本次实验背景：
本想为学员抓取一下trunk的isl封装和802.1q封装,用于学习了解,两种不同的封装模式的区别以便于更好的理解dot1q,eve中并无法抓取到isl的封装,下午就用了真机抓，然而非常奇怪的是当时isl的抓取非常正常，可以明显的看到ISL的VLAN ID插入在以太II之前

802.1q却无法抓取,这非常不符合逻辑，一度怀疑理论知识出现了问题，交换机的trunk链路不可能发不出802.1q封装的数据包。换了华为和思科两台设备均抓取不到,怀疑802.1q标签已经被剥离。

排错过程:
经历****一顿查找,原来抓取不到802.1q标签的原因是这样
问题描述：
1.用sniffer/Ethereal(WireShark)/EtherPeek等软件，在接入层设备的以太网口镜像抓包是分析问题的基本方法之一，然而很多维护人员在实际操作时发现，自己的台式机或笔记本抓到的数据报看不到VLAN标记。难以区分数据流是从哪个vlan过来的。给问题分析造成不便。

2.Window的网卡大多数情况下默认会剥离802.1q tag，所以在利用wireshark等抓包工具抓包时，都看不到tag字段，有时候这给实验带来很多不便。

3.近几年的笔记本电脑，尤其是带千兆以太网卡的电脑，所采用的千兆网卡不仅10/100/1000M自适应、直联/交叉自适应，而且网卡驱动会自动识别并剔除数据包中的vlan标记。功能是很强大的,但却给我们二层网络抓包的数据分析造成了不便之处。

4.因为VLAN是软件级别的功能，理论上只要驱动支持，任何网卡都可以支持VLAN。所以原理上可以通过修改windows系统的注册表来实现；经验证，该方法也确实可行。

新的痛苦过程:
1号坑:****的资料都较为久远，什么是2013，2016和2018年的资料，要不就是WinXP或者Win7的资料，没有Win10的注册表配置资料。经历了将近1个小时的排查和测试终于解决
网卡：Intel® 82579LM网卡
操作系统：Win10 64位 企业版 版本号1909

操作步骤：
1)首先查找本机网卡的驱动程序关键字，此电脑-右键-属性-设备管理器-网络设备器-物理网卡

2)右键-属性-进入网卡,查看物理网卡的驱动程序关键字
本案例中该值为:{4d36e972-e325-11ce-bfc1-08002be10318}\0002

3)打开注意表。

按键盘的WIN+R键（WIN键是小窗户按键,不行自动百度如果进入注册表），然后输入regedit，回车打开注册表

4)查找驱动程序关键字

计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class{4d36e972-e325-11ce-bfc1-08002be10318}\0002
其中红底部分的驱动程序关键字根据不同的电脑不同有所不同
主要根据DeviceDesc找到和自己网卡相同的表项。

5)查找注册表字段并修改值

如果有注册表字段MonitorModeEnabled或MonitorMode，并修改其值为1。

如果没有注册表字段MonitorModeEnabled或MonitorMode,则手工添加,并将该值修改为1

2号坑:这里又给****挖了坑,****的历史资料说64位系统使用QWORD 64位值,
然而我个人测试并不可以成功,反倒是使用了DWORD的32位值成功了,所以建议都配置成DWORD值。
3号坑:还有一个其他的****的坑,有的历史资料说是只需要关键字MonitorMode监控模式为1,还有资料说还需要一个关键字MonitorModeEnable监控模式启用为1,看字面意思,我觉得两个都需要为1,所以我都进行了分别进行了添加并修改了值为1

6)禁用物理网卡再启用物理网卡再次wireshark抓包测试

先禁用再启用物理网卡,无需要重启PC

成功抓取到802.1q封装的数据帧.可以明显看到是插入在以太II源目MAC与TYPE类型之间
以上就为ISL与802.1q封装方式上的区别，一个是思科私有,一个是公有的

以上内容引自****的部分贴子,部分自己测试抓取并截图，供后来的学习者进行参考。