远程镜像流量抓包抓不到业务流量
- 0关注
- 0收藏,50浏览
问题描述:
我配置了远程镜像流量,从核心交换机的G1/3/0/7口接一台电脑抓包,但是抓不到业务流量。
汇聚交换机镜像配置:
<GXLSXY-TSG-2F-S5800>dis mirroring-group all
Mirroring group 1:
Type: Remote source
Status: Active
Mirroring port:
GigabitEthernet1/0/7 Both
Reflector port: GigabitEthernet1/0/17
Remote probe VLAN: 3
对核心放通vlan 3
核心交换机配置:
<LZ-LSXY-HXSW-10508X-G-IRF1&2>dis mirroring-group all
Mirroring group 1:
Type: Remote destination
Status: Active
Monitor port:
GigabitEthernet1/3/0/7
Remote probe VLAN: 3
对汇聚放通vlan 3
我从核心交换机G1/3/0/7口抓包抓不到业务的流量,只抓到一些arp和一些bpdu的包,这是怎么回事?为什么业务流量没有抓到?
- 远程镜像 VLAN 3 配置 / 转发有问题;
- 核心侧监控口没关 STP / 没设为纯镜像口;
- 流量是三层转发,而你镜像的是二层端口;
- 反射端口、VLAN 3 没按 H3C 要求配置。
一、先确认:你镜像的是 “二层流量” 还是 “三层流量”
- 如果业务是跨 VLAN 互访(经过核心三层转发):
- 汇聚 S5800 的 G1/0/7 是二层接入口,只能镜像入 / 出该口的二层帧;
- 三层转发后的流量不从这个口走,自然抓不到,只能抓到本 VLAN 的 ARP、BPDU。
- 要抓跨 VLAN 业务流量:
- 镜像点要放在核心三层接口(或核心下联口),而不是汇聚接入口。
二、汇聚侧(S5800)常见配置遗漏
Mirroring group 1:
Type: Remote source
Mirroring port: GigabitEthernet1/0/7 Both
Reflector port: GigabitEthernet1/0/17
Remote probe VLAN: 3
1)VLAN 3 必须是静态、专用、关闭 MAC 学习
vlan 3
name RSPAN_VLAN
undo mac-address learning # 关键!防止镜像报文被转发走
2)反射端口 G1/0/17 配置
interface GigabitEthernet1/0/17
port link-type trunk
port trunk allow-pass vlan 3
undo stp enable # 必须关 STP
no shutdown
- 反射口不能有业务、不能是聚合口、不能开 STPH3C。
3)G1/0/7(源端口)
interface GigabitEthernet1/0/7
mirroring-group 1 mirroring-port both
# 注意:源口不要加入 VLAN 3
三、核心侧(10508X)监控口配置错误概率最高
Mirroring group 1:
Type: Remote destination
Monitor port: GigabitEthernet1/3/0/7
Remote probe VLAN: 3
必须做的 3 件事:
interface GigabitEthernet1/3/0/7
undo stp enable
interface GigabitEthernet1/3/0/7
port link-type access
port default vlan 3
mirroring-group 1 monitor-port
no shutdown
四、为什么只有 ARP/BPDU?
- ARP:本 VLAN 内二层广播,能被镜像;
- BPDU:STP 协议帧,所有 trunk 口都收,也能被镜像;
- 业务流量:
- 同 VLAN:应该能抓到,抓不到 → VLAN3 / 反射口 / STP 问题;
- 跨 VLAN:三层转发,不经过汇聚 G1/0/7,所以抓不到。
五、立刻可执行的整改步骤
-
汇聚:
- vlan 3 下 undo mac-address learning;
- G1/0/17 undo stp enable;
- 互联口 trunk 放行 vlan 3。
-
核心:
- G1/3/0/7 undo stp enable;
- 只做 monitor-port,不配业务。
-
验证:
# 汇聚看镜像统计
display mirroring-group 1
# 核心看镜像统计
display mirroring-group 1
- 看 “镜像报文数” 是否在增长;
- 增长但 Wireshark 看不到:PC 网卡不要设 IP、关闭防火墙、抓包时选对网卡。
六、如果你要抓 “跨 VLAN 业务流量”
- 镜像核心下联汇聚的口,或核心三层接口;
- 再用同样 RSPAN 方式镜像到监控口。
1. 核心原因:三层转发流量未被捕获
- 检查并开启三层镜像能力:在系统视图下,尝试开启三层镜像功能。部分设备或版本需要执行
mirroring-layer3 enable(注意:部分高端设备或旧版本可能需要特定的 License 授权)。 - 使用 ACL 流镜像(最推荐):通过 QoS 策略强制将特定的三层业务流量镜像到 CPU 或指定的镜像组中。
- 配置思路:定义一个 ACL 匹配你的业务流量 -> 创建流分类和流行为(动作为镜像) -> 创建 QoS 策略并应用到业务所在的接口(入方向或出方向)。
- 示例命令框架:
1# 1. 定义ACL匹配业务流量(例如匹配所有IP流量) 2acl number 3000 3 rule 0 permit ip 4 5# 2. 定义流分类 6traffic classifier BUSINESS 7 if-match acl 3000 8 9# 3. 定义流行为(镜像到镜像组1) 10traffic behavior MIRROR_BUSINESS 11 mirror-to mirroring-group 1 12 13# 4. 定义QoS策略并应用 14qos policy POLICY_MIRROR 15 classifier BUSINESS behavior MIRROR_BUSINESS 16interface GigabitEthernet1/0/7 # 你的业务源端口 17 qos apply policy POLICY_MIRROR inbound
2. 检查镜像源端口与方向
GigabitEthernet1/0/7 确实是业务流量经过的端口。- 双向镜像:你配置了
Both(双向),这是正确的。确保业务流量确实有从该端口进或出。 - 端口状态:确认该端口物理状态和协议状态均为 UP,且没有因为错误包过多被 shutdown。
3. 检查抓包电脑与目的端口状态
- 关闭生成树(STP):在核心交换机的抓包目的端口
GigabitEthernet1/3/0/7上,建议执行undo stp enable。防止 STP 协议将端口置为阻塞状态,导致部分数据包被丢弃。 - 关闭其他策略:检查核心交换机的目的端口上是否应用了限速(QoS LR)或包过滤(Packet-filter)策略,这些策略可能会把镜像过来的大流量直接丢弃。
- 网卡混杂模式:确保你抓包电脑上的 Wireshark 已经开启了“混杂模式(Promiscuous mode)”,否则网卡可能会丢弃不属于自己 MAC 地址的数据包。
4. 检查远程探测 VLAN(Remote Probe VLAN)
- 确保 VLAN 3 在汇聚交换机、核心交换机以及中间经过的所有传输设备上都已经创建,并且对应的 Trunk 端口都允许 VLAN 3 通过。
- 可以在汇聚和核心交换机上分别
display interface Vlan-interface 3,查看该 VLAN 接口是否有流量计数在增长,以判断镜像流量是否成功穿越了网络。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论