native vlan(本徵vlan)-轉貼別人的意見

 這和dot1q沒有什麼太大關係，dot1q是一個封裝標準，我也是剛知道，Native vlan這個東西是廠家層面上的，在CISCO的產品中，有這麼一個Native vlan，可是其他廠家的設備不見得就有這麼個玩意，比如說邁普設備。
這東西有他是不太安全的，那爲什麼思科要加這麼一玩意呢，我們知道cisco是個大廠家，他自己就有很多協議嘍，在全cisco環境下，設備和設備之間有很多cisco獨有的數據在交互，比如CDP報文，BPDU報文等等，而這些處在二層的數據要想沒有障礙的在網絡中穿梭就是一個問題了，我們知道數據幀是要承載vlan信息的，那這些數據幀想要傳輸是加vlan 的tag啊，還是不加啊，加的話加哪個好呢，具體的vlan配置有不確定，所以只要想個辦法不加tag嘍，那不加tag就是Native vlan的特點了，網絡設備在其管理vlan中（通常也就是Native vlan）傳遞cisco特有的數據，在trunk鏈路中不打tag，只要我們在配置中把所有的native vlan和管理vlan配成一致的，cisco的數據就會想到哪裏到哪裏，問題就這麼搞定了，cisco是不是很聰明啊

但是要注意的是，我規劃網絡的時候，對Native vlan的不適當規劃會導致網絡的安全性和穩定性降低，比如：在trunk鏈路兩頭，native vlan不對稱，即mismatch，可以使得兩邊不同vlan可以互相通信，還有，如果把普通用戶pc劃分到native vlan裏的而不採取某些安全措施，這部分用戶會很輕易的完成vlan跳躍，對安全產生很打威脅