我有一个 KVM 主机,来宾加入了一个虚拟网桥以进行网络连接。
该系统来宾上的Netdata引起了我对在网络接口级别丢弃数据包的注意(由 报告的度量标准RX dropped)ifconfig。
我从主机外部跟踪丢弃的数据包到 STP(生成树协议)广播。主机上的虚拟网桥已关闭 STP,但来自网络上其他交换机的这些数据包仍会转发给访客。
# tcpdump -i enp2s0 stp -etn
30:23:03:27:7c:27 > 01:80:c2:00:00:00, 802.3, length 38: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id fffe.30:23:03:27:7c:27.8001, length 43
# tcpdump -i enp1s0 stp -etn
10:06:45:e6:24:0b > 01:80:c2:00:00:00, 802.3, length 38: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.10:06:45:e6:24:0b.8004, length 43
问题
如何丢弃通过虚拟网桥转发的 STP 数据包?
我尝试按 dsap/ssap 编号进行过滤,但这不起作用。
ebtables -A FORWARD -p LENGTH --802_3-sap 0x42 -j DROP
或者,我会对这不是一个好主意的任何原因感兴趣。