Ich habe einen Nortel-Switch (4524GT-PWR), der am Spiegelport etwas Seltsames macht.
Screenshot der Konfiguration:
Alle Frames, die an den Spiegelport gesendet werden, sind mit VLAN 1 markiert. Alle Frames, die vom gespiegelten Port stammen, haben keinen VLAN-Tag.
Um dies noch deutlicher zu machen: Der PC, der mit dem Spiegelport verbunden ist, empfängt Frames mit VLAN-Tags auf der Hälfte der Pakete. Der ursprüngliche Port, von dem der Datenverkehr gespiegelt wird, verwendet keine VLAN-Tags.
ntopnggefällt das nicht, was zu durcheinander geratenen Statistiken führt.
Ich habe im Schalter keine Option gefunden, dieses „Feature“ zu deaktivieren.
Ist es möglich, das VLAN-Tag mit iptablesoder auf andere Weise aus dem Frame zu entfernen, bevor es ntopng erreicht?
Das Gerät zum Erfassen des Datenverkehrs vom Überwachungsport ist ein Realtek R8152 USB 3.0-Gerät.
Antwort1
Habe herausgefunden, dass es sich um ein Problem mit dem Switch handelt und nicht per Software gelöst werden kann.
Das Problem, das ich mit ntop hatte, wurde „gelöst“, indem die ntopng-Quellen so geändert wurden, dass sie immer vlan_idauf 0 gesetzt werden.
Antwort2
Meines Erachtens wäre es am besten, die VLAN-Tags am Switch zu entfernen und nicht zu versuchen, die gesamte Verarbeitung unter Linux durchzuführen. Sie könnten vielleicht etwas aus tcpdump und libpcap erstellen, das den gesamten Datenverkehr erfasst und verarbeitet, aber meines Erachtens existiert das nicht und Sie müssten es selbst schreiben.
Führen Sie es aus show vlan int info, um zu sehen, welche Markierungsoptionen für jeden Port zur Verfügung stehen.
Wenn es auf TagAll eingestellt ist, sollten Sie den Spiegelport ändern intagging untagall