如何设置抓带VLAN的包

wireshark抓取数据包不显示vlan tag的解决方法VLAN tag是在802.1Q中定义的标签，带VLAN tag的报文头格式如下：01 0c cd 01 00 01 00 01 7a 01 00 52 __81 00 00 00__81 00为TPID，即表明此数据包为带802.1Q/802.1P标签的数据包；接下去的00 00为TCI（标签控制信息字段），表示为二进制共有16位，其中前3位为优先级，第4位为CFI，通常为0，第5-16位为VLAN ID，VLAN ID为0用于识别帧优先级。

某一些网卡驱动默认会在接收数据包的时候过滤vlan tag，使得用wireshark抓到的数据包中不含vlan tag，此时需要通过修改注册表让驱动保留vlan tag。

对于Intel PRO/1000或PRO/100网卡，需要将注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00xx下的MonitorModeEnabled改为1，如果不存在则新建这么一个dword键。

对于Broadcom千兆网卡，需要在注册表里增加一项PreserveVlanInfoInRxPacket=1，类型为string。

位置与TxCoalescingTicks相同，后者可以在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索到。

修改后需要重启机器让它生效。

这个修改办法是在UniCA User Manual中看到的，较新的网卡驱动里都支持这个设置，原文如下：Intel PRO/1000 or PRO/100 Ethernet controller which are used in e.g. IBM Notebooks (T40 series and others) do not forward VLAN tags to the upper layers; By default, Intel adapters strip the VLAN tag before passing it up the stack. If you need to see the tag you need to use these driver versions: PRO/100 6.x or 7.x or later base driver, PRO/1000 7.2.17.803 (plain 7.2.17 does not have this feature). To enable, you must go into the registry and either add a registry dword and value (for e100) or change the value of the registry key (for e1000). The registry dword is MonitorModeEnabled (for both). It should be placed atHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class{4D36E972-E325-1 1CE-BFC1-08002BE10318}\00xx where xx is the instance of the network adapter that you need to see tags on. (Check by opening and viewing the name of the adapter). It should be set to read: MonitorModeEnabled= 1. Note: ControlSet001 may need to be CurrentControlSet or another 00x numberFor Broadcom 570x Gigabit adapters (for example in Dell systems); Add a registry key under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet to cause the driver not to strip the 802.1Q VLAN header. In order to set that key, you need to find the right instance of the driver in Registry Editor and set that key for it.∙Run the Registry Editor (regedt32).∙Search for “TxCoalescingTicks” under"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet" and ensure this is the only instance that you have.∙Right-click on the instance number (eg. 0008) and add a new string value.∙Enter “PreserveVlanInfoInRxPacket” and give it the value “1″.∙Save and Reboot∙You may need to install a recent driver (version 8.27) to make this setting effective。

VLAN间路由配置步骤详解在进行VLAN间路由配置之前，需要确保以下几个条件满足：1. 确认设备支持VLAN功能：路由器、交换机和防火墙等网络设备需要支持VLAN功能才能进行VLAN间路由配置。

2. 确定VLAN划分范围：根据网络拓扑和需求，确定所需的VLAN 划分范围，例如将不同部门或不同楼层划分到不同的VLAN中。

3. 分配IP地址：每个VLAN需要分配一个唯一的IP子网地址，确保不同VLAN之间的IP地址不冲突。

一旦以上条件都满足，我们可以按照以下步骤进行VLAN间路由配置：1. 配置VLAN：在交换机上配置VLAN，并进行端口划分。

首先，登录到交换机的控制台或Web界面，创建VLAN并为之分配一个唯一的VLAN ID。

然后，根据需要将不同端口加入到对应的VLAN中。

2. 配置子接口：在路由器上配置VLAN间路由的子接口。

登录路由器的控制台或Web界面，为每个VLAN创建一个子接口，并将其与对应的VLAN关联起来。

为每个子接口配置IP地址，确保各个子接口之间的IP地址不冲突。

3. 配置路由：为了实现不同VLAN之间的通信，需要在路由器上进行路由配置。

根据网络拓扑和需求，配置静态路由或动态路由协议来实现VLAN间的路由。

4. 配置安全策略：为了增强网络安全性，可以在防火墙或路由器上配置安全策略，如访问控制列表（ACL）或虚拟专用网（VPN）等，限制不同VLAN之间的通信或保护敏感数据。

5. 测试与验证：完成以上配置后，需要进行测试和验证。

通过跨VLAN的主机之间进行互相ping命令测试，确保VLAN间路由配置成功。

必要时，可以进行抓包等工具的使用，检查数据包的转发情况。

总结起来，VLAN间路由配置涉及交换机、路由器和安全设备等的设置和配合。

通过合理划分VLAN、配置子接口、设置路由和安全策略，并进行有效的测试与验证，可以实现不同VLAN之间的通信和互联，提高网络的灵活性和安全性。

关于计算机网卡不能抓双层VLAN包的解决办法
1 查找计算机的设备管理器，记录下网卡的相关信息。

2 准备修改注册表的相关信息
进入regedit编辑模式
3 修改如下
找到网卡：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11 CE-BFC1-08002BE10318}\00xx，“00xx”，xx代表多少要自己对照“1”中的信息去找。

具体如下图所示。

在注册表项找到网卡后，新建字符串值MonitorModeEnabled= 1 重启计算机，就OK了。

4 未修改前的抓包结果
5 修改后的抓包结果
6 本办法的使用范围
手上无smartbit仪表抓包的情况下，用此法可临时应急抓包，供分析问题用。

此种方法是INTEL官方网站提供的方案，只能针对部分INTEL网卡。

目前能确认的是“Intel PRO/100”网卡是可以的，但遗憾的是最近一批新计算机的“Intel 82567LM-3”网卡无效。

笔记本电脑设置抓取VLAN标签的包（基于ThinkPad & win7系统）解决这个苦逼的问题也困扰了我一段时间，综合网上的各种资料，找到了一个有效的措施，分享下，希望对大家有帮助。

1．找到你的网卡（本地连接），右键→属性→高级→属性里选择“优先级和VLAN”，看右边的“值”，是不是已经启用，没有启用的话就给它启用了，确定。

（如果没有这个选项，那你可能要把网卡驱动升个高版本的了。

）2．还是在本地连接，右键→属性→详细信息→属性，选择“驱动程序关键字”，如图：记住“值”里边的最后的四位数字，我的是“0007”（不同的网卡的值可能不一样，同样的网卡可能也不一样），等下用得着；3．在“开始”里，搜索regedit，进入注册表：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E32 5-11CE-BFC1-08002bE10318}这个路径下有很多00xx，查找网卡所在目录，就是刚刚跟你说要记住的那四个数字，我的网卡是Intel(R) 82579LM的，就是0007。

4．点击00xx，看一下你有没有MonitorMode和MonitorModeEnabled两个文件，没有很正常，自己创建一个呗：右键空白的地方，“新建”里选择“DWORD（32-位）值（D）”---（注：64位机自己尝试QWORD（64位）值（D），不保证成功）。

创建出来一个了，改名称为MonitorMode，值修改为“1”同样的方法再创建一个，名称修改为“MonitorModeEnabled”,值也改为“1”。

然后就有如下图的设置了：5．最后一步，重启电脑，心中默念“一切顺利”，电脑开机了抓包试试。

1. 目的在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合，本文档提供了Wireshark的常用操作指南。

2. 围AG、ADSL现场工程师。

3. Wireshark安装作为Ethereal的替代产品，Wireshark（）是一款优秀且免费的抓包分析软件，可到Internet自行下载安装。

Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。

4. Wireshark使用4.1 抓包点击菜单Capture -> Option s…，打开Capture Options窗口。

在Interface中选择网络接口；在Capture Filter中输入需要过滤的协议（如过滤megaco协议，输入udp port 2944）；在Capture File(s)的File中输入要保存的抓包文件名，如要将抓包分文件保存，则在Use multiple files中选择保存文件的分割机制，如下图每5M 就保存一个文件；如需要实时显示抓包结果并让抓包结果自动滚屏，则在Display Options中选中Update list of packets in real time和Automatic scrolling in live capture。

Interface：这项用于指定截包的网卡。

Link-layer header type：指定链路层包的类型，一般使用默认值。

Buffer size（n megabyte（s））：用于定义Ethereal用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。

如果遇到ethereal丢包现象，将该缓冲尽量增大。

Capture packets in promiscuous mode：截包时，Ethereal将网口置于混杂模式。

如果没有配置这项，Ethereal只能截取该PC发送和接收的包（而不是同一LAN上的所有包）。

Limit each packet to n bytes：定义Ethereal截取包的最大数据数，大于这个值的数据包将被丢掉。

windows下⽹卡抓不到vlan的原因
windows下⽹卡⽆法抓到VLAN包的问题解决办法
在⽹络测试涉及到vlan的相关测试时，我尝试在⽹卡上抓包，发现⽆法发来的包带单层或双层的vlan，都会被剥掉vlan。

找了⼀圈的原因，发现是⽹卡设置的问题。

有部分⽹卡默认的设置就是会剥掉vlan的。

如我这⾥使⽤“Realtek PCIe GBE Family Controller”驱动的⽹卡就是这样。

那接下来说下怎么将这种情况的⽹卡设置成不剥掉vlan。

1.关闭⽹卡的“优先级和VLAN”
⽹卡上右键--》属性--》配置--》⾼级--》优先级和VLAN
并且这⾥记录下该⽹卡的设备匹配ID
⽹卡上右键--》属性--》配置--》详细信息--》匹配设备Id
2.修改注册表打开monitor模式
win+R--》输⼊regedit--》找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class{4d36e972-e325-11ce-bfc1-
08002be10318}\00??--》修改MonitorModeEnabled为1
ps：00??的具体位置得你⾃⼰确定下来。

⽐如我这⾥就是0001,确定⽅式如下：
3.重启电脑
做完上⾯的设置之后，需要重启电脑使其⽣效。

之后不出意外就能抓到带vlan的报⽂了。