S7706 观察口的流量是镜像口流量的两倍

发布时间:  2015-12-24 浏览次数:  471 下载次数:  0
问题描述

S7706配置端口映射抓包,配置没有问题,但是发现观察端口的流量始终是镜像端口的2倍:

配置如下,配置比较简单,并没有什么特殊的异常:

[12:52:15]<Mirror-SW-6748>dis cu
[12:52:15]!Software Version V200R005C00SPC500
[12:52:15]#
[12:52:15]sysname Mirror-SW-6748
[12:52:15]#
[12:52:15]telnet server enable
[12:52:15]#
[12:52:15]undo http server enable
[12:52:15]undo http secure-server enable
[12:52:15]#
[12:52:15]observe-port 1 interface-range XGigabitEthernet0/0/2
[12:52:15]#
[12:52:15]diffserv domain default
[12:52:15]#
[12:52:17]drop-profile default
[12:52:17]#
[12:52:17]aaa
[12:52:17] authentication-scheme default
[12:52:17] authorization-scheme default
[12:52:17] accounting-scheme default
[12:52:17] domain default
[12:52:17] domain default_admin
[12:52:17] local-user admin password irreversible-cipher %@%@g3KbPAeeUJ/lM{QL^h'"|pS^-Iu0!*u}O4,W9h#g^:GOpSa|%@%@
[12:52:17] local-user admin service-type http
[12:52:17] local-user tjgwbn password irreversible-cipher %@%@{)`2-phFvV(-zW({R)Y9h3WUL<:/93Y'3MK,k2~MU5n%3WXh%@%@
[12:52:18] local-user tjgwbn privilege level 15    
[12:52:18] local-user tjgwbn service-type telnet
[12:52:18]#
[12:52:18]interface MEth0/0/1
[12:52:18] ip address 10.115.230.142 255.255.255.252
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/1
[12:52:18] shutdown
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/2
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/3
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/4
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/5
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/6
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/7
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/8
[12:52:18]#
[12:52:18]interface XGigabitEthernet0/0/9
[12:52:19]#                                        
[12:52:19]interface XGigabitEthernet0/0/10
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/11
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/12
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/13
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/14
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/15
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/16
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/17
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/18
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/19
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/20
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/21
[12:52:19]#                                        
[12:52:19]interface XGigabitEthernet0/0/22
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/23
[12:52:19]#
[12:52:19]interface XGigabitEthernet0/0/24
[12:52:19]port-mirroring to observe-port 1 inbound

多次采集接口流量,观察端口流量始终是镜像端口的2倍:

[12:52:04]<Mirror-SW-6748>dis int br
[12:52:04]Interface                   PHY   Protocol  InUti OutUti   inErrors  outErrors
[12:52:04]XGigabitEthernet0/0/2       up    up           0%  8.29%          0          0
[12:52:06]XGigabitEthernet0/0/24      up    up        4.03%     0%          0          0

[12:52:07]<Mirror-SW-6748>dis int br
[12:52:08]Interface                   PHY   Protocol  InUti OutUti   inErrors  outErrors
[12:52:08]XGigabitEthernet0/0/2       up    up           0%  8.59%          0          0
[12:52:11]XGigabitEthernet0/0/24      up    up        4.32%     0%          0          0

[12:53:21]<Mirror-SW-6748>dis int br
[12:53:21]Interface                   PHY   Protocol  InUti OutUti   inErrors  outErrors
[12:53:21]XGigabitEthernet0/0/2       up    up           0%  9.43%          0          0
[12:53:23]XGigabitEthernet0/0/24      up    up        4.70%     0%          0          0

处理过程

1、由于观察端口和镜像端口在同一个vlan,检查是否是广播数据,镜像了一份到观察端口,同时关闭数据也会从观察端口发出。

但客户描述,数据不是广播广播数据,是另外一台设备上的上数据。

2、根据客户描述,是另外一台设备上的数据。了解另外一台设备上的数据是怎样发送到这台设备上来的--结果客户在另外一台设备上配置端口镜像。

整体网络架构如下:


3、客户在另外一台S5700上也配置了镜像,S7706观察端口的数据是从S5700上镜像过来的,再在S7706上做映射实现的。

按照这种架构,由于S7706上配置的观察端口和镜像端口在同一个vlan,而s5700上镜像过来的数据在S7706上找不到目的MAC,根据交换机的转发逻辑,会在网段内广播,造成观察端口的流量是镜像端口2倍(一份是正常镜像的数据,另外一份是S5700上镜像过来的数据在S7706上无法找到目的MAC而广播的)

根因

由于S7706上配置的观察端口和镜像端口在同一个vlan,而s5700上镜像过来的数据在S7706上找不到目的MAC,根据交换机的转发逻辑,会在网段内广播,造成观察端口的流量是镜像端口2倍(一份是正常镜像的数据,另外一份是S5700上镜像过来的数据在S7706上无法找到目的MAC而广播的)

解决方案

1、将S7706上的镜像端口单独划分一个vlan,使数据不会广播到观察端口。

2、这种架构,S7706上可以不用配置镜像,按照交换机的转发逻辑自动实现观察数据。

建议与总结

各设备的工作流程需要深入学习,数通TCP/IP协议也是基础,都需要掌握牢靠。

END