用流量統(tǒng)計追查丟包

引言：遇到交換機(jī)丟包類故障問題，一般都需要抓包分析，而多數(shù)情況因現(xiàn)場條件受限，導(dǎo)致抓包不易實(shí)施。筆者通過交換機(jī)流量統(tǒng)計功能，可以快速定位產(chǎn)生丟包故障的交換機(jī)端口，大大提高處理故障的效率，并根據(jù)丟包故障問題從二層和三層兩個方面找出交換機(jī)丟包故障排除方法。

遇到交換機(jī)丟包類故障問題，一般都需要抓包分析，而多數(shù)情況因現(xiàn)場條件受限導(dǎo)致抓包不易實(shí)施。筆者通過交換機(jī)流量統(tǒng)計功能，可以快速定位產(chǎn)生丟包故障的交換機(jī)端口，可以大大提高處理故障的效率，有效提高網(wǎng)絡(luò)管理人員對于丟包問題的定位效率，縮短問題解決時間，并根據(jù)丟包故障問題從二層和三層兩個方面找出交換機(jī)丟包故障排除方法。

圖1 流量路徑示意圖

圖2 配置舉例圖

丟包故障點(diǎn)快速定位方法

對交換機(jī)而言，解決最困難的故障就是丟包類故障，引發(fā)交換機(jī)端口丟包的原因有很多，主要原因一般是由于物理故障、配置錯誤、病毒木馬、物理連接不緊密等原因造成，丟包故障呈現(xiàn)時斷時續(xù)、未中斷速率慢等現(xiàn)象?？梢允褂媒粨Q機(jī)流量統(tǒng)計功能快速定位交換機(jī)丟包故障端口或該端口的物理鏈路，因?yàn)榱髁拷y(tǒng)計抓取的是設(shè)備底層的統(tǒng)計，精確而快速，可有效分析數(shù)據(jù)丟包情況。

流量統(tǒng)計定位原理

如圖1所示，假設(shè)從計算機(jī)PC1 至計算機(jī) PC2丟包。針對交換機(jī)Ge0接口而言，報文源地址IP1至目的地址IP2是inbound方向，相反，回程報文IP2至IP1是outbound方向；而針對交換機(jī)Ge1接口而言，報文源地址IP1至目的地址IP2是outbound方向，相反，回程報文IP2至IP1是inbound方向。

在報文流轉(zhuǎn)端口部署針對故障IP的入方向和出方向的流量統(tǒng)計策略，可以判斷數(shù)據(jù)包是丟在了鏈路上還是交換機(jī)轉(zhuǎn)發(fā)異常導(dǎo)致丟包，通過交換機(jī)出入端口數(shù)據(jù)包的丟包數(shù)據(jù)和數(shù)據(jù)包轉(zhuǎn)發(fā)數(shù)量比較，可以把故障范圍精確到交換機(jī)端口或鏈路上。

流量統(tǒng)計部署方法

文中所有配置均以華為交換機(jī)S7700為例，如圖2，根據(jù)流量轉(zhuǎn)發(fā)路徑，在流量的入接口和出接口分別配置流量統(tǒng)計。配置舉例如下。

1.配置流量統(tǒng)計策略

[S7700]acl number 3000

[S7700-acl-adv-3000]rule 0 permit icmp source 11.11.11.11 0 destination 22.22.22.22 0

[S7700-acl-adv-3000]rule 5 permit icmp source 22.22.22.22 0 destination 11.11.11.11 0

[S7700-acl-adv-3000]quit

[S7700]traffic classifier huawei

[S7700-classifierhuawei]if-match acl 3000

[S7700-classifierhuawei]quit

[S7700]traffic behavior huawei

[S7700-behaviorhuawei]statistic enable

[S7700-behaviorhuawei]quit

[S7700]traffic policy huawei

[S7700-trafficpolicyhuawei]classifier huawei behavior huawei

[S7700-trafficpolicyhuawei]quit

2.在VLAN或端口視圖下應(yīng)用策略

[S7700]interface GigabitEthernet 0/0/1

[ S 7 7 0 0 -GigabitEthernet0/0/1 ]traffic-policy huawei inbound

[ S 7 7 0 0 -GigabitEthernet0/0/1 ]traffic-policy huawei outbound

[S7700] interface GigabitEthernet 0/0/2

[ S 7 7 0 0 -GigabitEthernet0/0/2 ]traffic-policy huawei inbound

[ S 7 7 0 0 -GigabitEthernet0/0/2 ]traffic-policy huawei outbound

3.查看流量統(tǒng)計結(jié)果命令

[ S 7 7 0 0 -GigabitEthernet0/0/1]display traffic policy statistics interface GigabitEthernet 0/0/1 inbound

[ S 7 7 0 0 -GigabitEthernet0/0/1]display traffic policy statistics interface GigabitEthernet 0/0/1 outbound

4.清空流量統(tǒng)計結(jié)果命令

事例中，通過查看流量統(tǒng)計結(jié)果，可以很快定位丟包故障交換機(jī)端口或鏈路。

二層丟包故障排除

在找到交換機(jī)丟包故障端口或鏈路后，可按下列步驟排除二層丟包故障。

1.檢查接口與鏈路

丟包類故障，最常見的故障一般都是由于接口或接線連接不緊密造成的，對故障接口或鏈路的連接接口和連接線進(jìn)行檢查和緊固，主要查看接口是否連接緊密，連接線是否破損等。此外，進(jìn)入交換機(jī)的配置模式，使 用display interface GigabitEthernet X/X/X（X/X/X為交換機(jī)端口號）檢查出入端口狀態(tài)、速率、雙工模式是否正確，相互連接的兩個設(shè)備的端口工作模式必須完全一致，且鏈路無CRC錯誤報文計數(shù)等。

2.檢查交換機(jī)端口工作狀態(tài)是否正常

一般交換機(jī)都會使用STP、RSTP、MSTP、RRPP等協(xié)議，在這些協(xié)議發(fā)揮作用時，可能會造成有的端口處于阻塞或轉(zhuǎn)發(fā)狀態(tài)，當(dāng)兩種狀態(tài)互相轉(zhuǎn)換時，會造成數(shù)據(jù)包丟包。

3.確保交換機(jī)配置正常

使用dislay vlan X（X為VLAN編號），確認(rèn)本交換機(jī)出入端口的VLAN相同，因二層轉(zhuǎn)發(fā)只依賴于VLAN+MAC。使用dislay mac-address命令，確認(rèn)流量的目的MAC地址是否正確學(xué)習(xí)在出接口，同時需要關(guān)注是否存在MAC地址在多個端口產(chǎn)生漂移的情況。

4.查看交換機(jī)出入端口是否存在擁塞

使用display interface GigabitEthernet X/X/X（X/X/X為交換機(jī)端口號）命令查看問題端口信息。查看端口出方向是否存在Discard計數(shù)持續(xù)增加情況，如果有則說明該接口存在流量突發(fā)擁塞情況。出現(xiàn)擁塞一般是數(shù)據(jù)流量超過交換機(jī)負(fù)荷或網(wǎng)絡(luò)中有廣播風(fēng)暴。

三層丟包故障排除

在找到交換機(jī)丟包故障端口或鏈路后，可按下列步驟排除三層丟包故障。

1.按二層丟包故障的步驟先排除由二層故障引發(fā)的故障。

2.查看源地址和目標(biāo)地址之間的路由。如果源地址和目標(biāo)地址之間無法Ping通或路由條目不穩(wěn)定等原因，也會造成數(shù)據(jù)包丟包。

使 用display ip routing-table X.X.X.X（X.X.X.X為目標(biāo)IP地址）命令可以查看到目標(biāo)IP地址的路由是否存在或正常。檢查路由對應(yīng)的下一跳是否可達(dá)，可以Ping下一跳的IP地址來進(jìn)行測試確認(rèn)。如果Ping不通雙方或一方處于交換機(jī)直連網(wǎng)段，可以使用命令來display arp | include X.X.X.X（X.X.X.X為目標(biāo)IP地址）檢查這些設(shè)備的ARP是否已經(jīng)在交換機(jī)上正確學(xué)習(xí)。

經(jīng)驗(yàn)總結(jié)

遇到丟包問題可以使用流量統(tǒng)計的方法快速方便的定位故障設(shè)備端口所在，相關(guān)端口的流量是否在合理范圍內(nèi)，以及是否有連續(xù)的、錯誤吧統(tǒng)計增加情況，可以大大加快處理問題的速度以及縮小故障范圍。找到故障端口或鏈路后依據(jù)故障產(chǎn)生的可能原因逐一確認(rèn)排除。