H3C交換機在企業(yè)中的常見(jiàn)配置

在中小企業(yè)或大企業(yè)的分支機構中，二層以太網(wǎng)交換機作為二層匯聚交換機，可以直接接用戶(hù)，上行連接到二/三層以太網(wǎng)交換機，可以通過(guò)路由器連接到總部或其它分支機構的網(wǎng)絡(luò )。

在組網(wǎng)中將每個(gè)部門(mén)劃分在一個(gè)VLAN中；為了便于網(wǎng)管，需要配置SNMP；為了防止交換機被非法訪(fǎng)問(wèn)，交換機上需要配置對訪(fǎng)問(wèn)方式的ACL控制。

整個(gè)網(wǎng)絡(luò )采用VLAN10作為管理VLAN，所有交換機上VLAN10接口的IP地址在同一個(gè)網(wǎng)段10.110.110.0/24，主RADIUS服務(wù)器的IP為10.110.10.18；網(wǎng)管工作站的IP地址為10.11.10.1。路由器的IP地址為10.100.11.1，二/三層交換機通過(guò)VLAN2接口與路由器相連，VLAN2接口的IP地址為10.100.11.2。

在二層交換機上作如下配置：管理VLAN配置、網(wǎng)管路由配置、SNMP配置、各種訪(fǎng)問(wèn)方式的ACL控制配置；hybrid端口配置。

在二/三層交換機上進(jìn)行如下配置：網(wǎng)關(guān)配置、hybrid端口配置、SNMP配置、各種訪(fǎng)問(wèn)方式的ACL控制配置、各個(gè)部門(mén)間的相互訪(fǎng)問(wèn)的控制。

本文僅說(shuō)明交換機上的基本配置。

1. 配tch B

下面以網(wǎng)絡(luò )中某部門(mén)tch B為例說(shuō)明基本配置過(guò)程。此部門(mén)所有的計算機配置在一個(gè)VLAN內。

(1)        配置VLAN。

[Quidway] vlan 5

[Quidway-vlan5]port ethernet 0/1 to Ethernet 0/24 ethernet 1/1

[Quidway-vlan5] quit

(2)        配置管理VLAN及路由。

# 管理VLAN為VLAN 10。

[Quidway] interface vlan 10

[Quidway-Vlan-interface10]ip address 10.110.110.2 255.255.255.0

# 配置路由，下一跳為10.110.110.1。

[Quidway] ip route 10.11.10.1 255.255.255.248 10.110.110.1

(3)        配置上行端口Ethernet1/1為hybrid端口，允許VLAN10和VLAN5的報文通過(guò)。

[Quidway] interface Ethernet1/1

[Quidway-Ethernet1/1] port link-type hybrid

[Quidway-Ethernet1/1] port hybrid pvid vlan 5

[Quidway-Ethernet1/1] port hybrid vlan 10 tagged

(4)        配置SNMP

# 進(jìn)入全局配置模式。

system-view

# 設置團體名和訪(fǎng)問(wèn)權限。

[Quidway] snmp-agent community read huawei

[Quidway] snmp-agent community write beiyan

# 設置管理員標識、聯(lián)系方法以及以太網(wǎng)交換機的物理位置。

[Quidway] snmp-agent sys-info contact Mr.Wang-Tel:3306

[Quidway] snmp-agent sys-info location telephone-closet,3rd-floor

# 允許發(fā)送Trap。

[Quidway] snmp-agent trap enable

# 定義訪(fǎng)問(wèn)控制列表，以便進(jìn)行對通過(guò)SNMP訪(fǎng)問(wèn)交換機的用戶(hù)進(jìn)行ACL控制。

[Quidway] acl number 1

[Quidway-acl-basic-1] rule 0 permit source 10.11.10.1 0

# 創(chuàng )建SNMP組，并定義訪(fǎng)問(wèn)控制。

[Quidway] snmp-agent group v3 huaweigroup acl 1

# 為SNMP組添加一個(gè)用戶(hù)huaweimanager，設置認證密碼為hello，并配置訪(fǎng)問(wèn)控制，只允許網(wǎng)管工作站訪(fǎng)問(wèn)交換機。

[Quidway]snmp-agent usm-user v3 huaweimanager huaweigroup auth md5 huawei acl 1

(5)        配置對TELNET用戶(hù)的訪(fǎng)問(wèn)控制，僅允許IP為10.110.110.46和10.110.110.52的用戶(hù)通過(guò)TELNET訪(fǎng)問(wèn)交換機。

# 定義基本訪(fǎng)問(wèn)控制列表。

[Quidway] acl number 20

[Quidway-acl-basic-20] rule 0 permit source 10.110.110.46 0

[Quidway-acl-basic-20] rule 1 permit source 10.110.110.52 0

# 引用訪(fǎng)問(wèn)控制列表。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] acl 20 inbound

(6)        配置對HTTP用戶(hù)的訪(fǎng)問(wèn)控制，僅允許IP地址為10.110.110.46的主機通過(guò)WEB方式訪(fǎng)問(wèn)交換機。

# 定義基本訪(fǎng)問(wèn)控制列表。

[Quidway] acl number 30

[Quidway-acl-basic-30] rule 0 permit source 10.110.110.46 0

# 引用訪(fǎng)問(wèn)控制列表。

[Quidway]ip http acl 30

交換機典型故障歸類(lèi)和排除
一臺交換機設備無(wú)論性能多么好，都會(huì )存在潛在的故障問(wèn)題，就像人一樣，無(wú)論多么健康，也總會(huì )出現有一些小毛病，能夠做到防范于未然當然是好事，但是對于這個(gè)作為網(wǎng)絡(luò )重臣的交換機來(lái)說(shuō)，日夜“操勞”不斷，偶爾出現問(wèn)題也是在所難免的，所以當故障出現了，就要正視故障，及時(shí)地解決問(wèn)題。

盡管交換機的故障多種多樣，但是問(wèn)題的根源就如:“天下武功出少林”一樣，萬(wàn)變不離其宗，殊途同歸，而且經(jīng)常出現的也就這么幾種，下面為大家歸納了幾類(lèi)典型的故障及其解決方法，讀者也大可以觸類(lèi)旁通，舉一反三，希望對交換機的日常故障處理工作有所幫助。

1.電源故障

故障現象:開(kāi)啟交換機后，交換機沒(méi)有正常運作，而且發(fā)現面板上的POWER指示燈并沒(méi)有亮，而且風(fēng)扇也不轉動(dòng)。

故障原因:這種故障通常是由于外部供電環(huán)境的不穩定，或者是電源線(xiàn)路老化，又或者是由于遭受雷擊等而導致電源損壞或者風(fēng)扇停止，從而導致交換機不能正常工作。還有可能是由于電源緣故而導致交換機機內的其他部件壞的損壞。

解決方法:這類(lèi)問(wèn)題很容易發(fā)現也很容易解決，當發(fā)生這種故障時(shí)，首先檢查電源系統，看看供電插座有沒(méi)有電流，電壓是否正常。要是供電正常的話(huà)，那就要檢查電源線(xiàn)是否有所損壞，有沒(méi)有松動(dòng)等，若電源線(xiàn)損壞的話(huà)就更換一條，松動(dòng)了的話(huà)就重新插好。

如果問(wèn)題還沒(méi)有解決，那問(wèn)題就應該落在交換機的電源或者是機內的其他部件損壞了。預防方法也比較簡(jiǎn)單，首先要做的就是保證外部供電環(huán)境的穩定，這可以通過(guò)引入獨立的電力線(xiàn)來(lái)提供獨立的電源，并添加穩壓器來(lái)避免瞬間高壓或低壓象。

可能的話(huà)，建議最好配置UPS系統(不間斷電源)。還有的就是采取必要的避雷措施，以防雷電對交換機造成的損害。

2.電路板故障

故障現象:有一個(gè)電腦室經(jīng)常出現一部分電腦不能訪(fǎng)問(wèn)服務(wù)器的現象。一開(kāi)始以為是網(wǎng)絡(luò )布線(xiàn)不規范和網(wǎng)卡設置被學(xué)生修改了，所以機房管理員經(jīng)常對網(wǎng)線(xiàn)進(jìn)行測試和重新設置系統的網(wǎng)絡(luò )配置。但是經(jīng)過(guò)反復維修，這些電腦的網(wǎng)絡(luò )連接還是時(shí)好時(shí)壞，到最后，這一組的電腦全部都不能上網(wǎng)了，同時(shí)也發(fā)現連接這組電腦的交換機的所有連接指示燈都在不規則地亂閃。

故障原因:交換機一般是由主電路板和供電電路板組成，造成這種故障一般都是這兩個(gè)部分出現了問(wèn)題。而造成電路板不能正常工作的主要因素有:電路板上的元器件受損或基板不良，硬件工注不合適和硬件更新后以及由于兼容問(wèn)題而造成的電路板塊類(lèi)型不合適等。

解決方法:首先確定究竟是主電路板還是供電電路板出現問(wèn)題，先從電源部分開(kāi)始檢查，用萬(wàn)能表在去掉主電路板負載的情況下通電測量，看測量出的指標是否正常，若不正常，則換用一個(gè)AT電源，輸入電源到主電路板，交換機前面板的指示燈恢復正常的亮度和顏色，而所連接這臺交換機的電腦正�；ピL(fǎng)，就說(shuō)明是供電電路板出現了問(wèn)題。若以上操作無(wú)效的話(huà)，問(wèn)題就應該是出現在主電路板上了。

3.端口故障

故障現象:整個(gè)網(wǎng)絡(luò )的運作正常，但個(gè)別的機器不能正常通信。

故障原因:這是交換機故障中最常見(jiàn)的，如果光纖插頭或RJ-45端口臟了，可能導致端口污染而不能正常通信。還有，平常很多人都喜歡帶電插拔接頭，在理論上說(shuō)似乎并沒(méi)有不妥，但實(shí)際上經(jīng)常這樣的話(huà)就無(wú)意中增加了端口的故障發(fā)生率;在搬運時(shí)的不小心，也可能導致端口物理?yè)p壞;購買(mǎi)的水晶頭尺寸偏大，插入交換機時(shí)，也很容易破壞端口。此外，如果接在端口上的雙絞線(xiàn)有一段暴露在室外，萬(wàn)一這根電纜被雷電擊中，就會(huì )導致所連交換機端口被擊壞。

解決方法:一般情況下，端口故障是個(gè)別的端口損壞，先檢查出現問(wèn)題的計算機，在排除了端口所連計算機的故障后，可以通過(guò)更換所連端口，來(lái)判斷其是否端口問(wèn)題，若更換端口后問(wèn)題能解決的話(huà)，再進(jìn)一步判斷是端口的何種緣故。關(guān)閉電源后，用酒精棉球清洗端口，如果端口確實(shí)被損壞，那就只能更換端口了。此外，無(wú)論是光纖端口還是雙絞線(xiàn)的RJ-45端口，在插拔接頭時(shí)一定要小心，建議插拔時(shí)最好不要帶電操作。

4.模塊故障

故障現象:交換機是由很多模塊組成，如堆疊模塊、管理模塊(即控制模塊)、擴展模塊等，這些模塊都有不同的外部接口，若發(fā)生故障都比較容易發(fā)現，有些可以直接查看得出，有的可以通過(guò)模塊上的指示燈來(lái)辨別故障。

故障原因:交換機是的多種模塊，如果插拔模塊時(shí)不小心，或者是搬運交換機時(shí)模塊受到受到碰撞，都可能導致此類(lèi)故障的發(fā)生。還可能是由于電源不穩定等情況造成的。

解決方法:這些模塊發(fā)生故障的機率很小，不過(guò)一旦出現問(wèn)題，就會(huì )遭受巨大的經(jīng)濟損失，所以在保持電源穩定的前提下，拔插模塊或搬運交換機時(shí)要加倍小心。在排除此類(lèi)故障時(shí)，首先確保交換機及模塊的電源常供應，然后檢查各個(gè)模塊是否插在正確的位置上，最后檢查連接模塊的線(xiàn)纜是否正常。而解決此類(lèi)故障的方法，就只能夠與相關(guān)供應商聯(lián)系爭取更換了。

5.背板故障:

故障現象:外部供電環(huán)境正常，但交換機的各個(gè)內部模塊都不能正常工作。

故障原因:因為交換機的各個(gè)模塊都是接插在背板上的，如果交換機在潮濕的環(huán)境下工作，電路板受潮發(fā)生短路，又或者是元器件因高溫、雷擊等而受損，這些情況都會(huì )使電路板發(fā)生故障，而不能正常工作。

解決方法:如果外部電源正常供電，但交換機的各個(gè)內部模塊都不能正常工作，那就可能是背板壞了，這種故障的解決方法無(wú)他，只有一個(gè)，那就是更換背板，因為修復補不了的。為了有效防止這種故障的發(fā)生，最重要的是為交換機提供一個(gè)符合廠(chǎng)商所提供的標準指標的工作環(huán)境。

6.配置不當:

故障現象:將某工作站連接到交換機上的幾個(gè)端口后，無(wú)法Ping通局域網(wǎng)內其它電腦，但桌面上“本地連接”圖標仍然顯示網(wǎng)絡(luò )連通。

故障原因:由于各種交換機配置都不一樣，管理員在配置交換機時(shí)會(huì )很容易出現配置錯誤。

解決方法:先檢查這些被Ping的電腦是否安裝有防火墻，三層交換機可以設置VLAN(虛擬局域網(wǎng))，不同VLAN內的工作站在沒(méi)設置路由的情況下無(wú)法Ping通，因此要修改VLAN的設置，使它們在一個(gè)VLAN中，或設置路由使VLAN之間可以通訊。這類(lèi)故障有時(shí)很難發(fā)現，需要一定的經(jīng)驗積累，在配置之前，最好先閱讀說(shuō)明書(shū)。如果不能確保用戶(hù)的配置有問(wèn)題，請先恢復出廠(chǎng)默認配置，然后再一步一步地配置。

7.系統數據錯誤

故障現象:交換機出現滿(mǎn)載、丟包、錯包等情況，甚至會(huì )造成系統全方位的故障，影響局域網(wǎng)的通信。

故障原因:這類(lèi)故障的起因跟常見(jiàn)的Windows、Linux一樣，由于當時(shí)設計的原因，存在著(zhù)一些漏洞，在一定的條件下，這些漏洞將會(huì )發(fā)生系統數據錯誤的故障。

解決方法:交換機系統提供了諸如Web、TFTP等方式來(lái)下載并更新系統，所以有關(guān)管理人員要多關(guān)注設備廠(chǎng)商的網(wǎng)站，如果推出新的系統或新的補丁，應當及時(shí)更新，以防止錯誤的發(fā)生。

總結：

除了以上所列的幾點(diǎn)之外，連接電纜和配線(xiàn)架跳線(xiàn)的問(wèn)題(如果這些連接電纜內的纜芯或跳線(xiàn)發(fā)生了短路、斷路或虛接，就會(huì )形成通信系統的故障)也時(shí)有發(fā)生，此外，局數據錯誤也會(huì )對整個(gè)交換局造成影響，而用戶(hù)數據被錯誤設置，則會(huì )對某個(gè)用戶(hù)產(chǎn)生影響，還有的就是交換機軟件方面的問(wèn)題，譬如像程序BUG——軟件程序設計存在著(zhù)缺陷……這些也是應當注意的問(wèn)題。

總之，一臺交換機設備的故障問(wèn)題難以一一列舉，可行之道當是做好日常防護工作，做好相關(guān)的日志記錄，并為交換機提供一個(gè)合適的工作環(huán)境，結合相關(guān)的經(jīng)驗，把故障控制在最小的范圍內。

交換機在網(wǎng)絡(luò )中的故障診斷
在一個(gè)交換網(wǎng)絡(luò )里，您如何確定從哪里開(kāi)始動(dòng)手查找問(wèn)題？想深入“透視”一個(gè)交換網(wǎng)絡(luò )是非常困難的。首先，在2層交換的時(shí)候還是橋接轉發(fā)方式，但到了3層交換卻有了更高級的特性和轉發(fā)規則,例如VLAN。

到了4層交換，就更加復雜了，出現了更高級的轉發(fā)和負載均衡技術(shù)，故障診斷故障診斷和解決就需要更多的交換機配置知識。

在安裝完一臺交換機后，每個(gè)交換機的半雙工端口就構成了一個(gè)沖突域。如果該端口連接了一個(gè)集線(xiàn)器，集線(xiàn)器下面連接若干站點(diǎn)，那么沖突域會(huì )擴大。但隨著(zhù)交換產(chǎn)品的價(jià)格下跌，現在大多數新建的網(wǎng)絡(luò )每個(gè)交換端口都只連接一個(gè)站點(diǎn)。因此，在半雙工連接情況下，沖突域僅針對一個(gè)單獨的電纜鏈路。

交換機通常是一個(gè)獨立廣播域的一部分，包括串連或者并連的任意數目的其他交換機。如果使用了OSI模型3層的功能，就可以創(chuàng )建多廣播域，廣播域的數目與VLAN數目相等。最極限的情況，如果交換機功能允許，每個(gè)端口可以配置為一個(gè)獨立的廣播域�？梢园堰@種情況描述為路由到桌面。為每個(gè)端口創(chuàng )建一個(gè)獨立的廣播域后，故障診斷就會(huì )嚴格受限。但是如果我們把每個(gè)端口設置為一個(gè)單獨的廣播域，交換機在轉發(fā)流量的時(shí)候，每個(gè)端口都需要路由服務(wù)，這會(huì )占用交換機CPU的有限資源。在網(wǎng)絡(luò )環(huán)境中，對每個(gè)單獨的端口進(jìn)行路由請求和應答是非常困難的，我們應該避免這樣的配置。不幸的是，這種情況在實(shí)際情況中非常常見(jiàn)，網(wǎng)絡(luò )中經(jīng)常發(fā)現服務(wù)器全部在一個(gè)子網(wǎng)或者廣播域中，所有的客戶(hù)在另外的子網(wǎng)或者廣播域中。在這種情況下，所有的請求都必須路由。如果維護行為限制在一個(gè)單獨的服務(wù)器群里，那么考慮把服務(wù)器放進(jìn)單獨的VLAN里。然后把使用這臺服務(wù)器的用戶(hù)放到同一個(gè)VLAN。這樣就可以使用2層交換的橋接方式來(lái)交換流量，只有很少的請求需要路由。如果服務(wù)器支撐多于一個(gè)用戶(hù)區，可以在服務(wù)器上多裝一塊網(wǎng)卡來(lái)實(shí)現到用戶(hù)的2層交換連接。

對交換機進(jìn)行故障診斷的5種技術(shù)

可以采取5種基本方式來(lái)透視交換機。每一種方法都不同，都有積極或者消極的一面。類(lèi)似在網(wǎng)絡(luò )中遇到的其他問(wèn)題一樣，沒(méi)有一個(gè)最好的答案。最合適的方案往往取決于您手中可以利用到的資源（什么工具可以使用或者以前安裝過(guò)什么工具），而且使用這些技術(shù)有可能造成服務(wù)中斷。

即使把這些方式組合起來(lái)，也不能監測到所連接的網(wǎng)絡(luò )，在交換的環(huán)境里面，也不像集線(xiàn)器那樣方便監測。我們幾乎不可能看到通過(guò)一個(gè)交換機的全部流量。大多數的故障診斷會(huì )假設流量會(huì )在站點(diǎn)和所連接的服務(wù)器之間或經(jīng)過(guò)故障診斷交換機uplink口通過(guò)。而實(shí)際上如果2臺主機直接傳輸信息的話(huà)，就不會(huì )使用交換機的uplink口或者任何其他的端口來(lái)交換流量。除非你知道具體用到哪個(gè)端口，否則是監測不到的。

舉個(gè)例子，如圖1，一臺服務(wù)器接入一臺交換機。在反映有問(wèn)題的用戶(hù)中，一部分是直接與這臺交換機相連，另外的一部分用戶(hù)是由這臺交換機的uplink口從其他路由器或者交換機連接上來(lái)的。故障報告是訪(fǎng)問(wèn)服務(wù)器“慢”，這樣的故障報告對技術(shù)支持工程師來(lái)說(shuō)基本上沒(méi)有任何價(jià)值。

方法1：通過(guò)TELNET或者串行口接入服務(wù)器

高級的網(wǎng)絡(luò )技術(shù)支持工程師或其他知道交換機密碼的人在進(jìn)行故障診斷時(shí)可以選擇通過(guò)TELENET或者交換機的串口登陸，來(lái)檢查交換機的配置.

交換機配置可以通過(guò)上面提到的2種方法查看，雖然問(wèn)題不一定是配置引起的。不管問(wèn)題是操作系統有BUG還是配置不完善，都不能從配置列表中輕易的查看出。配置信息在定位交換機是否像預期的那樣運行上比較有用，但針對故障診斷就不是了。為了驗證交換機的配置，往往需要使用多種的交換機故障診斷方法配合。 
很多交換機都帶有實(shí)時(shí)的故障診斷工具，因為交換機生產(chǎn)廠(chǎng)家和型號的不同，這些故障解決工具的特征也各不相同。但是要使用好這些工具，必須依靠一定的理論知識和實(shí)際經(jīng)驗。

方法2：連接到一個(gè)空閑端口

最簡(jiǎn)單的故障診斷方法是在交換機的空閑端口接入一個(gè)監測工具，例如協(xié)議分析儀。

把監測工具接入交換機的一個(gè)空閑端口，不用中斷服務(wù)就可以查看所屬廣播域。該監測工具與廣播域里的其他站點(diǎn)一樣有相同的權限。

不幸的是，交換機（做為一個(gè)多端口的橋接設備）幾乎不轉發(fā)流量到監測端口。因為橋接設備就是這樣設計的，流量直轉發(fā)到所屬的目的端口，不會(huì )去其他的端口。協(xié)議分析儀因此幾乎監測不到流量。

交換機在源端口和目的端口之間轉發(fā)流量。非常少的流量會(huì )轉到其他端口。站點(diǎn)和服務(wù)器之間可能每秒鐘會(huì )轉發(fā)幾千個(gè)幀，但是監測端口每分鐘只能看到幾個(gè)幀。
轉發(fā)到監測端口的流量幾乎全部都是廣播，包含一些零星的目的地址不明的幀。這些零星的幀是由于路由轉發(fā)表老化的結果，經(jīng)常是目的端口不明的幀。一些經(jīng)驗不夠的技術(shù)人員看到這么高的廣播（接近100％），卻沒(méi)有注意到端口利用率很低，就誤判網(wǎng)絡(luò )出現了廣播風(fēng)暴，其實(shí)不是。

這樣查看交換網(wǎng)絡(luò )幾乎沒(méi)有用，因為監測工具必須獲取流量。獲得的流量或者對廣播域的查詢(xún)對網(wǎng)絡(luò )搜索和發(fā)現其他類(lèi)型問(wèn)題是有很有幫助的，但對解決用戶(hù)連接慢的問(wèn)題并沒(méi)有多大的幫助。

對大多數交換機來(lái)說(shuō)，都有一個(gè)更好的選擇，可以把需要監測的端口流量備份到一個(gè)專(zhuān)門(mén)的空閑口。這種技術(shù)通常稱(chēng)為端口鏡像。

大多數交換機廠(chǎng)家都提供備份或鏡像流量的功能，可以把監測工具接入交換機一個(gè)專(zhuān)門(mén)配置過(guò)的端口。老的交換機必須指定一個(gè)專(zhuān)門(mén)的監測口做為鏡像口，但現在大多數新的交換機可以指定任何一個(gè)端口做為鏡像口

雖然交換機廠(chǎng)家實(shí)現鏡像的方式各不相同，但是有一些基本相同的監測選項。值得注意的是，幾乎在所有的情況下，交換機在轉發(fā)流量到鏡像口的時(shí)候，同時(shí)把錯誤都過(guò)濾掉了。對于故障診斷來(lái)說(shuō)，這意味著(zhù)同時(shí)過(guò)濾掉了有用的信息。

此外，實(shí)際操作當中需要我們通過(guò)控制口（交換機的RS232端口），或者Telnet進(jìn)程來(lái)配置鏡像。這意味著(zhù)除了監測工具之外，我們通常還需要帶一臺電腦或者終端來(lái)對交換機進(jìn)行配置。

鏡像端口經(jīng)常只是一個(gè)“監聽(tīng)”端口，不過(guò)很多交換機廠(chǎng)家允許把該端口配置成全雙工的。配置了鏡像口，監測工具就可以查看報告連接慢的主機和服務(wù)器之間的實(shí)際流量的備份。鏡像口可以只監測交換機的任意一個(gè)端口，甚至可以是Uplink口，也可以同時(shí)監測交換機的多個(gè)端口。但是同時(shí)監測的端口很多的話(huà)，過(guò)高的流量就有可能會(huì )超過(guò)鏡像口的接收能力。

監測端口的輸出能力是一個(gè)很重要的問(wèn)題。鏡像口可以收，也可以發(fā)。在配置的時(shí)候，經(jīng)常關(guān)掉了鏡像口發(fā)的功能。但不管有沒(méi)有關(guān)掉鏡像口發(fā)的功能（不管鏡像口是全雙工或者不是），鏡像口的接收能力都是有限制的。如果被監測的全雙工端口的速率和鏡像口是一樣的話(huà)，交換機在轉發(fā)流量的時(shí)候很容易就會(huì )丟包，但是交換機不會(huì )通知您。

假設您在監測一個(gè)以100M全雙工速率連接到交換機的服務(wù)器的話(huà)，那么服務(wù)器在全雙工工作的時(shí)候，服務(wù)器的收發(fā)速率都是100M，那么總共就有了200M。然而交換機的100M鏡像口最多只能接收100M的流量。所以任何交換機的端口（全雙工的）利用率超過(guò)50％的時(shí)候，鏡像口接收到的包就會(huì )有丟失。

如果把多個(gè)端口鏡像到一個(gè)端口，丟包的問(wèn)題就會(huì )更加的嚴重。因為大多數交換機都工作在低容量，這個(gè)問(wèn)題并不會(huì )被立刻注意到。大多數用戶(hù)連接的平均利用率都很低。只是偶爾會(huì )有流量的突發(fā)。

如果選擇一個(gè)高速的鏡像口，就可以減少丟包的問(wèn)題。例如把圖6中的100M鏡像口換成1000M，那么就可以很容易的接收200M的監測流量。