当我们说标记的VLAN和未标记的VLAN时,我们是什么意思?
假设有一个交换机,我们创build了ACCESS和TRUNK端口。 ACCESS端口是VLAN 80的一部分,TRUNK端口允许VLAN 80和90.现在,当一个数据包从ACCESS端口进入交换机时,交换机会在数据包中放置一个VLAN头,否则交换机将处理它所属的VLAN至。
当一个端口被configuration为ACCESS并且是VLAN'X'的一部分,并且在该端口上我们得到一个VLAN'Y'的数据包时会发生什么? 交换机是否会丢弃它,或者是否会添加一个VLAN头“X”并转发到相应的端口/端口(双VLAN标记)。
如果configuration了Q-in-Q,则可以设置外部VLAN,并在内部使用不同的VLAN(但这需要额外的configuration。
对于“正常”(单个)VLAN,这取决于供应商/实施。 该选项要么重新标记(用VLAN80标记 – 不是很聪明),要么丢弃(更好)。
IEEE 说这样的数据包应该被丢弃:
A port can be either a Trunk port or an Access port. Traffic on Trunk links is tagged (contains an 802.1Q VLAN header); traffic on Access links is untagged. When tagged traffic is received on Access ports, it is discarded. 从标签中包含标记的数据包(不pipe它们是通过访问端口传送的事实),都存在安全问题,但是这个问题大部分都是用“好”的企业设备来解决的。