问
交换机S5560接口做本地镜像wireshake看有缺少包呢?
7小时前提问
- 0关注
- 0收藏,43浏览
zhiliao_Gixe
四段
排查步骤及原因分析:
1. 检查镜像配置完整性
原因:未配置双向镜像或遗漏镜像端口,导致仅抓取单方向报文或部分流量。
命令:display mirroring-group <组号>,确认Mirroring port的Direction为Both,且所有需镜像的端口已加入组。
2. 验证镜像目的端口带宽承载能力
原因:镜像端口总流量超过目的端口带宽(如千兆端口承载多端口镜像),交换机因缓存不足丢包。
命令:display interface <目的端口>,查看Input/Output bandwidth usage,若持续接近100%则需更换更高带宽端口或减少镜像端口数量。
3. 检查抓包工具配置
原因:Wireshark缓冲区过小或未开启混杂模式,导致本地丢包。
操作:Wireshark中点击「捕获选项」,增大「缓冲区大小」,勾选「混杂模式」。
4. 排查交换机镜像资源与QoS限制
原因:S5560镜像组资源有限,或QoS策略丢弃镜像流量。
命令:display mirroring-group all确认无冲突镜像;display qos policy interface <目的端口>检查是否有针对镜像流量的丢弃规则。
重要提醒:变更配置前执行save备份当前配置。
1. 检查镜像配置完整性
原因:未配置双向镜像或遗漏镜像端口,导致仅抓取单方向报文或部分流量。
命令:display mirroring-group <组号>,确认Mirroring port的Direction为Both,且所有需镜像的端口已加入组。
2. 验证镜像目的端口带宽承载能力
原因:镜像端口总流量超过目的端口带宽(如千兆端口承载多端口镜像),交换机因缓存不足丢包。
命令:display interface <目的端口>,查看Input/Output bandwidth usage,若持续接近100%则需更换更高带宽端口或减少镜像端口数量。
3. 检查抓包工具配置
原因:Wireshark缓冲区过小或未开启混杂模式,导致本地丢包。
操作:Wireshark中点击「捕获选项」,增大「缓冲区大小」,勾选「混杂模式」。
4. 排查交换机镜像资源与QoS限制
原因:S5560镜像组资源有限,或QoS策略丢弃镜像流量。
命令:display mirroring-group all确认无冲突镜像;display qos policy interface <目的端口>检查是否有针对镜像流量的丢弃规则。
重要提醒:变更配置前执行save备份当前配置。
S5560 本地镜像抓包丢包、部分 ICMP / 报文缺失 完整原因 + 解决
先给结论
交换机镜像不是 100% 无损抓包,S5560 硬件镜像有带宽限制、队列限制、CPU / 芯片限速,流量一大直接丢弃镜像副本,所以:设备实际转发不丢包、业务正常,但镜像抓包少报文、漏 ICMP、漏小包,是交换机芯片先天机制。
一、核心原因(按出现概率排序)
1. 镜像目的接口带宽瓶颈(最常见)
S5560 本地镜像:
plaintext
mirroring-group 1 local
mirroring-group 1 monitor-port Gig1/0/24 # 抓包口
mirroring-group 1 mirroring-port Gig1/0/1 in/out
- 被镜像接口是千兆 / 万兆,流量大
- 抓包目的口(monitor 口)带宽、转发能力有限
- 交换机优先保证业务转发,镜像流量属于 “附加副本”,超出接口处理能力直接丢弃
👉 业务包优先转发,镜像包直接丢,所以你看业务无丢包、抓包缺包。
2. 芯片镜像配额 & 缓存限制
H3C 盒式交换机(S5560/S5130S):
- 每块芯片镜像最大转发速率有上限
- 镜像有独立缓存队列,队列满直接丢弃镜像报文
- 高频小包(ICMP、ARP、STP、控制报文)最容易被砍
3. 双向镜像(in+out)流量翻倍溢出
你配置的是
in/out 双向镜像:- 同一个流,进、出各复制一份
- 镜像流量直接翻倍,极易超出硬件镜像阈值
- 快速导致镜像队列拥塞丢包
4. 抓包电脑网卡 / 网线 / 网卡降级
- 电脑网卡百兆 / 千兆自适应异常
- 网卡接收缓冲区太小、Wireshark 抓包缓冲设置过小
- 网线劣质、光转电模块不稳定都会导致电脑侧收不全包,不是交换机问题。
5. 交换机 QoS、风暴抑制、端口限速间接影响
接口下如果有:
plaintext
storm-control broadcast
qos carl
端口限速 / 流量整形
会连带压制镜像副本报文。
6. 部分控制报文 CPU 转发,镜像捕获不全
ICMP、ARP、BPDU 等部分报文会上 CPU 处理,硬件镜像无法捕获 CPU 软转发报文,直接漏抓。
二、针对性解决办法(立刻改善、不漏包)
方案 1:只抓单向,减少镜像流量(立竿见影)
不要同时 in+out,按需只抓入方向:
plaintext
mirroring-group 1 mirroring-port Gig1/0/1 inbound
方案 2:换万兆口作为镜像目的口(最优)
S5560 用 10G 口做 monitor 抓包口,带宽充足,镜像几乎不丢。
方案 3:关闭抓包口风暴抑制、QoS 限制
plaintext
interface Gig1/0/24
undo storm-control all
undo qos apply
方案 4:优化 Wireshark 本地设置
- Wireshark → 选项 → 捕获 → 增大缓存缓冲区(调到 512MB/1024MB)
- 关闭网卡省电、关闭网卡巨帧、关闭校验卸载
- 电脑直连交换机,不经过集线器、傻瓜交换机
方案 5:精简不必要镜像
只抓业务关键接口,不要多接口同时镜像,防止芯片镜像资源耗尽。
三、关键补充:交换机镜像≠路由器 / 电脑直抓
- 电脑网卡抓包:全量无损
- 交换机硬件镜像:业务优先,镜像弱保障这是所有厂商(华为、华三、锐捷)交换机通用机制,不是设备故障。
四、如果你需要「完整不漏包」的替代方案
- 用端口流镜像,精准 ACL 过滤只抓 ICMP / 指定 IP,减少无效流量
- 高端机型用 ** 远程镜像(RSPAN)** 上联汇聚设备抓包
- 关键排查用网络分析仪 / 旁路分光器,物理分光 100% 无丢包
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
插好了,也换电脑抓,换网线甚至连wireshake都换了