s3620 镜像问题
- 0关注
- 0收藏,63浏览
1. 执行display port-mirroring,确认源端口(RAGG2)、monitor端口、镜像方向是否为both;
2. 执行display interface RAGG2,查看入/出流量统计,确认回流量是否真实存在;
3. 确认monitor端口状态为Up,无错误包。
调整:若配置正确仍无回流量,S3620部分聚合组镜像需确保源端口配置mirroring-port both;若仍异常,可将monitor端口设为独立VLAN,或升级交换机版本(旧版本存在镜像bug)。
关键命令:display port-mirroring、mirroring-port both(源端口视图)、monitor-port X(系统视图)。
大佬你好 mirroring都设置了 both ragg2 input和output都有流量 monitor端口是up的 mirroring group是 ative的 RAGG2是三层接口 我设置monitor的接口也需要时三层的 没法设置vlan
我刚才试了一下 不设置both,只设置inbound 目的端口没流量 设置 outbound 目的端口就有流量 ,但好似源端口 input和output都有流量
貌似镜像源端口不用聚合组成员接口,直接用聚合组接口就好了。。
both(双向)镜像的情况下,monitor 口只能抓到出流量而抓不到回流量,通常是由于镜像方向未完全覆盖或者回程流量走了三层转发路径导致的。1. 检查镜像方向是否真正配置为双向
both,但建议再次仔细核对配置。在部分老版本或特定场景下,可能默认只生效了单向。- 排查方法:在交换机上执行
display mirroring-group all命令。 - 检查重点:查看输出信息中源端口(Mirroring port)后面的方向标识是否为
Both。如果显示的是Inbound(入方向)或Outbound(出方向),说明没有生效双向。 - 解决方法:重新进入系统视图,执行命令强制指定双向镜像:
1mirroring-group [镜像组编号] mirroring-port [你的源端口号] both
2. 核心排查:回程流量是否经过三层转发(最常见原因)
- 现象解释:H3C S3600/S3620 等交换机的普通端口镜像,默认只能捕获二层转发(同网段通信)的流量。如果回程流量经过了三层路由转发(例如跨网段访问),这部分流量是由交换机的主控板或硬件芯片直接转发的,不会经过普通的二层镜像采样点,因此 monitor 口抓不到回程包。
- 解决方法:
由于 S3620 属于较老的设备型号,可能不支持新设备的三层镜像增强命令。最稳妥的解决方案是调整镜像源:- 不要只镜像 WAN 口:改为将内网用户所在的接口(或整个内网 VLAN)作为镜像源端口。
- 原理:当回程流量经过三层转发到达内网用户接口,准备以二层帧的形式转发给用户时,这部分流量一定会经过内网接口的出方向(Outbound)。此时再抓取内网接口的
both或Outbound流量,就能完整捕获到回程包了。
S3620 对聚合口(RAGG2)做镜像,只出不进,90% 是:①没在聚合口下配置 mirroring-port both;②monitor 口与源口不在同一广播域 / 被隔离;③旧版本芯片对聚合回程镜像有 bug。
下面按 “先查配置→再查流量→最后改法” 一步步来,直接照着敲。
一、先确认当前镜像配置(必查)
bash
运行
display port-mirroring
display interface RAGG2
display interface GigabitEthernet 1/0/X # 你的monitor口
你要看到:
镜像组类型:local
源:RAGG2(或其成员口)方向 both
目的:monitor-port 正确,状态 UP
常见错:
只在成员口配了 both,聚合口 RAGG2 没配 both → 回程不走成员,走聚合,镜像不到。
写成 inbound 或 outbound,不是 both。
二、S3620 + 聚合口 正确镜像配置(重点)
bash
运行
system-view
# 1. 创建本地镜像组(用1就行)
mirroring-group 1 local
# 2. 把聚合口 RAGG2 设为源,双向 both(关键!)
interface RAGG2
mirroring-group 1 mirroring-port both
undo shutdown
# 3. 把monitor口设为目的(假设是 1/0/24)
interface GigabitEthernet 1/0/24
mirroring-group 1 monitor-port
port link-type access
port access vlan 1 # 和RAGG2所在VLAN一致
undo stp enable # 镜像口不要开STP
undo shutdown
quit
save
注意:必须在 RAGG2 接口下配 both,只配成员口不够,回程流量走聚合口。
三、为什么只有出、没有回(核心原因)
回程流量走三层 / 聚合转发,不走成员口
你 “下联走成员、上联走聚合”,回程从 WAN 回来是进 RAGG2 聚合口,不是进成员口;
只在成员口配 both → 聚合口入方向没镜像 → 回流量抓不到。
monitor 口和源口不在同一 VLAN / 被隔离
monitor 口如果是默认 VLAN1,而 RAGG2 在其他 VLAN,镜像报文被 VLAN 隔离丢弃 → 只有出(egress 不检查 VLAN),没有回(ingress 被拦)。
S3620 老版本镜像 bug
早期版本(V5 早期)对 聚合口 ingress 镜像丢包 / 不复制,升级到 V5.20.17 及以上 可解决。
monitor 口带宽被占满
上联 WAN 回包大,1G monitor 口被打满 → 只复制小包(出),大包(回)被丢弃。
四、立刻生效的调整步骤(按顺序)
1. 聚合口补全 both(最关键)
bash
运行
interface RAGG2
mirroring-group 1 mirroring-port both
2. monitor 口加入 RAGG2 所在 VLAN
bash
运行
interface GigabitEthernet 1/0/24
port access vlan X # X 是 RAGG2 所在VLAN
undo stp enable
3. 关闭 monitor 口的隔离 / 安全策略
bash
运行
interface GigabitEthernet 1/0/24
undo port-isolate enable
undo dot1x authentication method eap
4. 升级版本(如果上面都不行)
S3620 升级到 Release 5309P15+,解决聚合 ingress 镜像丢包问题。
五、验证是否正常
bash
运行
display port-mirroring
# 看:RAGG2 both,monitor-port 正确
display interface RAGG2
# Input(total)、Output(total) 都在涨
display interface GigabitEthernet 1/0/24
# Input(mirror) 有流量增长 → 回流量抓到了
一句话总结:S3620 聚合镜像,源必须配在聚合口上 both,monitor 口同 VLAN、关 STP、无隔离;还不行就升级版本。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
貌似镜像源端口不用聚合组成员接口,直接用聚合组接口就好了。。