S7503X镜像目的端口入方向流量速率超限值
- 0关注
- 0收藏,59浏览
问题描述:
设备触发严重警告,提示镜像目的口【Ten-GigabitEthernet1/3/0/47】:入方向流量速率【38538986】 bytes/sec超1000bytes/sec,这个怎么消除?,这个口是连深信服设备分析流量的。接口信息如下:
Ten-GigabitEthernet1/3/0/47
Current state: UP
Line protocol state: UP
IP packet frame type: Ethernet II, hardware address: 9c09-71cd-3a00
Description: shenxinfu-tanzhen
Bandwidth: 10000000 kbps
Loopback is not set
Media type is optical fiber, port hardware type is 10G_BASE_SR_SFP
10Gbps-speed mode, full-duplex mode
Link speed type is autonegotiation, link duplex type is autonegotiation
Flow-control is not enabled
Maximum frame length: 9216
Allow jumbo frames to pass
Broadcast max-ratio: 100%
Multicast max-ratio: 100%
Unicast max-ratio: 100%
Known-unicast max-ratio: 100%
PVID: 1
Port link-type: Access
Tagged VLANs: None
Untagged VLANs: 1
Port priority: 0
Last link flapping: 47 weeks 6 days 16 hours 0 minutes
Last clearing of counters: 20:58:46 Fri 07/19/2024
Current system time:2026-03-02 16:10:20 beijing+08:00:00
Last time when physical state changed to up:2025-04-01 00:09:43 beijing+08:00:00
Last time when physical state changed to down:2025-03-31 20:51:09 beijing+08:00:00
Peak input rate: 38578026 bytes/sec, at 2025-07-26 18:06:11
Peak output rate: 133974721 bytes/sec, at 2025-02-21 11:28:54
Last 300 seconds input: 602171 packets/sec 38538986 bytes/sec 4%
Last 300 seconds output: 77475 packets/sec 30809545 bytes/sec 3%
Input (total): 14976649143312 packets, 958505545172224 bytes
0 unicasts, 0 broadcasts, 0 multicasts, 14976649143313 pauses
Input (normal): 0 packets, - bytes
0 unicasts, 0 broadcasts, 0 multicasts, 14976649143313 pauses
Input: 0 input errors, 0 runts, 0 giants, 0 throttles
0 CRC, 0 frame, - overruns, 0 aborts
- ignored, - parity errors
Output (total): 1866119879887 packets, 909480135854490 bytes
1866030299006 unicasts, 758 broadcasts, 89580123 multicasts, 0 pauses
Output (normal): 1866119879887 packets, - bytes
1866030299006 unicasts, 758 broadcasts, 89580123 multicasts, 0 pauses
Output: 0 output errors, - underruns, - buffer failures
0 aborts, 0 deferred, 0 collisions, 0 late collisions
0 lost carrier, - no carrier
IPv4 traffic statistics:
Last 300 seconds input rate: 0 packets/sec, 0 bytes/sec
Last 300 seconds output rate: 0 packets/sec, 0 bytes/sec
Input: 0 packets, 0 bytes
Output: 0 packets, 0 bytes
IPv6 traffic statistics:
Last 300 seconds input rate: 0 packets/sec, 0 bytes/sec
Last 300 seconds output rate: 0 packets/sec, 0 bytes/sec
Input: 0 packets, 0 bytes
Output: 0 packets, 0 bytes
1. 检查镜像会话配置,查看是否有不必要的流量被镜像到该端口,使用“display port - mirroring session”命令。
2. 查看深信服设备的流量采集设置,是否存在过度采集的情况。
3. 考虑调整镜像端口的带宽限制或者优化镜像策略,比如缩小源端口的镜像范围。
如果要调整带宽限制,在S7503X上可以使用如下命令(假设在接口视图下):
interface Ten - GigabitEthernet1/3/0/47
port - link - type hybrid
port hybrid pvid vlan [vlan - id]
port hybrid untagged vlan [vlan - id]
undo port shutdown
qos lr inbound cir [新的带宽值] //这里设置入方向保证带宽,根据实际需求调整数值
操作前请提前备份相关配置。
这个告警的原因是 镜像目的端口入方向的流量速率(约 38.5 MB/s ≈ 308 Mbps)超过了该端口配置的阈值(仅 1000 bytes/s ≈ 8 Kbps),触发了设备的限速告警。
从您提供的接口信息来看,该端口带宽为 10Gbps,当前入方向流量仅占 4%,流量本身并未超出端口物理能力,问题出在端口上配置的入方向限速阈值过低。
消除告警的方法
调整或取消该端口入方向的限速阈值配置即可。
登录设备命令行(或通过 Web 界面找到对应端口配置)。
进入该端口视图:
interface Ten-GigabitEthernet1/3/0/47检查并修改入方向限速命令(具体命令取决于限速配置方式,常见为 QoS 或风暴控制):
如果是用
qos lr限速,执行undo qos lr inbound取消入方向限速;如果是用
storm-constrain配置的广播/组播/未知单播限速,执行undo storm-constrain相关命令取消或调高阈值;如果只配置了入方向承诺信息速率(CIR),执行
undo qos car inbound取消。
重新观察告警:执行
undo命令后,告警通常会在下一轮流量采样后自动清除。如果仍存在,可执行reset counters interface Ten-GigabitEthernet1/3/0/47清除接口统计信息。
特别说明
镜像目的端口特性:镜像端口接收的是被监控端口的流量副本,流量速率取决于被监控端口的实际流量,可能远高于普通业务端口的入方向流量。因此镜像端口不建议配置入方向限速,否则极易触发告警甚至丢包。
当前流量正常:您提供的接口信息显示入方向 38.5 MB/s 对 10G 端口而言是正常负载,无需限速。
镜像目的端口特性:镜像端口接收的是被监控端口的流量副本,流量速率取决于被监控端口的实际流量,可能远高于普通业务端口的入方向流量。因此镜像端口不建议配置入方向限速,否则极易触发告警甚至丢包。
当前流量正常:您提供的接口信息显示入方向 38.5 MB/s 对 10G 端口而言是正常负载,无需限速。
暂无评论
一、先理解告警本质
- 接口:
Ten-GigabitEthernet1/3/0/47(连接深信服流量分析设备) - 阈值:
1000 bytes/sec - 当前速率:
38538986 bytes/sec(约 309 Mbps),远高于阈值 - 接口角色:镜像目的口,本身就是用来接收镜像流量的,流量大是正常业务行为,并非故障
二、为什么会触发告警?
- 镜像目的口特性:镜像流量会从源口复制到目的口,目的口只收不发(你的接口
Input全是镜像包,IPv4/IPv6 input为 0,符合镜像口特征),本身就会持续高流量。 - 阈值设置不合理:
1000 bytes/sec(约 8 Kbps)是一个极低的阈值,对 10G 镜像口来说几乎必然触发告警。 - 业务正常:深信服设备需要分析流量,镜像口高带宽是正常工作状态,不是异常流量。
三、消除告警的 3 种方案(推荐优先级从高到低)
方案 1:调整告警阈值(最推荐,不影响业务)
1000 bytes/sec提升到合理值(比如100000000 bytes/sec,即 800Mbps,接近 10G 带宽的 80%)。system-view
interface Ten-GigabitEthernet1/3/0/47
qos threshold input-rate 100000000 # 单位bytes/sec,根据需要调整
若网管平台单独配置了阈值,需要在网管平台同步修改。
方案 2:屏蔽该接口的入方向流量告警(次选,不影响业务)
system-view
undo alarm threshold interface Ten-GigabitEthernet1/3/0/47 input-rate
或在网管平台(如 iMC)中,针对该接口取消 “入方向流量速率过高” 的告警规则。
方案 3:减少镜像流量(业务侧调整)
- 减少镜像源口数量
- 配置基于 ACL 的镜像,只镜像特定 IP / 端口 / 协议的流量
- 调整镜像方向(只镜像入方向或出方向,而非双向)
system-view
acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255 # 只镜像需要分析的网段
mirroring-group 1 local
mirroring-group 1 mirroring-port Ten-GigabitEthernet1/3/0/1 acl 3000 inbound # 源口+ACL过滤
mirroring-group 1 monitor-port Ten-GigabitEthernet1/3/0/47 # 目的口不变
四、关键验证
- 确认接口角色:
display mirroring-group all,确认Ten-GigabitEthernet1/3/0/47是monitor-port(镜像目的口)。 - 验证流量是否正常:接口
Input全是镜像包,IPv4/IPv6 input为 0,说明没有非法流量,是正常镜像业务。 - 告警消除确认:调整后在设备或网管平台查看,告警应自动清除。
五、注意事项
- 不要盲目关闭接口或限速:镜像口限速会导致深信服设备流量分析不全,影响安全检测 / 业务审计能力。
- 优先调整阈值或屏蔽告警:这是对业务无影响的最优解。
- 如果必须限制流量:可以在镜像源口做流量限速,而非在目的口。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论