从SRv6到Panabit测试：揭秘ESXi虚拟交换机VLAN 0-4095的终极用法

在早期的文章中，我们曾经利用ESXi的虚拟交换机完成了全国SRv6骨干网的模拟（在ESXi上安装vCenter配置部署SRv6组网教程），当时的做法是新建了一台vSwitch虚拟交换机SRv6，然后使用端口组模拟连线，并为端口组指定对应的VLAN ID来隔离业务流量，如下图所示：

这种做法我用了这么多年没发现有什么不妥，知道测试Panabit时才发现带标签的VLAN流量问题（异地多VLAN互通难？Panabit iWAN二层交换方案深度解析），遇到粉丝点拨，我才发现竟然还有个特殊的VLAN 4095，那我们今天也一块学习一下。

首先，在ESXi网络中，最常用的应该就是物理网卡、虚拟交换机和端口组这三个组件了。

物理网卡这里主要是被其他模块调用，我们先创建一个标准虚拟交换机VLAN-test。

上线链路是可选配置，我们先选上vmnic3，因为没有接线，所以现在是关机状态；如果不需要，也可以点后面的叉号删掉。链路发现模式保持默认即可。安全配置的三个功能，简单说一下：

1、混杂模式，用于允许虚拟机的网络适配器接收虚拟交换机上所有流量，而不仅仅是目标为该虚拟机的数据包。此模式可以绕过虚拟交换机的过滤机制，常用于网络监控、入侵检测或流量分析场景。在生产环境中建议保持【拒绝】状态，若需启用，推荐仅在特定端口组（而非全局虚拟交换机）开启，并限制仅授权虚拟机使用。

2、MAC地址更改，用于控制虚拟机是否可以在系统内部修改其网络适配器的MAC地址。如果设置为【拒绝】，当虚拟机尝试更改MAC地址时，ESXi会阻止并丢弃相关流量。在生产环境中建议保持【拒绝】状态，防止未经授权的MAC地址篡改。

3、伪传输，用于检查虚拟机发送的数据包源MAC地址是否与注册的MAC地址一致。当设为【拒绝】时，ESXi会丢弃源MAC不匹配的流量，防止虚拟机伪装成其他设备。在生产环境中建议保持【拒绝】状态，降低ARP欺骗、MAC泛洪攻击或非法流量转发等风险。

当然，我这测试环境就可以随便搞了，直接全部选择【接受】。

接下来，我们就可以在这个虚拟交换机下添加端口组了。

新建端口组时，我们需要指定一个端口组名称，设置VLAN ID，选择虚拟交换机，同时配置安全选项。如前所述，安全选项推荐在虚拟交换机中设置为默认拒绝，端口组使用默认的【从vSwitch继承】即可实现默认拒绝的效果；如果有特殊需求，再单独修改为【接受】，或者视实际情况进行调整。

接下来，我们着重看一下这个VLAN ID。

其实，从ESXi中看VLAN ID不太明显，如果使用vCenter来配置，就能看到VLAN的区别了。

可以看到，这里将VLAN ID分为了三种类型：0、4095和其他。其中：

VLAN 0又称为EST（External Switch Tagging，外部交换机标记）模式，当ESXi端口组的VLAN ID设置为0时，报文不携带VLAN标签，由ESXi连接的外部物理交换机打上接口的VLAN标签，参考VLAN设置（网络之路24：VLAN基础实验），适用于简单网络环境。

VLAN 4095又称为VGT（Virtual Guest Tagging，虚拟客户机标记）模式，允许虚拟机自行处理标签，当ESXi端口组的VLAN ID设置为4095时，虚拟交换机在转发数据包时，会保留数据的所有VLAN标签，ESXi连接的外部物理交换机一般需要设置为trunk或hybrid模式，适用于虚拟机多VLAN接入等高级网络需求环境。

其他手工指定的VLAN（1-4094）又称为VST（Virtual Switch Tagging，虚拟交换机标记）模式，由虚拟交换机处理端口组VLAN ID为1-4094的VLAN标签，适用于大多数场景。

验证也比较简单，我们结合之前的VLAN教程再测试一下（网络之路24：VLAN基础实验），测试拓扑如下。

首先，我们将端口组的VLAN ID设置为0，并在交换机设备上创建所有VLAN。

可以看到，对于交换机而言，VLAN 0和4095为协议保留值，可以配置的VLAN范围也是1-4094，接口默认属于VLAN 1，接口链路类型默认为ACCESS。

那交换机接口使用默认配置，能通信吗？

没有问题，那我们将一端的VLAN切换到VLAN 2再试一下。

因为ACCESS接口类型本身就不带VLAN标签，接下来，我们换成Trunk接口带上VLAN标签试一下。

可以看到，当两端都使用VLAN 2标签进行通信时，ESXi虚拟交换机会直接丢弃带VLAN标签的业务报文，导致两端设备无法通信。

那如果我们将端口组的VLAN ID设置为2呢？按照虚拟交换机的处理逻辑，它会在收到报文之后剥离VLAN 2的标签，然后转发到其他虚拟机。

而在实际测试中，是无法通信的。这是因为SW223发出的报文携带了VLAN 2的标签，经虚拟交换机剥离VLAN标签之后，发送给SW224；SW224收到后，认为其是VLAN 1的流量，处理之后再从VLAN 1转发出去。而VST的处理机制是不给发送到虚拟机的报文打标签，所以当报文回到SW223时，也进入了VLAN 1。如此一来，流量就不通了。

按照VST的处理机制，应该是始终只有两台设备发出的不带VLAN标签的流量能够通信，那我们可以配置SW223的PVID为223，配置SW224的PVID为224，测试一下。

果然，VST始终允许两台设备发出的不带VLAN标签的流量通信，跟端口组配置的VLAN ID没有关系。

最后，我们测试一下VGT模式的VLAN 4095，首先将VLAN ID修改为4095。

然后配置两台交换机使用VLAN 222进行通信。

可以看到，在保持SW223的PVID为223、SW224的PVID为224的情况下，两台交换机使用VLAN 222通信成功，也就说明VGT模式允许虚拟机之间携带VLAN标签进行通信。