01 先搞清角色：Access 和 Trunk 是干啥的？

Access 端口：接终端的“翻译官”

• 特点：
  • 只属于一个VLAN（缺省VLAN）
  • 对外发送帧时剥除Tag
  • 接收无Tag帧时，打上PVID的Tag
• 典型连接：PC、打印机、IP电话

Trunk 端口：连交换机的“快递干线”

• 特点：
  • 可传输多个VLAN的数据
  • 发送帧时保留VLAN Tag
  • 接收带Tag帧时，根据允许列表决定是否转发
• 典型连接：交换机之间、交换机到防火墙/服务器

关键：两种端口处理帧的方式不同，必须匹配才能通。

02 VLAN 生效的三大要素

               VLAN能否通信，取决于以下三个配置是否协同工作：

✅ 三者缺一不可！

03 数据帧的旅程：谁在决定“生不生效”？

场景1：PC → Access → Trunk → 核心 → 目标PC

[PC1] → (无Tag) → [SW-A: Access口, PVID=10]
→ (打上Tag 10) → [SW-A: Trunk口, 允许VLAN 10]
→ (带Tag 10转发) → [核心交换机]
→ 转发至目标VLAN 10网段

关键点分析：

• Access口：负责给PC的无Tag帧“贴标签”（VLAN 10）
• Trunk口：必须允许VLAN 10通过，否则丢弃
• 如果Trunk没放行VLAN 10 → 帧在SW-A内部就被丢弃，看似Access配了，实则无效

场景2：Trunk口误配导致“黑洞”

# 错误配置
interface GigabitEthernet0/0/24
port link-type trunk
# 缺少：port trunk allow-pass vlan 10

• 结果：即使Access口配了VLAN 10，Trunk口也不会转发VLAN 10的帧
• 现象：ping不通，查端口状态“Up”，但就是不通

结论：Trunk的“允许列表”才是跨设备通信的“通行证”。

04 常见误区与真相

❌ 误区1：“Access口划了VLAN，这台PC就在这个VLAN了”

• 真相：仅本地有效，若上联Trunk不放行，数据出不去

❌ 误区2：“Trunk口默认通所有VLAN”

• 真相：华为/华三设备默认只允许VLAN 1，必须手动添加

❌ 误区3：“VLAN号一样就能通”

• 真相：中间任意一台交换机没创建该VLAN，或Trunk没放行，都会中断

05 实战排查 checklist

当VLAN不通时，按顺序检查：

1. ✅ 目标VLAN是否在所有相关交换机上创建？

   display vlan 10

2. ✅ Access口是否绑定正确VLAN？

   display port vlan | include 0/0/1
   # 查看PVID和Untagged VLAN

3. ✅ Trunk口是否放行该VLAN？

   display port vlan | include 0/0/24
   # 查看Tagged VLAN列表

4. ✅ 端口是否UP？有无错包？

   display interface gigabitethernet 0/0/1

5. ✅ 是否存在环路导致STP阻塞？

   display stp brief | include ALTE

06 结语

VLAN的生效不是由单个端口决定的，而是整个路径上所有交换机协同工作的结果。

Access端口负责为终端流量“贴标签”，Trunk端口则需明确“放行”该VLAN才能跨设备传输。

真正的控制权在于交换机的VLAN数据库和端口转发规则。

因此，在部署VLAN时，必须确保：全局创建VLAN、Access口正确设置PVID、Trunk口配置允许列表。