У меня есть коммутатор Nortel (4524GT-PWR), который ведет себя странно на порту зеркалирования.
Скриншот конфигурации:
Все кадры, отправляемые на зеркальный порт, помечаются тегом VLAN 1. Все кадры, отправляемые на зеркальный порт, не имеют тега VLAN.
Чтобы прояснить это еще больше, ПК, подключенный к порту зеркалирования, получает кадры с тегами VLAN в половине пакетов. Исходный порт, с которого зеркалируется трафик, не использует теги VLAN.
ntopngэто не нравится, что приводит к путанице в статистике.
Я не нашел в переключателе опции, позволяющей отключить эту «функцию».
Можно ли удалить тег VLAN из фрейма с помощью iptablesили чем-то еще до того, как он достигнет ntopng?
Устройство для захвата трафика с порта мониторинга — это устройство Realtek R8152 USB 3.0.
решение1
Выяснилось, что это проблема Switch, и ее нельзя решить программным путем.
«Решил» проблему с ntop, изменив исходники ntopng так, чтобы они всегда устанавливались vlan_idна 0.
решение2
Насколько я могу судить, лучшим вариантом для вас будет удалить теги VLAN на коммутаторе и не пытаться выполнять всю эту обработку в Linux. Вы могли бы создать что-то из tcpdump и libpcap, что будет захватывать весь трафик и обрабатывать его, но насколько я могу судить, этого не существует, и вам придется это написать.
Запустите его show vlan int info, чтобы увидеть, какие у вас есть варианты тегирования для каждого порта.
Если установлено значение TagAll, вам следует изменить порт зеркала наtagging untagall