在網(wǎng)絡流量分析中，我們有時候需要識別二層vlanid來進行流量分析，wireshark工具安裝完成后默認是沒有設置vlanid的，需要我們手動設置。

1.打開wireshark工具，選擇【編輯】---【首選項】；
2.選擇【外觀】---【列】，點擊【+】，新增一欄；
3.如下圖所示，新增一欄后點擊兩次后會出現(xiàn)選擇框，進行修改，回車確認；

image.png

image.png

4.使用tcpdump進行網(wǎng)絡抓包時，若要抓取VLAN包，需注意加-e參數(shù)顯示VLAN信息。 但保存到文件時，-i any可能導致丟失VLAN信息，需指定具體接口。 確保接口處于混雜模式，以便正確捕獲和解析VLAN數(shù)據(jù)，例如使用 tcpdump -i any vlan 100 -w abc.pcap 或 tcpdump -nei eth1 -w abc.pcap 。

image.png

抓包展示vlan報文（8021Q）_pc抓包報文沒有802.1p字段-CSDN博客

VLAN數(shù)據(jù)幀通過添加4字節(jié)的802.1Q標簽來標識VLAN信息，標簽包含TPID、PRI、CFI和VID字段。接入鏈路用于單個VLAN的無標記幀傳輸，而干道鏈路承載多個VLAN的標記幀。交換機內部處理的是標記幀，并在與用戶終端交互時添加或移除標簽。Linux上可通過tcpdump或Wireshark工具抓包查看VLAN標簽。

image.png

wireshark查看
TPID
0x8100

image.png

PRI

image.png

CFI
上圖往后數(shù)1位

VID
上圖最后數(shù)12位

注意
交換機內部處理的數(shù)據(jù)幀一律都是Tagged幀
服務器接口默認是無標記幀，但是接口可以配置為vlan口，接收和發(fā)送tagged幀