<br><br><div class="gmail_quote">On Thu, Aug 4, 2011 at 6:25 PM, Chris Wakelin <span dir="ltr"><<a href="mailto:c.d.wakelin@reading.ac.uk">c.d.wakelin@reading.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
I've been running with 1520 today, and still get those sorts of errors<br>
with both native PF_RING (threads=1) and PF_RING-enabled libpcap.<br>
<br>
stats.log shows decoder.max_pkt_size = 1518 in both cases. (I'm now<br>
using PF_RING 4.7.2 and took vlan_id out of the packet hash to cope with<br>
our one-sided VLAN tags).<br>
<br>
Best Wishes,<br>
Chris<br>
<div class="im"><br>
On 04/08/11 16:54, Will Metcalf wrote:<br>
> Yes or as Peter mentioned VLAN headers... 1518 seems like a better<br>
> default imho taking these two things into account.  Or heck what about<br>
> 1522 to account for both 802.1q headers and FCS?<br>
><br>
> Regards,<br>
><br>
> Will<br>
><br>
<br>
</div><font color="#888888">--<br>
--+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+-<br>
Christopher Wakelin,                           <a href="mailto:c.d.wakelin@reading.ac.uk">c.d.wakelin@reading.ac.uk</a><br>
IT Services Centre, The University of Reading,  Tel: <a href="tel:%2B44%20%280%29118%20378%202908" value="+441183782908">+44 (0)118 378 2908</a><br>
Whiteknights, Reading, RG6 6AF, UK              Fax: <a href="tel:%2B44%20%280%29118%20975%203094" value="+441189753094">+44 (0)118 975 3094</a><br>
</font><div><div></div><div class="h5">_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
</div></div></blockquote></div><br><br clear="all">Hi,<br>Can you please try the following:<br>1. Increase the MTU to 1522<br>2. Can you try to point suricata to listen to the VLAN interface directly for example: suricata -c /etc/suricata/yaml -i eth0.15<br>
3. is there any difference?<br>4. A pcap would be helpful to further explore the issue (should you consider).<br><br>Thanks<br><br><br>-- <br>Peter Manev<br>
<div style="visibility: hidden; left: -5000px; position: absolute; z-index: 9999; padding: 0px; margin-left: 0px; margin-top: 0px; overflow: hidden; word-wrap: break-word; color: black; font-size: 10px; text-align: left; line-height: 130%;" id="avg_ls_inline_popup">
</div>