Eu tenho um switch Nortel (4524GT-PWR) que faz algo estranho na porta espelho.
Captura de tela de configuração:
Todos os quadros enviados para a porta espelhada são marcados com VLAN 1. Todos os quadros originados na porta espelhada não possuem uma etiqueta VLAN.
Para esclarecer isso ainda mais, o PC conectado à porta espelhada está recebendo quadros com tags VLAN em metade dos pacotes. A porta original da qual o tráfego é espelhado não está usando tags VLAN.
ntopngnão gosta disto, resultando em estatísticas confusas.
Não encontrei nenhuma opção no switch para desativar esse "recurso".
É possível remover a tag VLAN do quadro iptablesou algo mais antes de chegar ao ntopng?
O dispositivo para capturar o tráfego da porta de monitoramento é um dispositivo Realtek R8152 USB 3.0.
Responder1
Descobri que é um problema do Switch e não pode ser resolvido no software.
"Resolvi" o problema que estava tendo com o ntop alterando as fontes do ntopng para sempre definir vlan_idcomo 0.
Responder2
Pelo que posso dizer, sua melhor ação seria remover as tags VLAN no switch e não tentar fazer todo esse processamento no Linux. Você pode criar algo a partir de tcpdump e libpcap que capture todo o tráfego e o processe, mas pelo que posso dizer, isso não existe e você teria que escrevê-lo.
Execute show vlan int infopara ver quais são suas opções de marcação em cada porta.
Se estiver configurado para TagAll você deve alterar a porta do espelho paratagging untagall