01 先看定义：它们到底干啥？

✅ 核心区别：是否携带802.1Q VLAN标签（Tag）

02 抓包实测：数据帧长什么样？

场景搭建：

PC1 (VLAN10) → Access口(SW1) → Trunk口(SW1-SW2) → Access口(SW2) → PC2 (VLAN10)

抓包点1：PC1发出的帧（Wireshark抓）

• 源MAC：PC1-MAC
• 目的MAC：PC2-MAC
• 以太网类型：0x0800（IPv4）
• 无VLAN标签！

结论：普通终端永远发无标签帧。

抓包点2：SW1的Trunk口发出的帧（交换机镜像抓包）

• 源MAC：PC1-MAC
• 目的MAC：PC2-MAC
• 以太网类型：0x8100 ← VLAN标签标识！
• VLAN ID：10

结论：Trunk口给帧打上VLAN标签，确保对端知道属于哪个VLAN。

抓包点3：PC2收到的帧

• 完全同抓包点1：无VLAN标签！

结论：SW2的Access口在转发前剥离了VLAN标签，还原为普通以太网帧。

03 关键机制解析

1. Access口如何工作？

• 接收帧：无论有没有标签，都视为本VLAN（PVID）流量
  → 实际中，终端不会发带标签帧，若有，通常被丢弃
• 发送帧：强制剥离VLAN标签
  → 确保终端能识别

2. Trunk口如何工作？

• 接收帧：
  • 无标签 → 归属Native VLAN（默认VLAN 1）
  • 有标签 → 按标签VLAN转发
• 发送帧：
  • Native VLAN → 不打标签
  • 其他VLAN → 打标签

⚠️ 风险点：若两端Trunk的Native VLAN不一致，会导致VLAN间串通！

04 常见误区与真相

❌ 误区1：“Trunk比Access高级”

• 真相：只是角色不同。没有Access，用户进不来；没有Trunk，VLAN跨不了设备。

❌ 误区2：“Access口不能传多个VLAN”

• 基本正确，但有例外：
  • 语音VLAN：Access口可同时传数据VLAN + 语音VLAN（通过LLDP协商）
  • 配置示例（华为）：interface gigabitethernet 0/0/1
    port link-type access port default vlan 10 voice-vlan 20 enable

❌ 误区3：“Trunk口必须放行所有VLAN”

• 错误！ 应最小化放行：port trunk allow-pass vlan 10 20 30 # 只放业务所需VLAN
  → 减少广播风暴、提升安全。

05 实战建议：如何正确使用？

✅ 黄金法则：终端用Access，设备互联用Trunk，绝不混用。

06 结语

Trunk和Access，如同“邮局”和“收件人”：Trunk负责在骨干网络中带着地址标签分拣包裹，Access负责把包裹拆掉标签交给最终用户。

抓包让我们看清了这个过程——VLAN标签在Trunk上“出生”，在Access上“死亡”。

理解这一点，你就不会再纠结“谁更重要”，而是知道“何时该用谁”。