【EVE-NG流量洞察】5、LACP

推荐阅读：

1、EVE-NG 2TB全网最新最全镜像下载地址（保持更新）：

https://www.emulatedlab.com/thread-939-1-1.html

2、EVE-NG 2025全网最新最全资源大全（保持更新）：

https://www.emulatedlab.com/thread-2262-1-1.html

3、EVE-NG 国代答疑频道（免费公开访问）：

https://pd.qq.com/s/8d1hglslz

1核心原理：LACP是“正规军”，不是“私生子”

首先，你得明白，LACP和我们之前讨论的CDP、VTP那些思科“私生子”不一样。LACP是一个IEEE标准 (802.3ad，后来是802.1AX)，它有自己堂堂正正的“身份证号”，也就是一个专属的EtherType。

这意味着过滤它，比过滤那些需要算字节偏移量的私有协议要简单得多。

LACP的识别特征有两个，你可以任选其一，或者组合使用：

1. EtherType (协议类型):0x8809
2. 目的MAC地址: 一个固定的慢协议组播MAC地址01:80:c2:00:00:02

1.1LACP常见抓包分析过滤语句

1.1.1终极结论

• 过滤LACP，最简单、最优雅的方式就是使用ether proto 0x8809。
• 使用目的MAC地址ether dst 01:80:c2:00:00:02也可以，但ether proto在语义上更精确。

2 纯BPF过滤表达式分析LACP常见网络故障

以下是使用纯BPF表达式分析LACP常见网络故障的完整指南：

2.1一、LACP帧结构参考（BPF偏移计算）

以太网头部（14字节）: 0-11: MAC地址 12-13: Ethertype (0x8809 = Slow Protocols) 慢协议头部（2字节）: 14: Subtype (0x01 = LACP) 15: Version (0x01) LACP PDU（110字节）: 16-17: Actor TLV Type (0x01) & Length (0x14=20) 18-19: Actor System Priority 20-25: Actor System MAC (6字节) 26-27: Actor Key ← 重要字段 28-29: Actor Port Priority 30-31: Actor Port Number 32: Actor State ← 重要字段 33-35: Reserved (3字节填充) 36-37: Partner TLV Type (0x02) & Length (0x14=20) 38-39: Partner System Priority 40-45: Partner System MAC (6字节) 46-47: Partner Key ← 重要字段 48-49: Partner Port Priority 50-51: Partner Port Number 52: Partner State ← 重要字段 53-... 其他TLV

2.2二、基础LACP捕获表达式

# 1. 捕获所有LACP帧 ether proto 0x8809 and ether[14] == 0x01 # 2. 更精确的LACP捕获 ether[12:2] == 0x8809 and ether[14] == 0x01 # 3. 捕获发送到慢协议组播地址的LACP ether dst 01:80:c2:00:00:02 and ether[14] == 0x01 # 4. 捕获特定源MAC的LACP帧 ether[6:6] = 00:11:22:33:44:55 and ether[14] == 0x01

2.3三、LACP状态位分析（关键故障点）

2.3.1Actor State (字节32) 位定义:

• Bit 0 (0x01): Active (1=Active, 0=Passive)
• Bit 1 (0x02): Timeout (1=Short, 0=Long)
• Bit 2 (0x04): Aggregation (1=Yes, 0=Individual)
• Bit 3 (0x08): Synchronization (1=In Sync)
• Bit 4 (0x10): Collecting (1=Enabled)
• Bit 5 (0x20): Distributing (1=Enabled)
• Bit 6 (0x40): Defaulted (1=Using Default Partner)
• Bit 7 (0x80): Expired (1=Expired)

2.3.2BPF状态检查表达式:

# 1. 检查是否为Active模式 ether[14] == 0x01 and (ether[32] & 0x01) == 0x01 # 2. 检查是否为Passive模式 ether[14] == 0x01 and (ether[32] & 0x01) == 0x00 # 3. 检查是否为短超时模式 ether[14] == 0x01 and (ether[32] & 0x02) == 0x02 # 4. 检查是否为长超时模式（默认） ether[14] == 0x01 and (ether[32] & 0x02) == 0x00 # 5. 检查聚合能力标志 ether[14] == 0x01 and (ether[32] & 0x04) == 0x04 # 6. 检查同步状态 ether[14] == 0x01 and (ether[32] & 0x08) == 0x08 # 7. 检查收集状态（数据接收） ether[14] == 0x01 and (ether[32] & 0x10) == 0x10 # 8. 检查分发状态（数据发送） ether[14] == 0x01 and (ether[32] & 0x20) == 0x20 # 9. 检查是否使用默认Partner ether[14] == 0x01 and (ether[32] & 0x40) == 0x40 # 10. 检查是否过期 ether[14] == 0x01 and (ether[32] & 0x80) == 0x80

2.4四、常见LACP故障分析表达式

2.4.1故障1: LACP协商失败（Key不匹配）

# Actor Key (26-27) 与 Partner Key (46-47) 不匹配 ether[14] == 0x01 and ether[26:2] != ether[46:2] # 捕获一端Key为0的情况（未配置） ether[14] == 0x01 and ether[26:2] == 0x0000 # 捕获Partner Key为0的情况（对端未响应） ether[14] == 0x01 and ether[46:2] == 0x0000

2.4.2故障2: 模式不匹配（Active/Passive不一致）

# 两端都是Passive模式（无法发起协商） ether[14] == 0x01 and (ether[32] & 0x01) == 0x00 and (ether[52] & 0x01) == 0x00 # 一端Active，另一端Passive（正常情况） ether[14] == 0x01 and (ether[32] & 0x01) != (ether[52] & 0x01)

2.4.3故障3: 超时模式不匹配

# 超时模式不一致 ether[14] == 0x01 and (ether[32] & 0x02) != (ether[52] & 0x02) # 捕获短超时模式 ether[14] == 0x01 and (ether[32] & 0x02) == 0x02

2.4.4故障4: 聚合状态异常

# 检查聚合标志未设置 ether[14] == 0x01 and ((ether[32] & 0x04) == 0x00 or (ether[52] & 0x04) == 0x00) # 检查同步状态未设置 ether[14] == 0x01 and ((ether[32] & 0x08) == 0x00 or (ether[52] & 0x08) == 0x00)

2.4.5故障5: 数据平面未就绪

# 收集或分发状态未启用 ether[14] == 0x01 and ( (ether[32] & 0x10) == 0x00 or # Collecting disabled (ether[32] & 0x20) == 0x00 or # Distributing disabled (ether[52] & 0x10) == 0x00 or # Partner Collecting disabled (ether[52] & 0x20) == 0x00 # Partner Distributing disabled )

2.4.6故障6: 系统ID冲突

# Actor和Partner System MAC相同（配置错误） ether[14] == 0x01 and ether[20:6] == ether[40:6] # System Priority不匹配 ether[14] == 0x01 and ether[18:2] != ether[38:2]

2.5五、端口级故障诊断

2.5.1端口状态检查:

# 1. 检查无效端口号（0或超大值） ether[14] == 0x01 and (ether[30:2] == 0x0000 or ether[50:2] == 0x0000) # 2. 检查端口优先级 ether[14] == 0x01 and (ether[28:2] == 0x0000 or ether[48:2] == 0x0000) # 3. 端口号范围检查（通常1-65535） ether[14] == 0x01 and (ether[30:2] > 0xff00 or ether[50:2] > 0xff00)

2.5.2端口聚合状态监控:

# 监控端口聚合状态变化 ether[14] == 0x01 and ( # 状态从聚合变为非聚合 (ether[32] & 0x04) == 0x00 or # 端口被标记为过期 (ether[32] & 0x80) == 0x80 )

2.6六、定时器和超时分析

2.6.1LACP超时检测:

# 1. 检测快速超时模式（1秒） ether[14] == 0x01 and (ether[32] & 0x02) == 0x02 # 2. 监控超时变化（长<->短） # 需要比较连续报文，这需要更复杂的逻辑 # 3. 检测过期状态 ether[14] == 0x01 and (ether[32] & 0x80) == 0x80

2.6.2保活报文监控:

# 计算LACP报文间隔（需要在应用层处理） # 以下表达式捕获LACP帧用于进一步分析 ether[14] == 0x01 | tcpdump -ttt

2.7七、组合故障诊断表达式

2.7.1综合诊断过滤器:

# 捕获所有可能的LACP故障 ether[14] == 0x01 and ( # Key不匹配 ether[26:2] != ether[46:2] or # 聚合能力不一致 (ether[32] & 0x04) != (ether[52] & 0x04) or # 模式不一致（两端都是Passive） ((ether[32] & 0x01) == 0x00 and (ether[52] & 0x01) == 0x00) or # 超时模式不一致 (ether[32] & 0x02) != (ether[52] & 0x02) or # 数据平面未就绪 ((ether[32] & 0x30) != 0x30 or (ether[52] & 0x30) != 0x30) or # 使用默认Partner (ether[32] & 0x40) == 0x40 or (ether[52] & 0x40) == 0x40 )

2.7.2按严重性分级诊断:

# 严重故障（链路无法建立） ether[14] == 0x01 and ( ether[26:2] == 0x0000 or # Key未配置 ether[46:2] == 0x0000 or # Partner未响应 ((ether[32] & 0x04) == 0x00 and (ether[52] & 0x04) == 0x00) # 两端都不支持聚合 ) # 中等故障（链路不稳定） ether[14] == 0x01 and ( (ether[32] & 0x80) == 0x80 or # 过期 ((ether[32] & 0x30) != 0x30) # 数据平面未就绪 ) # 轻微故障（配置警告） ether[14] == 0x01 and ( (ether[32] & 0x02) == 0x02 or # 短超时（可能性能影响） ether[20:6] == ether[40:6] # 系统ID相同 )

2.8八、实时监控脚本（BPF基础）

2.8.1简单计数监控:

# 1. 监控LACP报文速率 tcpdump -i eth0 -c 100 "ether[14] == 0x01" -q 2>/dev/null | wc -l # 2. 监控异常状态比例 ABNORMAL=$(tcpdump -i eth0 -c 50 \ "ether[14] == 0x01 and (ether[32] & 0x04) == 0x00" -q 2>/dev/null | wc -l) TOTAL=$(tcpdump -i eth0 -c 50 "ether[14] == 0x01" -q 2>/dev/null | wc -l) echo "异常率: $((ABNORMAL * 100 / TOTAL))%"

2.8.2BPF捕获保存分析:

# 保存故障相关LACP报文 tcpdump -i any -w lacp_issues.pcap \ "ether[14] == 0x01 and ( ether[26:2] != ether[46:2] or (ether[32] & 0x04) == 0x00 or (ether[52] & 0x04) == 0x00 )"

2.9九、特定厂商兼容性检查

2.9.1Cisco标准检查:

# Cisco通常使用长超时模式 ether[14] == 0x01 and (ether[32] & 0x02) == 0x00 # Cisco LACP优先级检查（通常非零） ether[14] == 0x01 and ether[18:2] != 0x0000

2.9.2Linux bonding检查:

# Linux bonding通常使用Active模式 ether[14] == 0x01 and (ether[32] & 0x01) == 0x01 # 检查bonding driver特定标志（如果有） ether[14] == 0x01 and ether[20:3] == 00:00:00 # 可能使用空MAC部分

2.10十、实用故障排除命令

# 1. 快速LACP状态检查 sudo tcpdump -i eth0 -c 10 -XX "ether[14] == 0x01" | \ grep -E "8809|0101" --context=2 # 2. 检查特定Key的聚合组 KEY=1234 sudo tcpdump -i any -nn "ether[26:2] == 0x${KEY} and ether[14] == 0x01" -e # 3. 监控状态变化（连续捕获） sudo tcpdump -i eth0 -l "ether[14] == 0x01" | \ awk '{ # 提取关键字段（需要解析十六进制） print "LACP帧捕获: " $0 }' # 4. 检查LACP报文频率（正常应每30秒或1秒） sudo timeout 35 tcpdump -i eth0 -c 5 "ether[14] == 0x01"

2.11十一、BPF表达式优化技巧

# 1. 使用预编译过滤器提高性能 tcpdump -i eth0 -ddd "ether[14] == 0x01" > lacp_filter.bpf # 2. 组合条件优化（先检查常见条件） # 先检查以太网类型，再检查子类型 ether[12:2] == 0x8809 and ether[14] == 0x01 # 3. 使用位掩码一次性检查多个状态 # 检查Active + Aggregation + Collecting + Distributing ether[14] == 0x01 and (ether[32] & 0x35) == 0x35 # 4. 排除非LACP的慢协议 ether[12:2] == 0x8809 and ether[14] == 0x01 and not ether[14] == 0x02

2.12十二、常见故障场景与BPF表达式

2.13总结

纯BPF表达式虽然不能直接使用lacp.actor.key这样的高级语法，但通过精确的字节偏移计算，可以实现全面的LACP故障分析。关键点：

1. 记住关键偏移量：Actor Key(26-27), Partner Key(46-47), Actor State(32), Partner State(52)
2. 理解状态位掩码：0x01=Active,0x02=Timeout,0x04=Aggregation,0x08=Sync
3. 比较Actor/Partner字段：发现协商不一致问题
4. 监控状态变化：捕获异常状态标志

这些BPF表达式可直接用于tcpdump、libpcap程序或交换机镜像端口分析，是网络故障排除的强大工具。