Tengo un conmutador Nortel (4524GT-PWR) que hace algo extraño en el puerto espejo.
Captura de pantalla de configuración:
Todas las tramas que se envían al puerto reflejado están etiquetadas con VLAN 1. Todas las tramas que se originan en el puerto reflejado no tienen una etiqueta VLAN.
Para aclarar esto aún más, la PC que está conectada al puerto espejo recibe tramas con etiquetas VLAN en la mitad de los paquetes. El puerto original desde el que se refleja el tráfico no utiliza etiquetas VLAN.
ntopngNo le gusta esto, lo que da lugar a estadísticas confusas.
No encontré ninguna opción en el interruptor para desactivar esta "función".
¿Es posible eliminar la etiqueta VLAN del marco con iptablesalgo más antes de que llegue a ntopng?
El dispositivo para capturar el tráfico desde el puerto de monitoreo es un dispositivo Realtek R8152 USB 3.0.
Respuesta1
Descubrí que es un problema con el Switch y no se puede resolver mediante software.
"Resuelto" el problema que tenía con ntop cambiando las fuentes de ntopng para establecerlas siempre vlan_iden 0.
Respuesta2
Por lo que puedo decir, su mejor curso de acción sería eliminar las etiquetas VLAN en el conmutador y no intentar realizar todo este procesamiento en Linux. Es posible que pueda crear algo a partir de tcpdump y libpcap que capture todo el tráfico y lo procese, pero por lo que puedo decir, esto no existe y tendría que escribirlo.
Ejecute show vlan int infopara ver cuáles son sus opciones de etiquetado en cada puerto.
Si está configurado en TagAll, debe cambiar el puerto espejo atagging untagall