Os quadros da LLC na sua captura enviada parecem estranhos. Nem o endereço de origem nem o endereço de destino multicast parecem endereços válidos do mundo real. Além disso, o formato de quadro LLC viola o padrão - os endereços NULL são usados em conjunto com um tipo de quadro de interface do usuário - o que nunca deveria acontecer:
The null address is only valid for use in the address fields of XID and TEST PDUs. The use of the null address (DSAP and SSAP) is specified in ISO/IEC 8802-2.
(Fonte: tutorial do IEEE LLC )
Eu suspeito que algum dispositivo (presumivelmente não uma Xerox, embora o endereço de origem resolva o espaço de endereço MAC da Xerox - eu esperaria que eles soubessem e respeitassem as regras básicas) está violando o protocolo. Tente procurá-lo consultando as tabelas de endereço / FDB dos switches gerenciados: inicie em um switch gerenciável arbitrário, localize o endereço 00:00:03:20:00:00
na tabela que presumivelmente estaria associado a uma porta upstream para outro switch, siga para o próximo switch repetindo o procedimento, a menos que você encontre o endereço associado a uma porta de borda (ou seja, uma porta com um único host conectado).