S5700SI端口镜像丢包

发布时间:  2015-09-30 浏览次数:  452 下载次数:  0
问题描述

网络结构简述:FTP客户端PC----S5700(镜像口)----FTP服务器

                                     |

                        接观察设备wireshark抓包

 

S5700SI配置端口镜像,镜像口接FTP服务器,观察口发现用wireshark抓包出现丢包,抓包软件重组报文发现和镜像口的报文不一致,传输的文件不完整。

 

告警信息
处理过程

5700, 0/0/40 口接客户机pc ,48口接FTP服务器,47口接抓包的电脑。

现在客户测试:

在交换机上设置一对一镜像口,镜像口连接文件服务器,观察口连接捕包设备,捕获镜像口的数据包,客户端与服务器端口连接在同一vlan上。当客户端向服务器上传文件时,服务器端口的输入输出数据包都会备份一份到观察口,发送到捕包设备上进行分析,发现部分的客户端做的抓包是不完整的。

 

测试不丢包的客户端硬件配置为CPU:core Duo cpu  2.53Ghz ,MEM:4G拷贝 640M文件耗时12s完成;

测试丢包的客户端硬件配置为CPU:i5-3470 3.6Ghz ,MEM内存8M,拷贝640M文件耗时6s。

 

 

配置流量统计,发现40口的inbound和outbound的总和基本与接服务器的48口吻合,但是47口接抓包设备的端口收到的报文数量比40口的inbound和out的总和少很多。

 

流通PC发包(FTP上传文件)的统计如下:

 

不丢包流统

丢包流统

g0/0/40 in

458,565

461,987

g0/0/40 out

62,301

520,866G0/0/40 出入方向总计)

88,120

550,107G0/0/40 出入方向总计)

0/0/48 in

62,303

88,122

0/0/48 out

458,573

520,876G0/0/48出入方向总计)

461,995

550,117G0/0/48出入方向总计)

0/0/47 in

0

0

0/0/47 out

520,883

543,910

 

很重要的一点发现:Display interface分析这几个接口的丢包信息,发现47口观察口有很多Discard丢包统计。

分析可能是高配置的客户端PC发包速率过大导致设备端口镜像时:

镜像口的inboundoutbound流量在客户端不限速的时候,可能流量叠加起来瞬时流量超过了观察口的接口缓存,从而造成了丢包

为了验证,进行了测试:

 

同一台高配置的客户端向服务器传送文件(620M),服务器在限速和不限速的测试结果:

 

1.服务器限速60M/S后,客服端向文件传输的速率为60MB/s左右,镜像口没有丢包;

2.服务器不限速,客服端向文件服务器传输的速率为100MB/s左右,镜像口丢包;

 

测试结果验证了我们的分析猜测,限速的情况下,观察口不丢包,接口也没有discard计数;不限速,观察口丢包,有大量discard计数。

根因

 

镜像口的inboundoutbound流量在客户端不限速的时候,可能流量叠加起来瞬时流量超过了观察口的接口缓存,从而造成了丢包。

解决方案

 

解决办法:镜像端口inbound和outbound的镜像流量叠加可能超过了观察口的接口缓存和接收能力,替换成5720EI的万兆接口做观察口。

建议与总结

端口镜像如果是需要观察inbound和outbound双向的报文流量,一般观察口需要用高一级带宽的端口,避免同级别的端口(比如镜像口GE,观察口也GE)的性能问题造成镜像丢包。

END