native vlan(本征vlan)-转贴别人的意见

 这和dot1q没有什么太大关系，dot1q是一个封装标准，我也是刚知道，Native vlan这个东西是厂家层面上的，在CISCO的产品中，有这么一个Native vlan，可是其他厂家的设备不见得就有这么个玩意，比如说迈普设备。
这东西有他是不太安全的，那为什么思科要加这么一玩意呢，我们知道cisco是个大厂家，他自己就有很多协议喽，在全cisco环境下，设备和设备之间有很多cisco独有的数据在交互，比如CDP报文，BPDU报文等等，而这些处在二层的数据要想没有障碍的在网络中穿梭就是一个问题了，我们知道数据帧是要承载vlan信息的，那这些数据帧想要传输是加vlan 的tag啊，还是不加啊，加的话加哪个好呢，具体的vlan配置有不确定，所以只要想个办法不加tag喽，那不加tag就是Native vlan的特点了，网络设备在其管理vlan中（通常也就是Native vlan）传递cisco特有的数据，在trunk链路中不打tag，只要我们在配置中把所有的native vlan和管理vlan配成一致的，cisco的数据就会想到哪里到哪里，问题就这么搞定了，cisco是不是很聪明啊

但是要注意的是，我规划网络的时候，对Native vlan的不适当规划会导致网络的安全性和稳定性降低，比如：在trunk链路两头，native vlan不对称，即mismatch，可以使得两边不同vlan可以互相通信，还有，如果把普通用户pc划分到native vlan里的而不采取某些安全措施，这部分用户会很轻易的完成vlan跳跃，对安全产生很打威胁