s9300 流镜像流量异常

发布时间:  2016-06-18 浏览次数:  190 下载次数:  0
问题描述

新增一个流镜像配置后,观测口和设备原有的一个流镜像观测口不是一个端口,镜像口也是新端口,发现两个观测口的流量不正常,按照客户平时观察到的流量应该只有200M左右,新增配置完成后发现两个观测口流量达到了600M

 

组网图如上:

将匹配到EHT-TRUNK 30/40的流量镜像到6/0/46口,从分光器来的匹配的流镜像的流量镜像到6/0/44口;

告警信息
处理过程

1、查看配置是否正确,发现没有问题

#

observe-port 1 interface GigabitEthernet6/0/46

observe-port 2 interface GigabitEthernet6/0/44

#

acl number 3001

rule 25 permit tcp source-port gt 1 destination-port eq www

acl number 3002

rule 25 permit tcp source-port gt 1 destination-port eq www

#

traffic classifier c1 operator or precedence 5

if-match acl 3001

traffic classifier c2 operator or precedence 6

if-match acl 3002

#

traffic behavior b1

mirroring to observe-port 1

traffic behavior b2

mirroring to observe-port 2

#

traffic policy TP1

classifier c1 behavior b1

traffic policy TP2

classifier c2 behavior b2

#

#

interface Eth-Trunk30

description to NE5000E-1

port link-type access

port default vlan 4000

traffic-policy TP1 inbound

#

interface Eth-Trunk40

description to NE5000E-2

port link-type access

port default vlan 4002

traffic-policy TP1 inbound

#

#

interface XGigabitEthernet5/0/1

description to suzhou-

traffic-policy TP2 inbound

 

2、查看接口流量,两个观测口流量都达到了五百多兆,跟客户平时镜像的流量多了三百多兆;

GigabitEthernet6/0/44       up    up          0%    53%          0          0

GigabitEthernet6/0/45       down  down        0%     0%          0          0

GigabitEthernet6/0/46       up    up          0%    55%          0          0

GigabitEthernet6/0/47       down  down        0%     0%          0          0

NULL0                       up    up(s)       0%     0%          0          0

Vlanif3999                  up    down        --     --          0          0

XGigabitEthernet5/0/0       down  down        0%     0%          0          0

XGigabitEthernet5/0/1       up    up       5.15%     0%      16077          0

 

3、由于是客户今天新增的配置,告知将新配置的流策略在镜像口取消,发现流量还是500多兆并没有减少,感觉分光器过来的流量好像两个观测口都发了,检查配置发现连接分光器的接口和两个观测口都在vlan 1中,由于是分光器过来的流量,接口收到数据包后如果找不到相应的表项就会在vlan内广播,所以部分流量就会广播到两个观测口中;

#
interface GigabitEthernet6/0/44
#
interface GigabitEthernet6/0/45
#
interface GigabitEthernet6/0/46
description to monitor-gb1
#

 

4、将连接分光器的接口划分到单独的vlan后(default vlan 2000),问题解决

根因

设备对于分光器过来的流量,如果找不到相应的表项转发就会在vlan内广播,导致两个观测口流量异常;

解决方案
将连接分光器的接口和观测口划分到不同的vlan内,问题解决
建议与总结
对于连接分光器的接口,要合理规划配置,避免广播导致的设备其他接口流量异常

END