit ，0 表示规范格式，应用于以太网；1 表示非规范格式，应用于T oken Ring 。

VLAN ID 域，占12bit ，用于标示VLAN 的归属。

以太网端口有三种链路类型：Access 、Hybrid 和T runk 。

Access 类型的端口只能属于 1 个VLAN ，一般用于连接计算机的端口；Trunk 类型的端口可以允许多个VLAN 通过，可以接收和发送多个VLAN 的报文，一般用于交换机之间连接的端口；Hybrid 类型的端口可以允许多个VLAN 通过，可以接收和发送多个VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid 端口和T runk 端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid 端口可以允许多个VLAN 的报文发送时不打标签，而T runk 端口只允许缺省VLAN 的报文发送时不打标签。

在这里先要向大家阐明端口的缺省VLAN 这个概念Access 端口只属于 1 个VLAN ，所以它的缺省VLAN 就是它所在的VLAN ，不用设置；Hybrid 端口和T runk 端口属于多个VLAN ，所以需要设置缺省VLAN ID 。

实验环境：1、SW1上创建VLAN 10 20G1\G3口加入VLAN1，属于ACCESS，状态为UNTAGE,PVID为1G4口加入VLAN10，属于ACCESS，状态为UNTAGE，PVID为10G6口加入VLAN20，属于ACCESS，状态为UNTAGE，PVID为20G2口为TRUNK口，允许VLAN10,20及VLAN1数据通过，PVID为1 SW2上创建VLAN10 20 30G1口加入VLAN1，属于ACCESS，状态为UNTAGE,PVID为1G4口加入VLAN10，属于ACCESS，状态为UNTAGE，PVID为10G6口加入VLAN20，属于ACCESS，状态为UNTAGE，PVID为20G3口为TRUNK口，允许VLAN10,20,30及VLAN1数据通过，PVID为1 SW1 VLAN配置如图：SW2VLAN配置如图实验1：在SW1上为G2配置一个没有的PVID看效果？失败实验2：SW1不变，在SW2上将G2口PVID由1改为20，在SW2的G2口抓包看效果？1.1.1.1无法PING通1.1.1.3,SW2上G2口抓包情况如上2图数据转发过程说明：当1.1.1.1数据包从SW1的G1口发出时，交换机发现是未打VLAN标签的数据，此时会为数据包打上VLAN1标签。

交换机检查与VLAN1关联的端口有G2/G3口，将会在2个口进行防洪，如下图：当SW1 G2口收到数据包时，拿数据包中的PVID 【VLAN1ID号】与自己的PVID相比较，发现相同，此时商品在VLAN1中的状态是UNTAGE，所以将剥离VLANID后进行转发，如下图：当数据包到达SW G2口，也就是G2口收到数据后，发现是未带标签的数据包，此时将对数据包打上PVID 20，也就是将数据转发至VLAN20中，SW2查询后发现与VLAN20关联端口有UT:G2 G6 G7 TG:G3，如下图：所以此时SW2会将此数据包在G2 G6 G7【UT】口去标签后转发，如下图：在G3【TG】口含标签转发，如下图：在G3口抓包，看数据包是否被打上PVID为20并转发到VLAN20关联【TAG】的G3口？是，如上图。

netstation:一般来说，交换机的端口可以以tag的方式属于多个VLAN，但只能以untag的方式属于一个VLAN。

untag的方式属于的那个VLAN，称做端口的本征VLAN。

而以tag方式加入的那些VLAN，就是端口的关联VLAN了。

当一个端口收到一个不带802.1Q标记的以太网帧时，它会在该数据帧中插入该端口的本征vlan（default VID）的Tag标记值，并会在本征Vlan关联的端口根据FDB表转发。

如果根据FDB表查得的端口以tagged模式属于Vlan,交换机会保留以太网帧中的802.1Q标记并从该端口转发出去，如果是untag的，则去掉802.1Q标记并从该端口转发出去；当一个端口收到一个带802.1Q的以太网帧时，它会比较该以太网帧中的VLAN ID和所有本端口所关联VLAN的Tag标记值：A，如果有匹配的，就往该VLAN ID所标示的VLAN中转发，出端口处理方式同上B，如果都不匹配，则丢弃该数据注：FDB表，即MAC地址转发表，记录着各端口及下面端口各MAC地址的对应关系。

/archive/index.php/t-115000.html---------------------------------------------以太网端口有三种链路类型：Access、Hybrid和Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN 的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。

交换机Vlan中 tagged和untagged的区别2010-08-17 17:41其实就是cisco中的trunk和access的区别端口接收数据时：如果端口是tagged方式，当数据包本身不包含VLAN的话，输入的数据包就加上该缺省vlan；如果数据包本身已经包含了VLAN，那么就不再添加。

如果是untagged方式，输入的数据包全部都要加上该缺省vlan。

不管输入的数据包是否已经有VLAN标记。

端口发送数据时：如果端口是tagged方式，如果端口缺省VLAN等于发送的数据包所含的VLAN，那么就会将VLAN标记从发送的数据包中去掉；如果不相等，则数据包将带着VLAN 发送出去，实现VLAN的透传。

如果是untagged方式，则不管端口缺省VLAN为多少，是否等于要输出的数据包的VLAN，都会将VLAN ID从数据包中去掉。

-----------------------------------------------------------------------------------------------------------------------------------在接触其他厂商设备的时候无疑都使用cisco的头脑来思考，当然以前刚入行的时候我也是如此，不能排除这个方式有助于思考，可是有些地方会让你误入歧途。

写出这些东西，希望能对这些朋友有所帮助。

例如，cisco的干道端口叫做trunk,而其他的厂商并不是如此，他们叫tagged port,而cisco的访问端口叫做access port,而其他厂家叫做untagged port。

所以当您遇到命令行或者菜单里面出现tagged/untagged port时别在郁闷了。

另外，cisco的trunk自动将vlan1-1005加进去，但这并不是trunk的国际标准，只是cisco的标准阿！！！！不要认为你把一个端口设置为tagged port以后就ok拉，不行的，有些厂家，比如inter，他们需要将端口一个一个的制定到某个vlan。

交换机中tag、untag的理解情况列举Switch收发Switch对标记的处理remarkAccess (接收) Tagged = PVID 不接收注：部分高端产品可能接收。

Access (接收) Tagged =/ PVID 不接收注：部分高端产品可能接收。

Access (接收) Untagged 接收增加tag＝PVID 从PCAccess (发送) Tagged = PVID 转发删除tagAccess (发送) Tagged =/ PVID 不转发不处理Access (发送) Untagged 无此情况无此情况无此情况Trunk (接收) Tagged = PVID 接收不修改tagTrunk (接收) Tagged =/ PVID 接收不修改tagTrunk (接收) Untagged 接收增加tag＝PVIDTrunk (发送) Tagged = PVID If Passing then 转发删除tagTrunk (发送) Tagged =/ PVID If Passing then 转发不修改tagTrunk (发送) Untagged 无此情况无此情况无此情况（注）Hybrid (接收) Tagged = PVID 接收不修改tag 对端是trunkHybrid (接收) Tagged =/ PVID 接收不修改tag 对端是trunkHybrid (接收) Untagged 接收增加tag＝PVID 类TrunkHybrid (发送) Tagged = PVID Tag 和untag 中列出的vlan可以passing 看Tag项和untag项Hybrid (发送) Tagged =/ PVID Tag 和untag 中列出的vlan可以passing 看Tag项和untag项Hybrid (发送) Untagged 无此情况无此情况无此情况（注）我来解释一下收报文：Acess端口1、收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）发报文：Acess端口：1、将报文的VLAN信息剥离，直接发送出去收报文：trunk端口：1、收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃发报文：trunk端口：1、比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送收报文：hybrid端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid 端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃发报文：hybrid端口：1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN是untag，哪些VLAN是tag）2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送================================以下是神码大学郑老师的讲解，更清楚直观先呈请一下上面的几个帖子的术语：Tag为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下几个IEEE802.1Q协议的定理；1、下面是定义的各种端口类型对各种数据帧的处理方法；————————Tagged数据帧Tagged数据帧Untagged数据帧Untagged数据帧————————in out in outTagged端口___原样接收原样发送按端口PVID打TAG标记按照PVID打TAG标记Untagged端口_丢弃去掉TAG标记按端口PVID打TAG标记原样发送2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID 的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged 数据帧；以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；在了解了以上的基础理论之后，我们在来看一下楼主的问题：一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？我们先把上述的描述变换为IEEE802.1Q的标准描述：一个数据包从PC机发出经过（Untagged 数据帧）ACCESS端口（PVID定义为100，VID=100=Untagged Port）->TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->PC数据包发生了怎么样的变化？（Untagged 数据帧）首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；这样PC机就收到了这个数据；。

交换机端口untaged、taged、trunk、access 的区别分类：系统运维来源：网络首先，将交换机的类型进行划分，交换机分为低端(SOHO级)和高端(企业级)。

其两者的重要区别就是低端的交换机，每一个物理端口为一个逻辑端口，而高端交换机则是将多个物理端口捆绑成一个逻辑端口再进行的配置的。

cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：access/ trunk/ multi/ dot1q-tunnel。

1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。

2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。

3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。

主要用于接入支持多vlan的服务器或者一些网络分析设备。

现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。

4、dot1q-tunnel: 用在Q-in-Q隧道配置中。

Cisco网络设备支持动态协商端口的工作状态，这为网络设备的实施提供了一定的方便（但不建议使用动态方式）。

cisco动态协商协议从最初的DISL（Cisco私有协议）发展到DTP（公有协议）。

根据动态协议的实现方式，Cisco网络设备接口主要分为下面几种模式：1、switchport mode access: 强制接口成为access接口，并且可以与对方主动进行协商，诱使对方成为access模式。

2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性，如果邻居接口模式为Trunk/desirable/auto之一，则接口将变成trunk接口工作。

如果不能形成trunk 模式，则工作在access模式。

这种模式是现在交换机的默认模式。

3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口，所以它是一种被动模式，当邻居接口为Trunk／desirable之一时，才会成为Trunk。

交换机中tag、untag的理解交换机中tag、untag的理解情况列举Switch收发Switch对标记的处理remarkAccess (接收) Tagged = PVID 不接收注：部分高端产品可能接收。

Access (接收) Tagged =/ PVID 不接收注：部分高端产品可能接收。

Access (接收) Untagged 接收增加tag＝PVID 从PCAccess (发送) Tagged = PVID 转发删除tagAccess (发送) Tagged =/ PVID 不转发不处理Access (发送) Untagged 无此情况无此情况无此情况Trunk (接收) Tagged = PVID 接收不修改tagTrunk (接收) Tagged =/ PVID 接收不修改tagTrunk (接收) Untagged 接收增加tag＝PVIDTrunk (发送) Tagged = PVID If Passing then 转发删除tag Trunk (发送) Tagged =/ PVID If Passing then 转发不修改tag Trunk (发送) Untagged 无此情况无此情况无此情况（注）Hybrid (接收) Tagged = PVID 接收不修改tag 对端是trunk Hybrid (接收) Tagged =/ PVID 接收不修改tag 对端是trunkHybrid (接收) Untagged 接收增加tag＝PVID 类TrunkHybrid (发送) Tagged = PVID Tag 和untag 中列出的vlan可以passing 看Tag 项和untag项Hybrid (发送) Tagged =/ PVID Tag 和untag 中列出的vlan可以passing 看Ta g项和untag项Hybrid (发送) Untagged 无此情况无此情况无此情况（注）我来解释一下收报文：Acess端口1、收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）发报文：Acess端口：1、将报文的VLAN信息剥离，直接发送出去收报文：trunk端口：1、收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVI D，并进行交换转发，如果有判断该trunk端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃发报文：trunk端口：1、比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送收报文：hybrid端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃发报文：hybrid端口：1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN是untag，哪些VLAN是tag）2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送================================以下是神码大学郑老师的讲解，更清楚直观先呈请一下上面的几个帖子的术语：Tag为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下几个IEEE802.1Q协议的定理；1、下面是定义的各种端口类型对各种数据帧的处理方法；————————Tagged数据帧Tagged数据帧Untagged数据帧Untagged数据帧————————in out in out Tagged端口___原样接收原样发送按端口PVID打TAG标记按照PVID打T AG标记Untagged端口_丢弃去掉TAG标记按端口PVID打TAG标记原样发送2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagge d Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagg ed Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Po rt或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged 数据帧；以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；在了解了以上的基础理论之后，我们在来看一下楼主的问题：一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC 数据包发生了怎么样的变化？我们先把上述的描述变换为IEEE802.1Q的标准描述：一个数据包从PC机发出经过（Untagged 数据帧）ACCESS端口（PVID定义为100，VID=100=Untagged Port）->TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VI D=100=tagged Port）->另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Unta gged Port，VID=100=tagged Port）->另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->PC数据包发生了怎么样的变化？（Untagged 数据帧）首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；这样PC机就收到了这个数据；。

taguntag和accesstrunkHybrid知识梳理注：1.Trunk叫native vlan，access叫端⼝vlan；2.tag与untag就相当于cisco的trunk与access；3.trunk的pvid相当于native vlan，access的pvid相当于端⼝vlan。

1.1 端⼝接受发送数据总述1.1.1 端⼝的Tag和Untag端⼝接收数据时：如果端⼝是tag⽅式，当数据包本⾝不包含VLAN的话，输⼊的数据包就加上该缺省vlan；如果数据包本⾝已经包含了VLAN，那么就不再添加。

如果是untag⽅式，输⼊的数据包全部都要加上该缺省vlan，不管输⼊的数据包是否已经有VLAN标记。

端⼝发送数据时：如果端⼝是tag⽅式，如果端⼝缺省VLAN等于发送的数据包所含的VLAN，那么就会将VLAN标记从发送的数据包中去掉；如果不相等，则数据包将带着VLAN发送出去，实现VLAN 的透传（不同⼚家设备的实现⽅式不⼀样，需要注意！)。

如果是untag⽅式，则不管端⼝缺省VLAN为多少，是否等于要输出的数据包的VLAN，都会将VLAN ID从数据包中去掉。

1.1.1.1 关于Tag和Untag⼀个故障实例的分析某⽹组⽹结构如下图所⽰，某路由器下挂S3526，S3526下挂S3026，S3026下⾯接了4个⽤户（两种路由器都和1.1.1描述⼀样）：其中S3526的接⼝1上接路由器，打tag标记；接⼝2接S3026，打tag标记，PVID为1。

S3026的配置是这样的：S3026的接⼝1上接S3526，打tag标记，属于VLAN 2、3、4、5，PVID为2；接⼝2接⽤户2，属于VLAN 2，PVID为2；接⼝3接⽤户3，属于VLAN 3，PVID为3；接⼝4接⽤户4，属于VLAN 4，PVID为4；接⼝5接⽤户5，属于VLAN 5，PVID为5；故障现象为：⽤户2的⽤户⽆法上⽹，⽽其它的⽤户可以上⽹；如果将S3026的上连⼝的PVID值配置为3，那么⽤户3的⽤户⽆法上⽹，其它的⽤户可以上⽹；最后我们将S3026的上连⼝的PVID值设置为1，4个⽤户的⽤户就都可以上⽹了。