Nortel スイッチ (4524GT-PWR) を使用していますが、ミラー ポートで奇妙な動作が発生します。
設定のスクリーンショット:
ミラー ポートに送信されるすべてのフレームには、VLAN 1 のタグが付けられます。ミラー ポートから送信されるすべてのフレームには、VLAN タグは付けられません。
さらに詳しく説明すると、ミラー ポートに接続されている PC は、パケットの半分に VLAN タグが付いたフレームを受信しています。トラフィックがミラーリングされる元のポートは、VLAN タグを使用していません。
ntopngこれは好ましくなく、統計が混乱することになります。
この「機能」を無効にするオプションがスイッチ内に見つかりませんでした。
iptablesntopng に到達する前に、フレームから VLAN タグを削除するか、または他の方法で削除することは可能ですか?
監視ポートからのトラフィックをキャプチャするデバイスは、Realtek R8152 USB 3.0 デバイスです。
答え1
これは Switch の問題であり、ソフトウェアでは解決できないことがわかりました。
ntopng ソースを常にvlan_id0 に設定するように変更することで、ntop で発生していた問題を「解決」しました。
答え2
私の知る限り、最善の策は、スイッチで VLAN タグを削除し、Linux でこの処理をすべて実行しないことです。tcpdump と libpcap から、すべてのトラフィックをキャプチャして処理する何かを作成できるかもしれませんが、私の知る限り、そのようなものは存在しないので、自分で作成する必要があります。
実行してshow vlan int info、各ポートのタグ付けオプションを確認します。
TagAllに設定されている場合、ミラーポートを次のように変更する必要があります。tagging untagall