当我们说标记 VLAN 和未标记 VLAN 时我们的意思是什么。
假设有一台交换机,我们在其上创建了 ACCESS 和 TRUNK 端口。ACCESS 端口是 VLAN 80 的一部分,而 TRUNK 端口允许 VLAN 80 和 90。现在,当数据包从 ACCESS 端口进入交换机内部时,交换机会在数据包中放置一个 VLAN 报头,或者交换机会处理它所属的 VLAN。
如果将端口配置为 ACCESS 并且是 VLAN“X”的一部分,而我们在该端口上收到 VLAN“Y”的数据包,会发生什么情况?交换机会丢弃该数据包还是会添加 VLAN 标头“X”并转发到相应的端口(双 VLAN 标记)。
答案1
如果配置了 Q-in-Q,则可以设置外部 VLAN,并在内部使用不同的 VLAN(但这需要额外的配置。
对于“普通”(单个)VLAN,这实际上取决于供应商/实现。选项是重新标记(使用 VLAN80 标记 - 不太聪明),或丢弃它(更好)。
电气电子工程师学会说此类数据包应被丢弃:
A port can be either a Trunk port or an Access port. Traffic on Trunk
links is tagged (contains an 802.1Q VLAN header); traffic on Access links
is untagged. When tagged traffic is received on Access ports, it is
discarded.
当标记数据包从标记被纳入 VLAN 时(不管它们是通过接入端口传入的),就会出现安全问题,但这些问题大多已通过“良好的”企业设备得到解决。