S5700 SI交换机配置完端口镜像后,观察端口一接入流量分析设备,就会导致网络卡顿。

发布时间:  2016-04-08 浏览次数:  728 下载次数:  5
问题描述
组网概述:    
        流量分析设备 --- (观察端口 )S5700交换机(镜像端口) ——上行到防火墙---外网出口

S5700SI 配置端口镜像,观察端口连接流量分析设备,镜像端口连接防火墙,也是用户上外网的出口。现在出现问题是只要观察端口一接入流量分析设备端口UP 后,打开外网网页很卡。
告警信息
处理过程
查看交换机的配置:
#
sysname Switch
#
observe-port 1 interface GigabitEthernet1/0/36
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet1/0/48
eth-trunk 1
port-mirroring to observe-port 1 inbound
port-mirroring to observe-port 1 outbound  
#
interface GigabitEthernet1/0/36
eth-trunk 1
#
S5700 的36口接流量分析设备,48口是上行到防火墙的设备。
根因
仔细查看配置后发现36口和48口都在eth-trunk 1中,这样当观察36口UP后48端口的镜像配置就会生效,此时会将镜像端口的进和出方向的流量都复制一份到观察端口36,但是观察端口36和镜像48口都在同一个端口组eth-trunk 1中,这样就会将流量在整个eth-trunk 1广播,这样就会导致出口48口流量拥塞,最终导致网络卡顿。
解决方案
进入观察端口36口,将观察端口36口从eth-trunk 1组中删除,即undo eth-trunk 1。最终网络恢复正常。
建议与总结
端口镜像如果是需要观察inbound和outbound双向的报文流量,镜像端口和观察端口一定不能在同一个端口组中(eth-trunk)。同时建议观察口需要用高一级带宽的端口,避免网络拥塞。

END