【EVE-NG流量洞察】4、PVLAN

推荐阅读：

1、EVE-NG 2TB全网最新最全镜像下载地址（保持更新）：

https://www.emulatedlab.com/thread-939-1-1.html

2、EVE-NG 2025全网最新最全资源大全（保持更新）：

https://www.emulatedlab.com/thread-2262-1-1.html

3、EVE-NG 国代答疑频道（免费公开访问）：

https://pd.qq.com/s/8d1hglslz

1核心原理：BPF的“无知”——它根本不认识PVLAN

首先，你必须把一个概念刻在骨子里：纯BPF语法，无法直接过滤“PVLAN”这个概念。

你不能写出pvlan 101这样的过滤器。为什么？

• PVLAN是“家规”，不是“国法”：PVLAN是一种在交换机内部实现的、用于端口隔离的配置逻辑。它规定了哪些端口（isolated, community）之间不能互相通信，哪些端口（promiscuous）可以和所有人通信。
• BPF是“路上的交警”，不是“居委会大妈”：BPF过滤器工作在数据链路层，它只能看到网线上实际传输的数据包长什么样。当一个数据包从交换机的PVLAN端口发出来时，它已经被打上了标准的802.1Q VLAN标签。BPF只能看到这个VLAN ID，它根本不知道这个VLAN ID在交换机内部还扮演着“isolated”或“community”的角色。

打个比方：
一个大公司（Primary VLAN）里有很多部门（Secondary VLANs），有的部门之间不许互相串门（Isolated），有的可以（Community），而CEO办公室（Promiscuous Port）可以去任何部门。BPF就像公司大门口的保安，他只能看到员工工牌上写的部门号（VLAN ID），但他根本不知道公司内部“禁止跨部门交流”的管理规定（PVLAN策略）。

所以，想用BPF去过滤PVLAN，我们必须“曲线救国”——去过滤构成PVLAN的那些基础VLAN ID。

1.1PVLAN常见抓包分析过滤语句

要过滤PVLAN，你必须先知道你的PVLAN是怎么配置的，也就是Primary VLAN ID和Secondary VLAN ID分别是多少。

假设你的配置如下：

• Primary VLAN:100
• Isolated Secondary VLAN:101, 102
• Community Secondary VLAN:201, 202

1.1.1终极结论

• BPF的vlan关键字只能识别标准的802.1Q标签，它对PVLAN的“主/从”、“隔离/社区”这些逻辑一无所知。
• 要用BPF过滤PVLAN，你必须转换思路，去过滤组成这个PVLAN的具体VLAN ID。
• 这意味着，你的过滤策略强依赖于你的交换机配置，配置一改，过滤器也得跟着改。

2 纯BPF/libpcap过滤表达式分析PVLAN（Private VLAN）网络故障

2.1 一、PVLAN基础概念与帧结构

2.1.1 1.PVLAN类型识别

// 主VLAN (Primary VLAN) 识别 - 通常用于混杂端口 vlan and (ether[14:2] & 0x0fff) = 100 // 隔离VLAN (Isolated VLAN) 识别 vlan and (ether[14:2] & 0x0fff) = 101 // 假设101为隔离VLAN // 团体VLAN (Community VLAN) 识别 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103)

2.1.2 2.PVLAN MAC地址模式

// 混杂端口MAC地址模式（通常为路由器/网关） ether src host 00:1c:73:xx:xx:xx or ether dst host 00:1c:73:xx:xx:xx // 隔离端口MAC地址（无法相互通信） // 需要预先知道隔离端口MAC地址范围 (ether src[0] & 0x01) = 0x00 and ((ether src[0:3] = 00:0c:29) or (ether src[0:3] = 00:50:56))

2.2 二、PVLAN配置故障检测

2.2.1 1.隔离端口违规通信

// 检测隔离端口之间的直接通信（应被阻止） vlan and (ether[14:2] & 0x0fff) = 101 and (ether src[0] & 0x01) = 0x00 and (ether dst[0] & 0x01) = 0x00 and not ether dst host ff:ff:ff:ff:ff:ff and not (ether dst host 01:80:c2:00:00:00 or ether dst host 01:00:0c:cc:cc:cd) // 隔离端口尝试与其他团体VLAN通信 vlan and (ether src[0] & 0x01) = 0x00 and (ether[14:2] & 0x0fff) = 101 and ((ether[16:2] = 0x0800 and ((ip[16:4] & 0xffffff00) = 192.168.102.0 or (ip[16:4] & 0xffffff00) = 192.168.103.0)) or (ether[16:2] = 0x0806 and ((arp[24:4] & 0xffffff00) = 192.168.102.0 or (arp[24:4] & 0xffffff00) = 192.168.103.0)))

2.2.2 2.团体VLAN违规通信

// 检测不同团体VLAN之间的直接通信（应被阻止） vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and (ether src[0] & 0x01) = 0x00 and (ether dst[0] & 0x01) = 0x00 and not ether dst host ff:ff:ff:ff:ff:ff and // 源在VLAN 102，目的在VLAN 103的IP子网 ((ether[16:2] = 0x0800 and (ip[12:4] & 0xffffff00) = 192.168.102.0 and (ip[16:4] & 0xffffff00) = 192.168.103.0) or // 源在VLAN 103，目的在VLAN 102的IP子网 (ether[16:2] = 0x0800 and (ip[12:4] & 0xffffff00) = 192.168.103.0 and (ip[16:4] & 0xffffff00) = 192.168.102.0) or // ARP跨团体VLAN (ether[16:2] = 0x0806 and ((arp[14:4] & 0xffffff00) = 192.168.102.0 and (arp[24:4] & 0xffffff00) = 192.168.103.0) or ((arp[14:4] & 0xffffff00) = 192.168.103.0 and (arp[24:4] & 0xffffff00) = 192.168.102.0)))

2.2.3 3.主VLAN与辅助VLAN映射错误

// 检测主VLAN与隔离VLAN映射错误 vlan and (ether[14:2] & 0x0fff) = 100 and ((ether[16:2] = 0x0800 and (ip[16:4] & 0xffffff00) = 192.168.101.0) or (ether[16:2] = 0x0806 and (arp[24:4] & 0xffffff00) = 192.168.101.0)) // 检测主VLAN与团体VLAN映射错误 vlan and (ether[14:2] & 0x0fff) = 100 and ((ether[16:2] = 0x0800 and ((ip[16:4] & 0xffffff00) = 192.168.102.0 or (ip[16:4] & 0xffffff00) = 192.168.103.0)) or (ether[16:2] = 0x0806 and ((arp[24:4] & 0xffffff00) = 192.168.102.0 or (arp[24:4] & 0xffffff00) = 192.168.103.0)))

2.3 三、PVLAN协议故障检测

2.3.1 1.ARP在PVLAN中的问题

// 隔离端口发送ARP请求到其他隔离端口 vlan and (ether[14:2] & 0x0fff) = 101 and ether[16:2] = 0x0806 and ether[24:1] = 0x01 and (ether src[0] & 0x01) = 0x00 and (ether dst[0] & 0x01) = 0x00 and not ether dst host ff:ff:ff:ff:ff:ff // 团体端口发送ARP请求到其他团体 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and ether[16:2] = 0x0806 and ether[24:1] = 0x01 and ((arp[14:4] & 0xffffff00) != (arp[24:4] & 0xffffff00)) // 检测PVLAN中的ARP代理异常 vlan and ether[16:2] = 0x0806 and ether[24:1] = 0x02 and ether[30:6] != ether[40:6] and // 发送者MAC != 目标MAC ((ether[14:2] & 0x0fff) = 100) // 应只在主VLAN中发生

2.3.2 2.DHCP在PVLAN中的问题

// 隔离端口的DHCP请求未正确中继 vlan and (ether[14:2] & 0x0fff) = 101 and ether[16:2] = 0x0800 and (ether[22:1] & 0x0f) > 5 and ether[27:1] = 0x11 and ether[32:2] = 68 and ether[34:2] = 67 and ether[22:16:4] = 255.255.255.255 // 团体VLAN的DHCP服务器响应错误 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and ether[16:2] = 0x0800 and ether[27:1] = 0x11 and ether[32:2] = 67 and (ether[22:1] & 0x80) = 0x00 and ((ether[22:16:4] & 0xffffff00) != (ether[22:12:4] & 0xffffff00)) // 检测DHCP中继未正确处理PVLAN vlan and ether[16:2] = 0x0800 and ether[27:1] = 0x11 and ether[32:2] = 67 and (ether[22:1] & 0x80) = 0x80 and (ether[54:1] = 0x0c) and // Option 82存在 ((ether[14:2] & 0x0fff) != 100) // 但不在主VLAN中

2.3.3 3.生成树协议与PVLAN

// 检测PVLAN中的STP BPDU泄漏 vlan and ether[16:2] = 0x4242 and ((ether[14:2] & 0x0fff) = 101 or (ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) // 检测根桥在隔离VLAN中（配置错误） vlan and ether[16:2] = 0x4242 and ether[18] = 0x00 and (ether[14:2] & 0x0fff) = 101 and ether[22:8] = <根桥ID> // PVLAN端口的BPDU防护触发 vlan and ether[16:2] = 0x4242 and ((ether[14:2] & 0x0fff) = 101 or (ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and (ether[6:1] & 0x01) = 0x00 // 非多播源MAC（可能来自终端）

2.4 四、PVLAN安全攻击检测

2.4.1 1.PVLAN绕过攻击

// 尝试通过MAC地址欺骗绕过PVLAN vlan and ((ether[14:2] & 0x0fff) = 101 or (ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and ether src host 00:1c:73:xx:xx:xx // 冒充混杂端口MAC // 双标签攻击尝试绕过PVLAN隔离 ether[12:2] = 0x8100 and (ether[14:2] & 0x0fff) = 100 and ether[16:2] = 0x8100 and (ether[18:2] & 0x0fff) = 101 // 主VLAN + 隔离VLAN双标签 // 尝试使用多播地址绕过隔离 vlan and (ether[14:2] & 0x0fff) = 101 and (ether dst[0] & 0x01) = 0x01 and not ether dst host 01:80:c2:00:00:00 and not ether dst host 01:00:0c:cc:cc:cd and not ether dst host 01:00:5e:00:00:00 // 排除已知多播

2.4.2 2.ARP欺骗与PVLAN

// 隔离VLAN中的ARP欺骗尝试 vlan and (ether[14:2] & 0x0fff) = 101 and ether[16:2] = 0x0806 and ether[24:1] = 0x01 and arp[20:4] = arp[30:4] and // Gratuitous ARP ether src host <隔离端口MAC> and arp[20:4] != <隔离端口IP> // 声明其他IP地址 // 欺骗网关MAC地址 vlan and ether[16:2] = 0x0806 and ether[24:1] = 0x02 and arp[20:4] = <网关IP> and arp[20:6] != <网关MAC> and ((ether[14:2] & 0x0fff) = 101 or (ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103)

2.4.3 3.MAC泛洪与PVLAN

// 隔离VLAN中的MAC泛洪攻击 vlan and (ether[14:2] & 0x0fff) = 101 and (ether src[0] & 0x01) = 0x00 and count(ether src) by ether src over 1s > 100 // 团体VLAN中的MAC地址翻转攻击 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and (ether src = 00:00:00:00:00:01 or ether src = 00:00:00:00:00:02 or ether src = 00:00:00:00:00:03 or ether src = 00:00:00:00:00:04)

2.5 五、PVLAN性能与容量问题

2.5.1 1.广播风暴检测

// 主VLAN中的广播风暴影响所有PVLAN vlan and (ether[14:2] & 0x0fff) = 100 and ether dst ff:ff:ff:ff:ff:ff and rate() > 1000/1s // 隔离VLAN中的广播（应很少，因隔离端口不能相互通信） vlan and (ether[14:2] & 0x0fff) = 101 and ether dst ff:ff:ff:ff:ff:ff and rate() > 100/1s // 团体VLAN中的广播泛洪 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and ether dst ff:ff:ff:ff:ff:ff and rate() > 500/1s

2.5.2 2.未知单播泛洪

// 主VLAN到辅助VLAN的未知单播泛洪 vlan and (ether[14:2] & 0x0fff) = 100 and (ether dst[0] & 0x01) = 0x00 and ((ether[16:2] = 0x0800 and (ip[16:4] & 0xffffff00) = 192.168.101.0) or (ether[16:2] = 0x0800 and (ip[16:4] & 0xffffff00) = 192.168.102.0) or (ether[16:2] = 0x0800 and (ip[16:4] & 0xffffff00) = 192.168.103.0)) // 隔离VLAN内的未知单播（不应存在） vlan and (ether[14:2] & 0x0fff) = 101 and (ether dst[0] & 0x01) = 0x00 and not ether dst host ff:ff:ff:ff:ff:ff

2.5.3 3.混杂端口过载

// 检测混杂端口的流量负载 vlan and (ether[14:2] & 0x0fff) = 100 and ((ether[16:2] = 0x0800 and ((ip[16:4] & 0xffffff00) = 192.168.101.0 or (ip[16:4] & 0xffffff00) = 192.168.102.0 or (ip[16:4] & 0xffffff00) = 192.168.103.0)) or (ether[16:2] = 0x0806 and ((arp[24:4] & 0xffffff00) = 192.168.101.0 or (arp[24:4] & 0xffffff00) = 192.168.102.0 or (arp[24:4] & 0xffffff00) = 192.168.103.0))) // 检测混杂端口的ARP处理负载 vlan and (ether[14:2] & 0x0fff) = 100 and ether[16:2] = 0x0806 and rate() > 1000/1s // 高ARP速率

2.6 六、高级PVLAN诊断表达式

2.6.1 1.PVLAN与VRF集成问题

// 检测不同VRF中的PVLAN泄漏 vlan and (ether[14:2] & 0x0fff) = 100 and ether[16:2] = 0x0800 and ((ip[12:4] & 0xffffff00) = 10.0.0.0 and (ip[16:4] & 0xffffff00) = 192.168.0.0) // VRF感知的PVLAN路由问题 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and ether[16:2] = 0x0800 and ip[9] = 0x01 and // ICMP (ether[22:1] = 0x00 or ether[22:1] = 0x03 or ether[22:1] = 0x0b) // 网络/主机/管理不可达

2.6.2 2.PVLAN与ACL交互问题

// 检测被ACL拒绝的PVLAN流量 vlan and ((ether[14:2] & 0x0fff) = 101 or (ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and ether[16:2] = 0x0800 and ip[9] = 0x06 and // TCP tcp[13] & 0x04 != 0 and // RST标志 tcp[0:2] = 80 or tcp[0:2] = 443 // HTTP/HTTPS被阻止 // 检测ACL日志中的PVLAN违规 vlan and ether[16:2] = 0x0800 and ip[9] = 0x11 and // UDP udp[0:2] = 514 and // Syslog (ether[14:2] & 0x0fff) = 100 and // 来自混杂端口 ether[22:16:4] = <日志服务器IP>

2.6.3 3.PVLAN监控与管理流量

// 检测PVLAN中的SNMP监控流量 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and ether[16:2] = 0x0800 and ip[9] = 0x11 and // UDP (udp[0:2] = 161 or udp[0:2] = 162) // SNMP // 检测PVLAN中的NetFlow/sFlow导出 vlan and (ether[14:2] & 0x0fff) = 100 and ether[16:2] = 0x0800 and ip[9] = 0x11 and // UDP (udp[0:2] = 2055 or udp[0:2] = 6343 or udp[0:2] = 9995 or udp[0:2] = 9996) // 检测PVLAN配置变更通知 vlan and ether[16:2] = 0x0800 and ip[9] = 0x06 and // TCP tcp[0:2] = 22 and // SSH (ether[14:2] & 0x0fff) = 100 and // 来自混杂端口 ether[22:12:4] = <管理站IP>

2.7 七、PVLAN迁移与排错

2.7.1 1.PVLAN迁移过程中的问题

// 检测新旧VLAN并存的过渡期问题 (vlan and (ether[14:2] & 0x0fff) = 101) or // 旧隔离VLAN (vlan and (ether[14:2] & 0x0fff) = 201) // 新隔离VLAN // 检测迁移期间的IP地址冲突 vlan and ether[16:2] = 0x0806 and ether[24:1] = 0x01 and arp[20:4] = arp[30:4] and // Gratuitous ARP ((ether[14:2] & 0x0fff) = 101 and (arp[20:4] & 0xffffff00) = 192.168.201.0) or ((ether[14:2] & 0x0fff) = 201 and (arp[20:4] & 0xffffff00) = 192.168.101.0) // 检测迁移期间的路由不对称 vlan and ether[16:2] = 0x0800 and ip[9] = 0x01 and // ICMP (ether[22:1] = 0x05) and // 重定向 ((ether[14:2] & 0x0fff) = 101 or (ether[14:2] & 0x0fff) = 201)

2.7.2 2.PVLAN排错专用表达式

// 隔离VLAN的连通性测试流量 vlan and (ether[14:2] & 0x0fff) = 101 and ether[16:2] = 0x0800 and ip[9] = 0x01 and // ICMP (ether[22:1] = 0x08 or ether[22:1] = 0x00) // Echo请求或回复 // 团体VLAN内的通信测试 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and ether[16:2] = 0x0800 and (ip[12:4] & 0xffffff00) = (ip[16:4] & 0xffffff00) and // 同子网 (ip[12:4] != ip[16:4]) // 不同主机 // 混杂端口可达性测试 vlan and (ether[14:2] & 0x0fff) = 100 and ((ether[16:2] = 0x0800 and (ip[16:4] & 0xffffff00) = 192.168.101.0) or (ether[16:2] = 0x0800 and (ip[16:4] & 0xffffff00) = 192.168.102.0) or (ether[16:2] = 0x0800 and (ip[16:4] & 0xffffff00) = 192.168.103.0))

2.8 八、优化与监控技巧

2.8.1 1.PVLAN监控优化表达式

// 只监控违规流量，忽略正常流量 (vlan and (ether[14:2] & 0x0fff) = 101 and (ether src[0] & 0x01) = 0x00 and (ether dst[0] & 0x01) = 0x00 and not ether dst host ff:ff:ff:ff:ff:ff) or (vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and (ether src[0] & 0x01) = 0x00 and (ether dst[0] & 0x01) = 0x00 and ((ether[16:2] = 0x0800 and (ip[12:4] & 0xffffff00) != (ip[16:4] & 0xffffff00)) or (ether[16:2] = 0x0806 and (arp[14:4] & 0xffffff00) != (arp[24:4] & 0xffffff00)))) // 采样监控以减少负载 (vlan and ((ether[14:2] & 0x0fff) = 101 or (ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103)) and (random() & 0xff) < 64 // 25%采样率

2.8.2 2.PVLAN性能基线建立

// 主VLAN流量基线 vlan and (ether[14:2] & 0x0fff) = 100 and (ether dst[0] & 0x01) = 0x00 // 单播流量 // 隔离VLAN流量基线（应很少） vlan and (ether[14:2] & 0x0fff) = 101 and (ether dst[0] & 0x01) = 0x00 and not ether dst host <网关MAC> // 团体VLAN内部流量基线 vlan and ((ether[14:2] & 0x0fff) = 102 or (ether[14:2] & 0x0fff) = 103) and (ether dst[0] & 0x01) = 0x00 and (ether[16:2] = 0x0800 and (ip[12:4] & 0xffffff00) = (ip[16:4] & 0xffffff00))

这些BPF过滤表达式可用于诊断PVLAN网络中的各种故障，包括配置错误、安全违规、性能问题和协议异常。通过组合这些表达式，可以构建全面的PVLAN监控和故障诊断系统。