• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S6800+(M-LAG组网+本地镜像)

4小时前提问
  • 0关注
  • 0收藏,43浏览
粉丝:0人 关注:0人

问题描述:

1、两台S6800是M-LAG组网。

2、两台S6800和服务器1互联的聚合两个物理口做本地镜像。

3、接收镜像设备只有一台,是接中S6800-01上的,第二台的镜像流量能通过peer-link链路到达S6800-01这台上,最络到到接收镜像设备上吗。

 

4 个回答
粉丝:208人 关注:0人

  可以实现,S6800 M-LAG 场景下,S6800-02 的镜像流量会通过 Peer-Link 转发到 S6800-01,最终送到镜像观测设备  

暂无评论

粉丝:12人 关注:9人

M-LAG组网中,本地镜像的流量默认不会通过peer-link转发到对端设备。需通过配置跨设备镜像实现:
1. 配置镜像组:
在S6800-01和S6800-02上分别创建本地镜像组(如group 1),指定源端口为与服务器互联的聚合口,目的端口为S6800-01上的接收设备端口。
关键命令:

mirroring-group 1 local
mirroring-group 1 mirroring-port [聚合口] both
mirroring-group 1 monitor-port [接收端口]

2. 启用跨设备镜像:
在两台设备上配置镜像组跨设备转发,需确保peer-link允许镜像VLAN(默认VLAN 4094)通过。
关键命令:

mirroring-group 1 remote-source
mirroring-group 1 remote-destination

3. 验证:
检查镜像组状态:display mirroring-group 1
确认peer-link允许VLAN 4094:display vlan 4094
补充:若接收设备仅接在S6800-01,需确保S6800-02的镜像流量通过peer-link转发到S6800-01的目的端口。需配置跨设备镜像功能,否则仅本地镜像流量可达。

暂无评论

粉丝:19人 关注:2人

不能直接通过本地镜像实现:S6800-02(第二台)M-LAG 聚合口复制出的镜像流量,不会自动走 Peer-Link 转发到 S6800-01 的监控口,无法被抓包服务器收到。
下面分原理、故障原因、可行改造方案完整说明。
一、底层核心限制(2 个关键硬件 / 机制约束)
1. 本地镜像(local mirroring)硬件隔离特性
本地镜像的复制动作仅在单台交换机芯片内部完成:
S6800-01 本地聚合口复制的镜像报文,只会在本机转发到本机 monitor 监控口;
S6800-02 本地聚合口生成的镜像复制报文,只会在本机内部转发,芯片不会主动把镜像泛洪 / 转发到 Peer-Link 链路;
镜像报文属于硬件复制副本,不属于正常业务单播 / 广播流量,不遵循 M-LAG 业务转发逻辑,不会跨 Peer-Link 透传。
2. M-LAG Peer-Link 单向隔离防环机制
M-LAG 有强制隔离规则:从 Peer-Link 收到的流量,不会再从 M-LAG 成员口发出;同时本机生成的镜像副本,不会主动发送到 Peer-Link。
哪怕业务流量会跨 Peer-Link 转发,镜像复制报文不受 M-LAG 数据转发逻辑调度,不会跨设备传输。
场景对照你的组网
服务器 1 双上联 M-LAG 聚合(S6800-01 口 1、S6800-02 口 2):
服务器流量走 S6800-01 端口:本机镜像复制 → 直接送到本机监控口,抓包设备能收到;
服务器流量走 S6800-02 端口:本机硬件复制镜像报文,仅存在 S6800-02 芯片内部,不会发送到 Peer-Link 链路,S6800-01 抓包服务器完全看不到这部分流量。
二、3 套标准可行改造方案(按需选择)
方案 1:二层远程端口镜像(推荐,改动最小)
原理:两台设备配置远程源镜像组,用独立专用镜像 VLAN 承载跨 Peer-Link 的镜像流量,Peer-Link 允许该 VLAN 通过,镜像流量跨设备转发到 S6800-01 监控口。
完整配置步骤
规划专用镜像隔离 VLAN(示例 VLAN 4000,全网仅用于镜像,不跑业务)
plaintext
# S6800-01 & S6800-02 全局创建
vlan 4000
description MIRROR_PROBE_VLAN

两台设备 Peer-Link 接口放行镜像 VLAN
plaintext
interface Ten-GigabitEthernet 1/0/49
port link-mode bridge
port trunk permit vlan all
# 确保VLAN4000允许通过peer-link

S6800-02(备机)配置远程源镜像组
plaintext
mirroring-group 1 remote-source
remote-probe vlan 4000
# M-LAG聚合成员物理口作为镜像源,双向复制
interface Ten-GigabitEthernet 1/0/2
mirroring-group 1 mirroring-port both

S6800-01(主机)配置远程目的镜像组,绑定监控口
plaintext
mirroring-group 1 remote-dest
remote-probe vlan 4000
# 连接抓包服务器的端口作为监控口
interface Ten-GigabitEthernet 1/0/50
mirroring-group 1 monitor-port
undo stp enable

效果:S6800-02 复制的镜像报文带 VLAN4000 标签走 Peer-Link 到 S6800-01,剥离标签后转发到抓包服务器,两台设备聚合口流量全部抓取完整。
方案 2:两台交换机各接一台抓包设备(最简,无跨设备镜像)
S6800-01 配置本地镜像,监控口接抓包 1;
S6800-02 配置本地镜像,监控口接抓包 2;
适合流量量大、不希望 Peer-Link 承载镜像流量的场景,无需远程镜像配置。
方案 3:ERSPAN 三层远程镜像(跨三层场景)
如果两台 S6800 三层互通,用 GRE 封装镜像流量,通过三层路由转发到 S6800-01,适合跨机房、远距离镜像场景。
三、补充避坑要点
不要把 Peer-Link 作为 monitor 监控口
官方规范:Peer-Link 接口禁止配置为镜像目的口,会破坏 M-LAG 防环机制,引发业务震荡、LACP 协商异常。
远程镜像 VLAN 必须专用
VLAN4000 仅用于镜像,不能承载业务流量,避免镜像标签与业务 VLAN 冲突、环路。
monitor 监控口关闭 STP
undo stp enable,防止 STP 阻塞镜像流量,监控口只接抓包设备,不接交换机。
负载分担场景验证
服务器流量哈希交替走两台 M-LAG 成员口,只用本地镜像会丢失一半流量,远程镜像方案才能完整抓取双向全量流量。
最简总结
单纯本地镜像:第二台 S6800 的镜像流量无法通过 Peer-Link 传到第一台抓包设备;
根因:本地镜像副本仅本机转发,硬件不支持跨 Peer-Link 透传;
最优解决:部署二层远程端口镜像,通过专用镜像 VLAN 跨 Peer-Link 转发全部镜像流量。

暂无评论

粉丝:23人 关注:1人

在M-LAG组网中,标准的本地镜像(Local Mirroring)无法通过peer-link链路将第二台交换机的镜像流量转发到第一台交换机上的监控设备

📌 结论与原因

根本原因在于 M-LAG的单向隔离机制:从peer-link接口接收的流量,不会再从M-LAG接口转发出去。这种设计用于防止环路,但也阻断了镜像流量的跨设备转发。

因此,本地镜像(Local Mirroring)不能在M-LAG组网中跨设备使用。要实现你的需求,必须采用二层远程端口镜像(RSPAN),通过一个专门的“镜像传输VLAN”将流量引导至监控设备所在的交换机

💡 解决方案:配置二层远程端口镜像(RSPAN)

以下是配置思路,两台交换机(SW-01和SW-02)都需要配置,但配置的角色不同。

1. 准备工作:规划专用镜像VLAN

  • 规划一个专用的镜像VLAN(例如VLAN 100)

  • 在两台交换机上创建该VLAN,并在所有互联端口(包括peer-link)上以Trunk模式允许其通过

  • 在该VLAN中关闭MAC地址学习功能

  • 可选但建议:在监控端口上关闭STP协议

2. 在SW-01和SW-02上配置“远程源镜像组”

在两台交换机上都需要进行此配置,用于指定“要镜像谁的流量”以及“通过哪个VLAN发送”

text
<H3C> system-view [H3C] vlan 100 [H3C-vlan100] undo mac-address mac-learning enable # 关闭MAC地址学习 [H3C-vlan100] quit # 创建远程源镜像组 [H3C] mirroring-group 1 remote-source # 配置被监控的源端口,以GigabitEthernet1/0/1为例 [H3C] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both # 指定远程镜像VLAN [H3C] mirroring-group 1 remote-probe vlan 100 # 指定反射端口,该端口不接任何线缆,会被专用 [H3C] mirroring-group 1 reflector-port GigabitEthernet 1/0/24

关键点reflector-port必须是一个未被使用的物理端口

3. 仅在SW-01上配置“远程目的镜像组”

此配置仅在连接了监控设备的SW-01上执行,用于指定“监控设备接在哪个端口”

text
# 在SW-01上 [H3C] mirroring-group 1 remote-destination # 指定监控端口,即连接分析设备的物理端口 [H3C] mirroring-group 1 monitor-port GigabitEthernet 1/0/1 # 指定远程镜像VLAN [H3C] mirroring-group 1 remote-probe vlan 100 # 将监控端口加入VLAN 100 [H3C] interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1] port access vlan 100 [H3C-GigabitEthernet1/0/1] undo stp enable # 建议关闭STP [H3C-GigabitEthernet1/0/1] quit

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明