在很多output drop的case中，TAC工程師會跟客戶解釋說是由于突發(fā)流量burst traffic導(dǎo)致了output drop。 如何鑒定一個出向接口的流量是否有burst呢?

　　背景：

　　Burst traffic能導(dǎo)致output drop，甚至是在我們看到show interface中output rate明顯低于接口最大的capacity的時候也會導(dǎo)致output drop。交換機默認(rèn)output rate是五分鐘的平均值，最小可以人工調(diào)節(jié)為30秒，但是這并不能準(zhǔn)確的看出在極小的時間段內(nèi)(例如幾毫秒)流量的突發(fā)。我們可以span出向接口的流量并借助wireshark來分析是否有burst。

　　TS方法：

　　1， 找到output drop的counter一直在增長的接口。 例如下面的例子，一個百兆的口五分鐘平均流量是55Mb：

　　Switch#show int fa1/1 | i duplex|output drops|rate

　　Full−duplex, 100Mb/s, media type is 10/100BaseTX

　　Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 5756 《=====增長

　　5 minute input rate 55343353 bits/sec, 9677 packets/sec

　　5 minute output rate 55456293 bits/sec, 9878 packets/sec

　　2， 在交換機上配置span，來抓取該接口的出向流量， 連一臺運行wireshark的電腦在另外一個端口上面，將故障端口的出向流量span到接電腦的端口：

　　Switch#config t

　　Switch(conf)#monitor session 1 source interface fa1/1 tx

　　Switch(conf)#monitor session 1 destination interface fa1/2

　　3， span抓好包以后，用wireshark打開，在菜單中選擇statistics里的IO graph：

　　4， 在默認(rèn)出現(xiàn)的圖中我們可能看到的是非常平穩(wěn)的一條線，看起來流量很穩(wěn)定。但是，一秒鐘對于一個高速收發(fā)數(shù)據(jù)包的接口來說是非常大的一個時間段。在一秒鐘之內(nèi)，如果流量絕對的平穩(wěn)，并且不需要任何的buffer來存儲突發(fā)流量，一個100Mb/s的link可以穿過100M的流量。

　　然而，如果大部分的流量試圖從這個端口在極小于一秒鐘的時間內(nèi)從這個端口出去的話，交換機就需要很大的buffer去存儲，如果buffer滿了的話就會被丟棄，產(chǎn)生output drop。如果你繼續(xù)調(diào)整一下左表的刻度，將會看到另外一種完全不一樣的情況。

　　因為show interface中的輸出是bit/sec，我們吧Y軸坐標(biāo)調(diào)整為bit/tick

　　Link speed is 100 Mb/s

　　= 100,000,000 bits/s

　　= 100,000 bits/0.001 s

　　將X軸的的每個tick的間隔改為0.001sec：X Axis=0.001 sec ;繼續(xù)把Y軸的scale改為Y axis=100,000 (bits/tick).

　　5， 繼續(xù)拖動表格當(dāng)中的滾動條，我們可以看到，在這個例子中，有一個burst流量在0.001秒之內(nèi)的速率超出了100000bits， 這樣就證明了看似平穩(wěn)的流量其實在很小的一個時間間隙內(nèi)有突發(fā)并且用來存放突發(fā)流量的buffer被沾滿，從而產(chǎn)生了output drop。

　　6， 鼠標(biāo)點擊突發(fā)流量的頂點，我們可以看到此刻抓的包是什么包。

　　Span 抓包用wireshark分析的方法是分析突發(fā)流量導(dǎo)致output drop的一個非常有效的方法。