不支持VLAN的交换机能否处理来自非本地VLAN的Trunk的流量

10

最近遇到了一个设置，其中工程师拥有一个多层Cisco交换机，该交换机的中继将VLAN 41承载到不支持VLAN的HP交换机。

HP交换机在收到802.1q流量后应如何处理？

我知道没有802.1q标签的本机VLAN会通过，但是中继上的其他VLAN会怎样？

— 哭泣者
source

取决于“不支持”的确切性质。如果知道0x8100协议是什么，就应该丢弃该帧。但这不是一个安全的选择。

— 瑞奇比姆（Ricky Beam）

11

不支持802.1Q标签的交换机应丢弃带标签的帧。但是，许多简单的交换机完全不符合802.1Q的要求，它们像未标记的帧一样转发标记的帧-在很大程度上破坏了VLAN分区的意图。

一个简单的开关可以简单地忽略标记Q标签的TPID，并将其视为帧有效负载，就像它之前的以太类型字段一样。结果是像未标记的帧一样切换标记的帧。由于交换机可能没有将目标MAC地址存储在SAT中，因此该帧也很可能会广播到所有端口。

切勿将VLAN中继配置为不支持它的交换机。

— 扎克67
source

交换机因为不知道目的MAC而广播数据包不是主要问题。毕竟，这是交换机一直在做的事情，最终的目的地应该支持802.1Q并做正确的事，或者不支持它并丢弃数据包。并且一旦收到对原始数据包的答复，交换机将知道通信中涉及的两个MAC地址。更麻烦的是配置，根据VLAN标签或无法处理较大数据包的交换机，需要在不同的接口上路由同一MAC。

— kasperd

请记住，标记使帧更长（增加4个字节），因此它现在可能大于预期的MTU（1518与1514）。交换机应将其丢弃为超大帧。如果将一些非常老的Cisco交换机交给未标记的端口上的1518B标记的框架，它们只会崩溃。

— 瑞奇比姆（Ricky Beam）

@RickyBeam这的确是我评论的最后一半。丢弃数据包是可以理解的行为。但是实际上导致交换机崩溃真的很糟糕。并不是您一定要信任连接到交换机的所有设备，因此，如果其中一个设备可能导致交换机崩溃，那么这就是DoS向量。

— kasperd

1

我知道没有802.1q标签的本机VLAN会通过，但是中继上的其他VLAN会怎样？

这实际上是不确定的。一些交换机会将标记的帧丢弃为畸形或巨大的帧，某些交换机将剥离标签，而某些交换机将简单地传递帧。

— 罗恩·莫平
source

在这种情况下，甚至Cisco交换机也会根据型号对标签帧进行不同的处理。我刚刚续签了证书，这个概念变成了一个很大的话题。事实证明，没有像罗恩所说的那样一个答案。您将需要从HP查找或开始测试。Wireshark对此非常方便。

— Fixitrod '17