请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 961|回复: 2

【原创】在windows上用Wireshark抓取带有VLAN标记的报文

[复制链接]
发表于 2019-5-28 14:57:51 | 显示全部楼层 |阅读模式
最近遇到一个问题,需要使用PC去抓取交换机SPAN过来的流量,但是无论交换机怎么配置,PC上wireshark抓到的报文总是没有VLAN tag,让我一度怀疑交换机的配置是否出了问题,查了一些资料,发现需要修改下注册表,才能改变网卡的模式,让其捕获报文后不主动去掉VLAN tag。
拓扑:
流量测试仪(VLAN)——–(Trunk)交换机(default)——–PC
IXIA打封装VLAN tag的报文,到达交换机的trunk口,SPAN的配置如下,将trunk接口的流量span到连接PC的接口,连接PC的接口配置默认即可。
交换机配置
  1. WS3850-C#show run | section monitor
  2. monitor session 66 source interface GigabitEthernet0/0
  3. monitor session 66 destination interface Gi1/0/1 encapsulation dot1q
复制代码


Windows设置
  • 找到需要capture数据包的网卡,例如我需要抓以太网的网卡上的流量,我的网卡是Intel(R) 1219-LM:



  • 打开注册表

  • 找到以下的路径,由于该路径下有很多文件夹,每个文件夹对应PC上的各个网卡,所以我们需要一个一个打开找到DriverDesc描述的是我们需要的网卡,例如我这边对应0006这个文件夹。
  1. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}\
复制代码


  • 新建两个DWORD项,name和date如下图所示:




  • 重启电脑后再进行抓包,就会发现VLAN tag不会被网卡移除了.

参考文档
  1. https://www.intel.com/content/www/us/en/support/articles/000005498/network-and-i-o/ethernet-products.html?wapkw=%28VLAN%2BStripping%2Bpromiscuous
复制代码




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-5-31 15:20:56 | 显示全部楼层
谢谢分享,抓包是必备啊  哈哈
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-5 17:36:33 | 显示全部楼层
很好的資料,學習了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-12-16 11:01 , Processed in 0.105762 second(s), 38 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表