我有一台 Nortel 交換器 (4524GT-PWR),它在鏡像連接埠上做了一些奇怪的事情。
配置截圖:
傳送至鏡像連接埠的所有訊框都帶有 VLAN 1 標記。
為了進一步澄清這一點,連接到鏡像連接埠的 PC 正在接收一半資料包帶有 VLAN 標記的訊框。鏡像流量的原始連接埠未使用 VLAN 標記。
ntopng不喜歡這樣,導致統計數據混亂。
我在開關中沒有找到禁用此“功能”的選項。
是否可以在訊框iptables到達 ntopng 之前使用其他方法從訊框中刪除 VLAN 標記?
從監控連接埠擷取流量的裝置是 Realtek R8152 USB 3.0 裝置。
答案1
發現是Switch的問題,無法用軟體解決。
透過更改 ntopng 來源以始終將 設為vlan_id0, “解決”了我在 ntop 中遇到的問題。
答案2
據我所知,最好的做法是在交換器上剝離 VLAN 標記,而不是嘗試在 Linux 中進行所有這些處理。您也許可以從 tcpdump 和 libpcap 製作一些東西來捕獲所有流量並對其進行處理,但據我所知,這並不存在,您必須編寫它。
運行show vlan int info以查看每個連接埠上的標記選項。
如果設定為 TagAll 您應該將鏡像連接埠變更為tagging untagall