我個人的理解是這樣的：首先dot1q封裝會在乙太網幀中加入vlan tag，標識出這個幀屬於哪個VLAN。交換機埠主要是兩種模式access和trunk，區別在於access口的報文出去不帶tag，而trunk口的報文出去仍然帶tag。在交換機內部處理的時候這些vlan tag都是存在的，交換機透過識別tag來進行邏輯隔離。

如果不配置trunk，那也就沒有封裝，同一交換機如何實現VLAN的隔離？對於這個問題，兩個不同VLAN的access介面，在交換機外部是不帶VLAN的，報文相同，但是進方向的報文會打上tag，出方向的報文會剝離tag。在交換機內部，兩個介面的報文是帶有不同vlan tag的，與介面是access還是trunk無關。下面說一下trunk的問題。trunk介面作為中繼介面，對進出報文的vlan tag不作處理，使得可以保留報文的vlan tag標籤，在另外一臺交換機內部處理時仍然是保持之前的vlan。如果跨交換機，兩個交換機分別配置VLAN10和VLAN20，如果未配置trunk，交換機A的VLAN10能否與交換機B的VLAN20互通？最後說一下這個問題，我記得前兩天在其他問題下面回答過。對於access口，vlan是在交換機內部有效，出介面的時候會進行剝離，因此當A交換機VLAN10的報文經一個access口出來的時候會剝離VLAN10變成untag報文，而之後進入B交換機的access介面時會根據埠配置再次打上VLAN20的tag。如果兩個介面都是trunk會怎麼樣？A交換機的VLAN10報文帶著VLAN tag進入交換機B，如果交換機B的trunk介面沒有permit VLAN10，那麼報文根本無法進入；如果允許，那麼VLAN10的報文會進入交換機B進行處理，此時與B交換機上的VLAN20是邏輯隔離的。

如果兩個VLAN的閘道器都在這個交換機上的話，直接就可以通，如果這個是純二層交換機的話，沒辦法互通，想讓兩個vlan聯通的根本辦法就是有路由。