在很多output drop的case中，TAC工程師會跟客戶解釋說是由于突發流量burst traffic導致了output drop。 如何鑒定一個出向接口的流量是否有burst呢?

　　背景：

　　Burst traffic能導致output drop，甚至是在我們看到show interface中output rate明顯低于接口最大的capacity的時候也會導致output drop。交換機默認output rate是五分鐘的平均值，最小可以人工調節為30秒，但是這并不能準確的看出在極小的時間段內(例如幾毫秒)流量的突發。我們可以span出向接口的流量并借助wireshark來分析是否有burst。

　　TS方法：

　　1， 找到output drop的counter一直在增長的接口。 例如下面的例子，一個百兆的口五分鐘平均流量是55Mb：

　　Switch#show int fa1/1 | i duplex|output drops|rate

　　Full−duplex, 100Mb/s, media type is 10/100BaseTX

　　Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 5756 《=====增長

　　5 minute input rate 55343353 bits/sec, 9677 packets/sec

　　5 minute output rate 55456293 bits/sec, 9878 packets/sec

　　2， 在交換機上配置span，來抓取該接口的出向流量， 連一臺運行wireshark的電腦在另外一個端口上面，將故障端口的出向流量span到接電腦的端口：

　　Switch#config t

　　Switch(conf)#monitor session 1 source interface fa1/1 tx

　　Switch(conf)#monitor session 1 destination interface fa1/2

　　3， span抓好包以后，用wireshark打開，在菜單中選擇statistics里的IO graph：

　　4， 在默認出現的圖中我們可能看到的是非常平穩的一條線，看起來流量很穩定。但是，一秒鐘對于一個高速收發數據包的接口來說是非常大的一個時間段。在一秒鐘之內，如果流量絕對的平穩，并且不需要任何的buffer來存儲突發流量，一個100Mb/s的link可以穿過100M的流量。

　　然而，如果大部分的流量試圖從這個端口在極小于一秒鐘的時間內從這個端口出去的話，交換機就需要很大的buffer去存儲，如果buffer滿了的話就會被丟棄，產生output drop。如果你繼續調整一下左表的刻度，將會看到另外一種完全不一樣的情況。

　　因為show interface中的輸出是bit/sec，我們吧Y軸坐標調整為bit/tick

　　Link speed is 100 Mb/s

　　= 100,000,000 bits/s

　　= 100,000 bits/0.001 s

　　將X軸的的每個tick的間隔改為0.001sec：X Axis=0.001 sec ;繼續把Y軸的scale改為Y axis=100,000 (bits/tick).

　　5， 繼續拖動表格當中的滾動條，我們可以看到，在這個例子中，有一個burst流量在0.001秒之內的速率超出了100000bits， 這樣就證明了看似平穩的流量其實在很小的一個時間間隙內有突發并且用來存放突發流量的buffer被沾滿，從而產生了output drop。

　　6， 鼠標點擊突發流量的頂點，我們可以看到此刻抓的包是什么包。

　　Span 抓包用wireshark分析的方法是分析突發流量導致output drop的一個非常有效的方法。