取消
显示结果 
搜索替代 
您的意思是: 
cancel
6417
查看次数
0
有帮助
2
评论
Xu Xing
Cisco Employee
Cisco Employee
最近遇到一个问题,需要使用PC去抓取交换机SPAN过来的流量,但是无论交换机怎么配置,PC上wireshark抓到的报文总是没有VLAN tag,让我一度怀疑交换机的配置是否出了问题,查了一些资料,发现需要修改下注册表,才能改变网卡的模式,让其捕获报文后不主动去掉VLAN tag。
拓扑:
流量测试仪(VLAN)——–(Trunk)交换机(default)——–PC
IXIA打封装VLAN tag的报文,到达交换机的trunk口,SPAN的配置如下,将trunk接口的流量span到连接PC的接口,连接PC的接口配置默认即可。
交换机配置
WS3850-C#show run | section monitor
monitor session 66 source interface GigabitEthernet0/0
monitor session 66 destination interface Gi1/0/1 encapsulation dot1q

Windows设置

  • 找到需要capture数据包的网卡,例如我需要抓以太网的网卡上的流量,我的网卡是Intel(R) 1219-LM:
143524lpzll21loh4ilpob.png

143645elzqpxqobxd50d1m.png


  • 打开注册表
143952ahii0n3ly83s3m6l.png


  • 找到以下的路径,由于该路径下有很多文件夹,每个文件夹对应PC上的各个网卡,所以我们需要一个一个打开找到DriverDesc描述的是我们需要的网卡,例如我这边对应0006这个文件夹。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}\
144104zlzoq9w3wppb9qwq.png


  • 新建两个DWORD项,name和date如下图所示:
144208ralglnhbilvlbabb.png





  • 重启电脑后再进行抓包,就会发现VLAN tag不会被网卡移除了.
144317ybwobfuwoj5uf9bc.png

参考文档
https://www.intel.com/content/www/us/en/support/articles/000005498/network-and-i-o/ethernet-products.html?wapkw=%28VLAN%2BStripping%2Bpromiscuous



评论
xuxianda7
Engager
Engager
谢谢分享,抓包是必备啊 哈哈
牛W牛
Beginner
Beginner
:lol 很好的資料,學習了
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:







快捷链接