なぜwiresharkがプレーンアクセススイッチポートで外部/関連のないトラフィックをキャプチャするのですか？

会社のメインスイッチ（Cisco 3750）で、スイッチポート（スイッチポートモードアクセス、スイッチポートアクセスVLAN 30）にシンプルなWindows XP物理PCを接続しました。3750にはモニターセッションがありません。また、PCには単一のNICに単一のIPアドレスがあります。ただし、WinXP PCでWireshark無差別キャプチャを開始すると、LAN-to-LANまたはWAN-to-LAN（つまり、src IPとdst IPがPCのIPアドレスと一致しない）のいくつかの外部会話が表示されます。このトラフィックはブロードキャストされません（L2ブロードキャストもL3ブロードキャストも）。スイッチの構成は、単純なレイヤー3およびレイヤー2構成です。派手なものは何もない（理由が散らかっているので省略）

スイッチのMACおよびARPテーブルを確認しましたが、すべて正常に見えます。PCのスイッチポートには1つのMACアドレスしか表示されず、他の外部MACおよびIPアドレスは通常のポートに解決されます（「show ip arp」および「show mac-addr」を使用） 。）

頻繁なアプリケーションラグのトラブルシューティングを行うため、キャプチャのアイデア全体が開始されました（他のキャプチャによると、多くのTCP再送信が原因である可能性があります）。

何か案は？

======================

編集IOS調査の後、私のIOSバージョン（12.2（25）SEB4）にCAMテーブルなどに関する重大なバグがある可能性がかなり高いようです。私は来週アップグレードし、再び更新する予定です。

[パーティーに遅れて申し訳ありませんが、何か他のものを探しているときにこれに遭遇しました]「いくつかの外国の会話が表示される」と言うとき、双方向の複数のパケット、またはたまにあるパケットだけを意味しますか？

それが完全な会話である場合は、スイッチに間違いなく問題があります。

それがたまにあるパケットであれば、スパニングツリーの変更のせいです。スイッチはデフォルトで300秒間MACアドレスを記憶することを思い出してください。したがって、スイッチが特定のデバイスからのフレームを300秒間認識せず、フレームがそのMACアドレスに送信された場合、WinXP / Wiresharkモニターを含む他のすべてのポートに転送されます。これは、MACアドレスの所有者がフレームを送信するまで続きます。

最新のオペレーティングシステムを実行しているデバイスの場合、デバイスが300秒間フレームを送信しない可能性は非常に低くなりますが、他のよりパッシブなデバイスはそのような時間は無音である可能性があります。

スパニングツリーに戻ります。スパニングツリートポロジの変更（デバイスがスイッチポートに接続/切断するなど）がある場合、トポロジ変更通知イベントがルートブリッジに送信されます。次にルートブリッジは、次のFWD_DELAY期間（15秒）のすべてのBPDUにTCNビットを設定します。ブリッジは、TCNビットが設定されたBPDUを認識すると、MACアドレステーブルのエージングタイマーをFWD_DELAY（15秒）に減らします。[これは、グローバル構成コマンドspanning-tree portfast defaultを常に入力する必要がある1つの理由です -スイッチポートがアクティブ化/非アクティブ化されるたびにTCNの作成を停止します ]

そのため、スパニングツリーの変更がある場合は、自分のもの以外のMACアドレスへのパケットが時折見られる可能性が高くなります。

表示されるパケットのいずれかが別のサブネット（=設計が正しければ別のVLAN）からのものであるかどうかを具体的に言うことはありません。ただし、別のサブネット/ VLANからのパケットが表示されている場合は、スイッチ間のケーブル配線を注意深く確認し、これらすべてのリンクのネイティブVLAN構成とトランクポートのステータスを確認することをお勧めします。「サブネット/ VLAN」のリークがある場合、複数のトポロジ変更が作成され、エージングタイマーが15秒に維持され、Wiresharkキャプチャにさらに多くの予期しないフレームが到着する可能性があります。