S2700实现HUB功能端口流量复制,流量复制不全问题

发布时间:  2014-09-15 浏览次数:  582 下载次数:  0
问题描述
上行-(g5/0/34)S9312(g 5/0/40)————(g0/0/4)S2700(g0/0/1)————观察设备
S9300配置端口镜像功能,将S9300上行端口的流量镜像到S2700上,S2700关闭MAC地址学习功能,S2700接入观察设备抓包只能收到部分端口镜像流量。
S2700配置:
interface GigabitEthernet0/0/1
mac-address learning disable
#                                        
interface GigabitEthernet0/0/4
mac-address learning disable

如果将配置S2700与S9300互连的端口配置为镜像端口,设置S2700其中一个接口为观察端口接PC抓包可以接到到S9300镜像过来的全部流量。
SR2700配置:
observe-port 1 interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/1
mac-address learning disable
#
interface GigabitEthernet0/0/4
mac-address learning disable
port-mirroring to observe-port 1 both

告警信息
处理过程
在S2700创建相应的标签VLAN并添加到所有观察端口,观察设备可收到S9300镜像过来的全部流量。
S2700配置:
vlan 2
interface GigabitEthernet0/0/1
port hybrid tagged vlan 2 
mac-address learning disable
#                                       
interface GigabitEthernet0/0/4
port hybrid tagged vlan 2
mac-address learning disable
根因
分析正常的流量镜像报文,用户业务报文为DNS交换报文,发现镜像流量中DNS请求的报文带有802.1Q VLAN标签,但DNS回应报文未携带802.1QVLAN标签,而异常的镜像抓包报文里只有未携带802.1Q VLAN标签的 DNS回应报文。
DNS请求报文携带了802.1Q VLAN标签
DNS回应报文未携带802.1Q标签

因为镜像的数据DNS请求报文带有VLAN标签,但在交换机内并未创建该VLAN添加相应端口,导致此类报文无法在交换机内广播,所以观察设备只能收到未带VLAN标签的DNS回应报文。
建议与总结
在使用交换机配置HUB功能进行流量复制时,需要注意镜像的业务报文是否带有业务标签,一般我们镜像的端口如果为trunk端口,镜像数据常常会带有VLAN标签(端口VLAN除外),如果镜像端口为access端口,镜像数据常常不带VLAN标签。如果镜像数据携带了VLAN标签,那么在交换机上进行流量复制时,需要创建该VLAN并添加到相应接入端口及观察端口。另外如果观察设备为PC机,那么需要注意PC机是否可接收带VLAN标签的数据报文。

END