Щось у моїй Ethernet LAN час від часу надсилає помилкові дублікати пакетів, і мені потрібно відстежувати це. Винуватець, швидше за все, комутатор або інший міст (наприклад, AP Wi-Fi), а не кінцева точка, тому що пакети, які дублюються, не завжди з однієї MAC-адреси джерела.
Я думаю про те, щоб отримати керований комутатор, який підтримує дзеркальне відображення порту, і використовувати його за допомогою sniffer, щоб нюхати трафік, що йде в порт і виходить з нього, але мені потрібно знати, в який напрямок був відправлений кожен захоплений пакет, щоб я міг сказати, в якому напрямку оригінал і дублікат. Якщо я зможу знайти місце в своїй мережі, куди прийшов оригінал і дублікат з різних напрямків, я буду знати, що винуватець повинен бути на тій стороні, звідки прийшов дублікат.
Моя проблема полягає в тому, що перемикачі дзеркальних портів, з якими я працював у минулому, дозволили лише віддзеркалити "обидва напрямки" (як передавати, так і отримувати) від заданого порту, до дзеркального порту.
Хтось може запропонувати рішення, яке дозволило б мені відобразити лише один напрямок? Я думаю про підключення двох снайперів, одного в напрямку "Tx", і одного в напрямку "Rx", тому я можу сказати, куди йшли пакети. Я не проти купувати новий керований перемикач або натиснути для досягнення цього.
Я відкритий до будь-яких інших ідей щодо відстеження джерела помилкового дублювання пакетів, але будьте обережні, що мої поточні комутатори в цій мережі не дуже керовані, тому рішення, які передбачають керовані комутатори (як-от "включення такої і такої передачі пакетів") ", або" витягніть статистику з усіх ваших комутаторів за допомогою SNMP та стискайте дані в <app> "), в моїй ситуації, ймовірно, не будуть практичними.