• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

7800XP+本地镜像

4小时前提问
  • 0关注
  • 0收藏,33浏览
粉丝:0人 关注:0人

问题描述:

1、两台7800XP做了M-LAG,在主的7800XP上聚合接口下做本地镜像,发现聚合中另一条链路DOWN了。

2、本地镜像是否可以应用在聚合接口下,还是只能应用在物理接口下。

3、应用在聚合接口下是不是就会出现聚合组中的另一条链路DOWN。

4 个回答
粉丝:12人 关注:9人

1. 故障排查步骤:
查看聚合接口状态:display link-aggregation summary,确认聚合组中成员接口状态;
查看镜像配置:display mirroring,确认镜像源是否为聚合接口,目的接口是否正常;
检查成员接口down的原因:display interface <接口名>,查看接口错误统计(如CRC错、协商失败等);
临时移除镜像配置,观察聚合接口是否恢复:undo mirroring session ,再检查聚合状态。
2. 本地镜像支持应用在聚合接口(链路聚合组LAG)作为源接口,无需仅用物理接口。
3. 正常配置下,聚合接口下应用本地镜像不会导致聚合成员链路down。若出现该现象,可能原因:
镜像目的接口带宽不足,导致源接口流量转发受影响;
配置错误(如镜像源/目的接口冲突);
设备硬件或软件bug(需确认版本是否存在相关问题)。
关键命令:
配置聚合接口镜像:mirroring session source interface both;
查看聚合状态:display link-aggregation verbose
查看接口错误:display interface <物理接口> | include Error。

暂无评论

粉丝:21人 关注:0人

你这个现象根因已经比较清楚了——二层聚合口(Bridge-Aggregation)本来就不能当本地镜像的源,你硬绑上去,不光行为不规范,在 M-LAG 场景下还会把 LACP 报文一起镜像走,直接扰到对端收包,另一条成员就被踢 DOWN 了。三条疑问分开答。

1. 为什么主设备聚合口下开本地镜像,另一条成员会 DOWN

你这套是 S7800XP 做 M-LAG + 主设备上聚合口(大概率是 M-LAG 成员口或上联 agg)做本地镜像源,触发链是这样的:
  • 本地镜像 both方向 → Sync / LACP / 其他协议帧​ 都被复制一份往 monitor-port 甩
  • 如果这个聚合口恰好是 M-LAG 成员口​ 或 上联 peer 侧的 agg,被镜像复制出来的 LACP 报文如果走的是同 ASIC 或 peer-link 侧,对端收到的 LACP 时序/计数异常
  • 对端 LACP 状态机翻车 → 本端显示"对端 DOWN"、备设备侧本端 DOWN,成员被踢 Unselected
知了上有个几乎一字不差的 case,答主列的"镜像配置干扰(最常见原因)"这段:
当成员端口同时加入聚合组且被配置为镜像源端口,会导致 LACP 报文被错误镜像到 IPL 链路,引发协议震荡。主设备因镜像流量干扰无法正常接收对端 LACP 报文(显示对端 DOWN),备设备因物理链路故障或协议异常显示本端 DOWN
你这"聚合中另一条链路 DOWN"就是这条——不是镜像绑聚合口必然 DOWN,但在 M-LAG + 聚合做源的违规组合下,概率非常高

2. 本地镜像能不能绑在聚合接口下——结论:二层 BA 根本不支持

翻 H3C 官方镜像配置限制:
聚合类型
能否做镜像源
能否做镜像目的
二层聚合(Bridge-Aggregation)
❌ 不支持
❌ 不支持
三层聚合
❌ 不支持
✅ 仅目的
聚合成员物理口
✅ 可以做源
❌ 不能做目的(若 agg 已是目的则成员更不能)
所以你"在主 7800XP 聚合接口下做本地镜像"这一步本身就踩了官方不支持的项。S5130/S7506E 同款问法知了里也是统一结论:配到聚合口会直接报类型不支持,得拆成成员物理口分别加。
S7800XP 这档能让你配进去但不拦(有些新版本命令行不校验 agg 类型),但运行态就出怪事——你这条就是典型案例。

3. 正解怎么改

✅ 方案 A:源拆成成员物理口(推荐,最稳)

假设聚合口 BA 1 由 XGE1/0/1 + XGE1/0/2 组成,monitor 是 XGE1/0/3:
undo mirroring-group 1 # 先把原来绑 BA 的删掉 mirroring-group 1 local mirroring-group 1 mirroring-port Ten-GigabitEthernet1/0/1 both mirroring-group 1 mirroring-port Ten-GigabitEthernet1/0/2 both mirroring-group 1 monitor-port Ten-GigabitEthernet1/0/3
效果:整聚合双向流量都镜到了(两个成员各自 both),monitor-port 一份收全,绕开 BA 不能做源的限制,也不会再把 LACP 当"业务"复制扰对端。

✅ 方案 B:如果镜像源必须"逻辑上看是整 agg"(比如你后面审计要看 agg 视角)

H3C 没有"agg 做源"的合法路径,只能 A 这种"成员口全加进同一个 group"来等效,一个本地镜像组最多一个 monitor-port,两个成员 both 进去、一个 monitor 出来,流量是叠加不是 hash,monitor 侧拿到的就是整 agg 的全量。

⚠️ M-LAG 场景额外两个坑顺手避

  • monitor-port 别挂到 M-LAG 成员口 / peer-link / keepalive 口上——目的口本身要求是"专用于镜像的闲置口",挂 M-LAG 口上会扰双活
  • 如果 monitor-port 所在 VLAN 会过 peer-link,确认 m-lag mad没把这口当非保留口 mad down 掉;monitor 口最好落在本机独用、不下 M-LAG

验证

改完敲:
display mirroring-group 1 # Mirroring Port 应列两个成员物理口 display link-aggregation verbose BA 1 # 看两个成员回到 Selected display lacp peer # M-LAG 侧 LACP 不再抖
另一条成员应该就回 Selected 了。

你那个聚合口是 M-LAG 成员口(下联接入)还是上联 core 的普通 agg?如果是 M-LAG 成员口,monitor-port 又刚好在 peer-link VLAN 里跑过,那扰 LACP + MAD 两层一起作用,DOWN 得更干脆。告诉我 agg 的角色和 monitor-port 挂哪儿,能帮你再核一遍有没有第二层踩坑。

暂无评论

粉丝:19人 关注:2人

一、先直接回答你 3 个核心问题
问题 2:本地镜像是否可以应用在聚合接口下,还是只能应用在物理接口下?
官方明确限制(S7800XP V7 平台):
二层聚合接口(Bridge-Aggregation,M-LAG 业务聚合口)完全不能作为镜像源,不支持mirroring-port配置;
仅聚合组内的物理成员口可以单独作为镜像源;
所有二层聚合口、聚合成员口都不能作为本地镜像的 Monitor 监控目的口,目的口必须是独立空闲物理口,不能加入任何聚合组。
简单总结:不能直接在聚合逻辑接口配置镜像源,只能拆到成员物理口做镜像;聚合口绝对不能当镜像目的口。
问题 3:应用在聚合接口下是不是就会出现聚合组中的另一条链路 DOWN?
是的,直接在二层聚合接口配置镜像源,一定会引发聚合成员震荡、单链路 DOWN,就是你现场故障的根因:
硬件芯片转发逻辑冲突:二层聚合口全局镜像会把 LACP 协议报文大量复制到监控口,对端 M-LAG 设备收不到完整 LACP 协商报文;
LACP 协商异常日志:Member port changed to the inactive state, because the peer port did not have the Synchronization flag;
M-LAG 双机场景放大故障:镜像泛洪干扰 Peer-Link 心跳、LACP 同步标志位,聚合组内成员端口直接被置为 Inactive(DOWN)。
问题 1:两台 7800XP M-LAG,主设备聚合接口下做本地镜像,聚合另一条链路 DOWN 根因
根因 1:违反硬件镜像规范,二层聚合口不允许作为镜像源
你执行了类似配置:
plaintext
interface Bridge-Aggregation 1
mirroring-group 1 mirroring-port both
该配置不符合 H3C 官方约束,芯片转发层异常复制聚合协议报文,LACP 协商丢包,聚合成员端口被判定失效下线。
根因 2:M-LAG 双机同步叠加镜像流量干扰
M-LAG 依赖两端聚合 LACP 标志位同步,聚合口全局镜像把双向 LACP 报文全部复制到监控口,业务链路上 LACP 报文缺失,对端设备认为该链路协商失败,直接将成员端口置为 DOWN 状态。
根因 3:镜像流量抢占端口带宽,LACP 报文被丢弃
聚合双向流量全部镜像复制,瞬时带宽打满,协议报文优先级低被丢弃,LACP 超时断开链路。
二、官方标准合规配置方案(规避链路 DOWN,正常抓取聚合流量)
方案 1:抓取聚合全部流量(推荐,无震荡风险)
不配置聚合逻辑口为源,分别把聚合内所有物理成员口配置为镜像源
plaintext
# 本地镜像组,监控口为独立空闲物理口(不能加入聚合)
mirroring-group 1 local
interface Ten-GigabitEthernet 1/0/10
mirroring-group 1 monitor-port
# 聚合两个成员口分别作为镜像源
interface Ten-GigabitEthernet 1/0/1
mirroring-group 1 mirroring-port both
interface Ten-GigabitEthernet 1/0/2
mirroring-group 1 mirroring-port both
优势:完全符合硬件规范,不会干扰 LACP 协商,聚合链路永不震荡。
方案 2:仅抓取单方向流量(减少镜像带宽占用)
只镜像入方向 / 出方向,降低镜像流量冲击:
plaintext
interface Ten-GigabitEthernet 1/0/1
mirroring-group 1 mirroring-port inbound
interface Ten-GigabitEthernet 1/0/2
mirroring-group 1 mirroring-port inbound
方案 3:流镜像(精准抓取指定业务流量,不复制协议报文)
如果只需要抓取业务流量、不复制 LACP 协议报文,用 QoS 流镜像,不会干扰聚合协商:
plaintext
# 匹配业务流量ACL
acl number 4000
rule permit ip any any
# 流行为镜像
traffic behavior mirror-traffic
mirror-to interface Ten-GigabitEthernet 1/0/10
# 绑定到聚合成员口
qos policy mirror-policy
classifier acl 4000 behavior mirror-traffic
interface Ten-GigabitEthernet 1/0/1
qos apply policy mirror-policy both
interface Ten-GigabitEthernet 1/0/2
qos apply policy mirror-policy both
三、错误配置带来的连锁风险(M-LAG 场景特有)
聚合成员端口频繁 UP/DOWN 震荡,业务流量来回切换,丢包卡顿;
M-LAG Peer-Link 心跳报文被镜像泛洪,双机 M-LAG 分裂风险;
LACP 协商持续失败,聚合组降级为单链路,负载分担失效;
日志持续打印LAGG_INACTIVE_OPERSTATE端口失效告警。
四、故障恢复操作步骤(现场立刻执行)
删除聚合接口上非法的镜像源配置
plaintext
interface Bridge-Aggregation 1
undo mirroring-group 1 mirroring-port both
将聚合内所有物理成员口添加为镜像源(合规方案)
plaintext
interface Ten-GigabitEthernet 1/0/1
mirroring-group 1 mirroring-port both
interface Ten-GigabitEthernet 1/0/2
mirroring-group 1 mirroring-port both
确认监控口是独立空闲物理口,未加入任何聚合组
plaintext
display link-aggregation summary | include Ten-GigabitEthernet 1/0/10
# 无输出代表该口未加入聚合,合规
查看聚合组状态,链路恢复 UP
plaintext
display link-aggregation verbose Bridge-Aggregation 1
五、关键总结
二层聚合逻辑口不能作为本地镜像源,这是链路 DOWN 的根本原因;
只能使用聚合物理成员口作为镜像源,监控目的口必须是独立空闲物理口;
直接在 Bridge-Aggregation 下配置镜像,会干扰 LACP 协商,聚合成员链路持续震荡下线;
M-LAG 双机场景严格遵守镜像配置规范,避免 Peer-Link、业务聚合协议报文被镜像泛洪干扰。

暂无评论

粉丝:23人 关注:1人

在H3C 7800XP交换机上,将本地镜像直接应用在二层聚合接口(Bridge-Aggregation)上,是不被官方支持的操作。这很可能是导致聚合链路中另一条成员链路状态变为“DOWN”的根本原因

🔍 问题原因分析

出现这个现象,根源在于不规范的配置M-LAG特殊环境叠加引发的问题。

  1. 配置本身不合规:H3C交换机明确限制,二层聚合接口(Bridge-Aggregation)不能作为本地端口镜像的源端口。你当前的配置方法本身就不在设备支持范围内。

  2. M-LAG环境放大了问题:在M-LAG组网中,这种不合规配置会引发更严重的连锁反应

    • 协议报文被镜像:当你在聚合口上开启“双向镜像(both)”时,LACP(链路聚合控制协议)报文也被复制了一份,发往监控端口

    • LACP状态机混乱:被镜像的LACP报文如果错误地进入了M-LAG的 peer-link 链路,会干扰对端设备正常接收LACP报文

    • 成员链路被踢出:对端设备因LACP协议交互异常,会判定该链路无效,将其状态置为“Unselected”或“DOWN”,从而导致聚合链路中断

✅ 解决方案

要解决此问题并实现流量镜像,需要采用合规的配置方法:

将物理成员端口作为镜像源,而不是聚合接口本身

  • 操作:进入聚合组的每个物理成员端口视图,分别执行 mirroring-group 命令,将这些物理口配置为镜像源。

  • 注意:请确保镜像目的端口(连接监控设备的端口)不是一个聚合口,也不是聚合组的成员口

💎 总结与建议

简单来说,你遇到的问题并非“在聚合口下做镜像必然导致链路DOWN”,而是“在不支持聚合口镜像的设备上,于M-LAG环境下错误配置所引发的高概率故障

建议你立即移除在聚合接口上的镜像配置,改用合规的物理成员端口镜像方式。调整配置后,观察聚合链路状态是否恢复正常。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明