文章总结： 文章以快递分拣比喻，讲解VLAN终结原理：在子接口上剥掉/重打Tag，使单物理口承载多VLAN三层互通；区分Dot1q单层与QinQ双层终结，强调只处理带标签帧并给出配置示例，解决端口不足场景下的路由需求。 综合评分： 82 文章分类： 网络技术,安全建设,解决方案

每天一个网络知识：什么是 VLAN 终结？

原创

圈圈 圈圈

网络技术干货圈

2026年1月20日 08:12 江苏

大家好，我是圈圈，一个喜欢结交朋友的老网工！

每天一个网络知识，今天我们要聊聊：VLAN 终结

• start –

想象这样一个场景：

你有一台三层交换机，但它的物理接口数量有限。现在需要通过一个物理接口连接多个不同 VLAN 的用户（比如 VLAN 10、VLAN 20、VLAN 30），并且这些 VLAN 之间需要能够互相通信（三层互通）。

我们知道：

• 同一个 VLAN 内的设备可以二层互通；
• 不同 VLAN 之间默认不能通信，需要通过三层设备（如路由器或三层交换机）进行路由；
• 通常我们会用 VLANIF 接口（也叫 SVI）来实现 VLAN 间路由。

但问题来了：VLANIF 接口是基于 VLAN 创建的，每个 VLAN 需要一个独立的逻辑接口。如果所有 VLAN 的流量都从同一个物理接口进来，VLANIF 就无法区分它们！

这时候，VLAN 终结就派上用场了！

什么是 VLAN 终结？

VLAN 终结，简单来说，就是设备在接收到带有 VLAN 标签（Tag）的数据包后，识别并剥掉这个标签，然后进行三层转发（比如路由）。

同时，在发送数据时，再根据配置重新加上对应的 VLAN 标签。

VLAN 标签只在“终结之前”有效；一旦被终结，后续的三层处理就不再看这个标签了。

VLAN 终结的两种类型

VLAN 终结通常配置在子接口（Sub-interface） 上。根据处理的标签层数不同，分为两类：

1. Dot1q 终结（单层 VLAN 终结）

• 适用于带一层 VLAN 标签的报文；
• 入方向：剥掉最外层的一个 VLAN Tag；
• 出方向：添加一个 VLAN Tag；
• 子接口示例：GigabitEthernet0/0/1.10，终结 VLAN 10。

2. QinQ 终结（双层 VLAN 终结）

• 适用于带两层 VLAN 标签的报文（常用于运营商网络）；
• 入方向：剥掉两层VLAN Tag；
• 出方向：添加两层VLAN Tag；
• 子接口示例：GigabitEthernet0/0/1.100，终结外层 VLAN 100 + 内层 VLAN 200。

注意：无论是 Dot1q 还是 QinQ 终结子接口，都不能处理不带 VLAN 标签的普通报文。如果收到无标签的帧，设备会直接丢弃！

为什么需要 VLAN 终结？

回到开头的问题：一个物理接口如何承载多个 VLAN 的三层通信？

答案就是：

• 把一个物理接口虚拟成多个逻辑子接口；
• 每个子接口配置不同的 VLAN 终结规则；
• 设备通过子接口识别不同 VLAN 的流量，并完成路由。

例如：

• 子接口 .10 终结 VLAN 10 → 负责 VLAN 10 的三层转发；
• 子接口 .20 终结 VLAN 20 → 负责 VLAN 20 的三层转发；
• 所有流量共用同一个物理链路，节省端口资源！

可以把 VLAN 终结想象成“快递分拣中心”：

• 所有快递（数据包）都贴着标签（VLAN Tag）送到一个大门（物理接口）；
• 分拣员（子接口）看到标签后，先撕掉外包装（剥标签），查看收件人地址（IP 地址）；
• 然后根据路由规则，重新打包（加新标签），发往下一个目的地。

没有这个“撕标签+重新打包”的过程，快递就无法正确分发！

• end –

如果文章对你有帮助，感谢给个 点赞、分享、推荐、关注！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络技术干货圈 圈圈 圈圈《每天一个网络知识：什么是 VLAN 终结？》