Tipset

先日802.1QのタグVLANのトランクポートをIntelのNICを積んだWindowsPC（Let’s Note) でキャプチャしようとした時のこと
トランクポートなのに一切タグがついてない・・・

Windowsユーザには当たり前なのか？
なんとIntel（他にも数社）のドライバはタグを勝手に引っぺがす，まさか仕様だそうです
普段MacとLinuxしか使わない自分には理解不能

対策はIntelのページにあって，なにやらレジストリを修正しないとダメらしい
しかもご丁寧に警告付き・・・

Warning: This modification should be made very carefully and only by skilled technicians since changes to the registry may disable your machine. This change should only be made for promiscuous mode/sniffing use.

レジストリ弄るのが危険だって言うなら，こんなおせっかい機能デフォルトでオフにするか，ドライバの設定メニューから変更できるようにしてください

具体的な変更手順は，

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00xx（xxは設定したいNICのアダプタ番号）

の直下に，

MonitorModeEnabled=1 (PCI or PCI-Xの場合)
MonitorMode=1 (PCI-Expressの場合)

というdword値を作成してやればOK

各値の意味は以下の通り

PCI or PCI-X Network Adapter the registry dword is: MonitorModeEnabled
Set the dword value to either:
0 – disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags)
1 – enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags)

PCI-Express Network Adapter the registry dword is: MonitorMode
Set the dword value to either:
0 – disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags)
1 – enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag)
2 – enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal)

どうやらPROシリーズの高機能NICもWindows用ドライバはこの意味分からん仕様らしい・・・