在网络流量分析中,我们有时候需要识别二层vlanid来进行流量分析,wireshark工具安装完成后默认是没有设置vlanid的,需要我们手动设置。
1.打开wireshark工具,选择【编辑】---【首选项】;
2.选择【外观】---【列】,点击【+】,新增一栏;
3.如下图所示,新增一栏后点击两次后会出现选择框,进行修改,回车确认;
image.png
image.png
4.使用tcpdump进行网络抓包时,若要抓取VLAN包,需注意加-e参数显示VLAN信息。 但保存到文件时,-i any可能导致丢失VLAN信息,需指定具体接口。 确保接口处于混杂模式,以便正确捕获和解析VLAN数据,例如使用 tcpdump -i any vlan 100 -w abc.pcap 或 tcpdump -nei eth1 -w abc.pcap 。
image.png
抓包展示vlan报文(8021Q)_pc抓包报文没有802.1p字段-CSDN博客
VLAN数据帧通过添加4字节的802.1Q标签来标识VLAN信息,标签包含TPID、PRI、CFI和VID字段。接入链路用于单个VLAN的无标记帧传输,而干道链路承载多个VLAN的标记帧。交换机内部处理的是标记帧,并在与用户终端交互时添加或移除标签。Linux上可通过tcpdump或Wireshark工具抓包查看VLAN标签。
image.png
wireshark查看
TPID
0x8100
image.png
PRI
image.png
CFI
上图往后数1位
VID
上图最后数12位
注意
交换机内部处理的数据帧一律都是Tagged帧
服务器接口默认是无标记帧,但是接口可以配置为vlan口,接收和发送tagged帧
