both方向 → Sync / LACP / 其他协议帧 都被复制一份往 monitor-port 甩当成员端口同时加入聚合组且被配置为镜像源端口,会导致 LACP 报文被错误镜像到 IPL 链路,引发协议震荡。主设备因镜像流量干扰无法正常接收对端 LACP 报文(显示对端 DOWN),备设备因物理链路故障或协议异常显示本端 DOWN
聚合类型 | 能否做镜像源 | 能否做镜像目的 |
|---|---|---|
二层聚合(Bridge-Aggregation) | ❌ 不支持 | ❌ 不支持 |
三层聚合 | ❌ 不支持 | ✅ 仅目的 |
聚合成员物理口 | ✅ 可以做源 | ❌ 不能做目的(若 agg 已是目的则成员更不能) |
undo mirroring-group 1 # 先把原来绑 BA 的删掉
mirroring-group 1 local
mirroring-group 1 mirroring-port Ten-GigabitEthernet1/0/1 both
mirroring-group 1 mirroring-port Ten-GigabitEthernet1/0/2 both
mirroring-group 1 monitor-port Ten-GigabitEthernet1/0/3m-lag mad没把这口当非保留口 mad down 掉;monitor 口最好落在本机独用、不下 M-LAGdisplay mirroring-group 1 # Mirroring Port 应列两个成员物理口
display link-aggregation verbose BA 1 # 看两个成员回到 Selected
display lacp peer # M-LAG 侧 LACP 不再抖
暂无评论
一、先直接回答你 3 个核心问题
问题 2:本地镜像是否可以应用在聚合接口下,还是只能应用在物理接口下?
官方明确限制(S7800XP V7 平台):
二层聚合接口(Bridge-Aggregation,M-LAG 业务聚合口)完全不能作为镜像源,不支持mirroring-port配置;
仅聚合组内的物理成员口可以单独作为镜像源;
所有二层聚合口、聚合成员口都不能作为本地镜像的 Monitor 监控目的口,目的口必须是独立空闲物理口,不能加入任何聚合组。
简单总结:不能直接在聚合逻辑接口配置镜像源,只能拆到成员物理口做镜像;聚合口绝对不能当镜像目的口。
问题 3:应用在聚合接口下是不是就会出现聚合组中的另一条链路 DOWN?
是的,直接在二层聚合接口配置镜像源,一定会引发聚合成员震荡、单链路 DOWN,就是你现场故障的根因:
硬件芯片转发逻辑冲突:二层聚合口全局镜像会把 LACP 协议报文大量复制到监控口,对端 M-LAG 设备收不到完整 LACP 协商报文;
LACP 协商异常日志:Member port changed to the inactive state, because the peer port did not have the Synchronization flag;
M-LAG 双机场景放大故障:镜像泛洪干扰 Peer-Link 心跳、LACP 同步标志位,聚合组内成员端口直接被置为 Inactive(DOWN)。
问题 1:两台 7800XP M-LAG,主设备聚合接口下做本地镜像,聚合另一条链路 DOWN 根因
根因 1:违反硬件镜像规范,二层聚合口不允许作为镜像源
你执行了类似配置:
plaintext
interface Bridge-Aggregation 1
mirroring-group 1 mirroring-port both
该配置不符合 H3C 官方约束,芯片转发层异常复制聚合协议报文,LACP 协商丢包,聚合成员端口被判定失效下线。
根因 2:M-LAG 双机同步叠加镜像流量干扰
M-LAG 依赖两端聚合 LACP 标志位同步,聚合口全局镜像把双向 LACP 报文全部复制到监控口,业务链路上 LACP 报文缺失,对端设备认为该链路协商失败,直接将成员端口置为 DOWN 状态。
根因 3:镜像流量抢占端口带宽,LACP 报文被丢弃
聚合双向流量全部镜像复制,瞬时带宽打满,协议报文优先级低被丢弃,LACP 超时断开链路。
二、官方标准合规配置方案(规避链路 DOWN,正常抓取聚合流量)
方案 1:抓取聚合全部流量(推荐,无震荡风险)
不配置聚合逻辑口为源,分别把聚合内所有物理成员口配置为镜像源
plaintext
# 本地镜像组,监控口为独立空闲物理口(不能加入聚合)
mirroring-group 1 local
interface Ten-GigabitEthernet 1/0/10
mirroring-group 1 monitor-port
# 聚合两个成员口分别作为镜像源
interface Ten-GigabitEthernet 1/0/1
mirroring-group 1 mirroring-port both
interface Ten-GigabitEthernet 1/0/2
mirroring-group 1 mirroring-port both
优势:完全符合硬件规范,不会干扰 LACP 协商,聚合链路永不震荡。
方案 2:仅抓取单方向流量(减少镜像带宽占用)
只镜像入方向 / 出方向,降低镜像流量冲击:
plaintext
interface Ten-GigabitEthernet 1/0/1
mirroring-group 1 mirroring-port inbound
interface Ten-GigabitEthernet 1/0/2
mirroring-group 1 mirroring-port inbound
方案 3:流镜像(精准抓取指定业务流量,不复制协议报文)
如果只需要抓取业务流量、不复制 LACP 协议报文,用 QoS 流镜像,不会干扰聚合协商:
plaintext
# 匹配业务流量ACL
acl number 4000
rule permit ip any any
# 流行为镜像
traffic behavior mirror-traffic
mirror-to interface Ten-GigabitEthernet 1/0/10
# 绑定到聚合成员口
qos policy mirror-policy
classifier acl 4000 behavior mirror-traffic
interface Ten-GigabitEthernet 1/0/1
qos apply policy mirror-policy both
interface Ten-GigabitEthernet 1/0/2
qos apply policy mirror-policy both
三、错误配置带来的连锁风险(M-LAG 场景特有)
聚合成员端口频繁 UP/DOWN 震荡,业务流量来回切换,丢包卡顿;
M-LAG Peer-Link 心跳报文被镜像泛洪,双机 M-LAG 分裂风险;
LACP 协商持续失败,聚合组降级为单链路,负载分担失效;
日志持续打印LAGG_INACTIVE_OPERSTATE端口失效告警。
四、故障恢复操作步骤(现场立刻执行)
删除聚合接口上非法的镜像源配置
plaintext
interface Bridge-Aggregation 1
undo mirroring-group 1 mirroring-port both
将聚合内所有物理成员口添加为镜像源(合规方案)
plaintext
interface Ten-GigabitEthernet 1/0/1
mirroring-group 1 mirroring-port both
interface Ten-GigabitEthernet 1/0/2
mirroring-group 1 mirroring-port both
确认监控口是独立空闲物理口,未加入任何聚合组
plaintext
display link-aggregation summary | include Ten-GigabitEthernet 1/0/10
# 无输出代表该口未加入聚合,合规
查看聚合组状态,链路恢复 UP
plaintext
display link-aggregation verbose Bridge-Aggregation 1
五、关键总结
二层聚合逻辑口不能作为本地镜像源,这是链路 DOWN 的根本原因;
只能使用聚合物理成员口作为镜像源,监控目的口必须是独立空闲物理口;
直接在 Bridge-Aggregation 下配置镜像,会干扰 LACP 协商,聚合成员链路持续震荡下线;
M-LAG 双机场景严格遵守镜像配置规范,避免 Peer-Link、业务聚合协议报文被镜像泛洪干扰。
暂无评论
在H3C 7800XP交换机上,将本地镜像直接应用在二层聚合接口(Bridge-Aggregation)上,是不被官方支持的操作。这很可能是导致聚合链路中另一条成员链路状态变为“DOWN”的根本原因。
出现这个现象,根源在于不规范的配置与M-LAG特殊环境叠加引发的问题。
要解决此问题并实现流量镜像,需要采用合规的配置方法:
简单来说,你遇到的问题并非“在聚合口下做镜像必然导致链路DOWN”,而是“在不支持聚合口镜像的设备上,于M-LAG环境下错误配置所引发的高概率故障”。
建议你立即移除在聚合接口上的镜像配置,改用合规的物理成员端口镜像方式。调整配置后,观察聚合链路状态是否恢复正常。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论