华为NE40E端口镜像

华为交换机做镜像端口和删除的方法是什么交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

华为交换机有端口镜像功能，想要配置端口镜像或者删除端口镜像，该怎么实现呢》下面我们就来看看详细的教程，很简单，需要的朋友可以参考下下面我们就来看看详细的教程。

1、配置端口对端口镜像。

将镜像端口GE0/0/2入方向的报文(即接收到的报文)复制到观察端口GE0/0/1上，GE0/0/1与监控设备直连。

2、一个端口对应多个镜像口。

将镜像端口GE0/0/4入方向的报文(即接收到的报文)复制到观察端口GE0/0/1～GE0/0/3上，GE0/0/1～GE0/0/3与监控设备直连。

3、对于一个端口对应多个镜像端口我们也可以这样配置，不过需要版本支持。

4、多个镜像端口对应一个端口。

将镜像端口GE0/0/1～GE0/0/3入方向的报文(即接收到的报文)复制到观察端口GE0/0/10上，GE0/0/10与监控设备直连。

5、删除端口镜像。

在镜像端口下执行命令undo port-mirroring，删除观察端口与镜像端口的绑定关系，恢复镜像端口为普通端口。

6、在系统视图下执行命令undo observe-port，删除观察端口。

相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层广播，即冲突域;但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。

把G6/0/0的数据镜像到G1/1/0端口双方向interface G1/1/0port-observing observe-index 1slot 6mirror to observe-index 1interface G6/0/0port-mirroring inboundport-mirroring outbound配置本地端口镜像示例组网需求研发部和市场部通过接口GE1/0/1、GE1/0/2接入S9300。

一台数据检测设备Server接在S9300的接口GE1/0/3上。

要求借助本地端口镜像功能来实现Server对研发部和市场部收发报文的监控。

组网如图1所示。

图1 本地端口镜像配置组网图配置采用如下的思路配置本地端口镜像功能：1.将接口GE1/0/3配置为观察接口。

2.在接口GE1/0/1和GE1/0/2配置为镜像接口。

数据准备为完成此配置例，需准备如下的数据：∙观察接口的接口类型和编号。

∙镜像接口的接口类型和编号。

∙观察接口的索引号为1操作步骤1.配置各接口，使各主机间路由可达。

# 创建VLAN1、2、3，并将接口GE1/0/1、GE1/0/2、GE1/0/3分别加入VLAN 1、2、3。

<Quidway> system-view[Quidway] sysname S9300[S9300] vlan batch 1 to 3[S9300] interface GigabitEthernet 1/0/1[S9300-GigabitEthernet1/0/1] port link-type trunk[S9300-GigabitEthernet1/0/1] port trunk pvid vlan 1[S9300-GigabitEthernet1/0/1] port trunk allow-pass vlan 1[S9300-GigabitEthernet1/0/1] quit[S9300] interface GigabitEthernet 1/0/2[S9300-GigabitEthernet1/0/2] port link-type trunk[S9300-GigabitEthernet1/0/1] port trunk pvid vlan 2[S9300-GigabitEthernet1/0/1] port trunk allow-pass vlan 2[S9300-GigabitEthernet1/0/2] quit[S9300] interface GigabitEthernet 1/0/3[S9300-GigabitEthernet1/0/3] port link-type trunk[S9300-GigabitEthernet1/0/3] port trunk allow-pass vlan 1 2 3[S9300-GigabitEthernet1/0/3] quit[S9300] interface vlanif 3[S9300-Vlanif3] ip address 192.168.1.1 24[S9300-Vlanif3] quit2.配置本地观察接口# 在S9300上配置端口GE1/0/3为本地观察接口。

把G6/0/0的数据镜像到G1/1/0端口双方向interface G1/1/0port-observing observe-index 1slot 6mirror to observe-index 1interface G6/0/0port-mirroring inboundport-mirroring outbound配置本地端口镜像示例组网需求研发部和市场部通过接口 GE1/0/1、GE1/0/2接入S9300。

一台数据检测设备Server接在S9300 的接口 GE1/0/3上。

要求借助本地端口镜像功能来实现Server对研发部和市场部收发报文的监控。

绢网如图1所示。

图1本地端口镜像配置组网图配置采用如下的思路配置本地端口镜像功能：1.将接口 GE1/0/3配置为观察接口。

2.在接口 GE1/0/1和GE1/0/2配置为镜像接口。

数据准备为完成此配置例，需准备如下的数据:•观察接口的接口类型和编号。

•镜像接口的接口类型和编号。

•观察接口的索引号为1操作步骤1.配置各接口，使各主机间路由可达。

#创建 VLAN1、2、3，并将接口 GE1/0/1、GE1/0/2、GE1/0/3 分别加入 VLAN 1、2、3。

2.配置本地观察接口#在S9300上配置端口 GE1/0/3为本地观察接口。

3.配置本地镜像接口#在S9300上配置GE1/0/1为本地镜像接口，以监控财经部收发的报文。

#在S9300上配置GE1/0/2为本地镜像接口，以监控采购部收发的报文。

4.#查看镜像接口的配置情况。

#查看接口 GE1/0/1、GE1/0/2和GE1/0/3的报文计数，可以看到接口 GE1/0/3的报文计数为接口 GE1/0/1与接口 GE1/0/2的报文计数之和，或者通过Server可以看到接口 GE1/0/1和GE1/0/2收发的所有报文，说明接口 GE1/0/1和GE1/0/2上的报文已经被S9300镜像过来。

Quidway NetEngine40E通用交换路由器操作手册 IP路由分册VRP5.30-31Quidway NetEngine40E通用交换路由器操作手册分册： IP路由分册资料版本： 03 (2006-09-12)产品版本： VRP5.30-31BOM 编码： 31161951华为技术有限公司为客户提供全方位的技术支持。

通过华为技术有限公司代理商购买产品的用户，请直接与销售代理商联系。

直接向华为技术有限公司购买产品的用户，可与就近的华为办事处或用户服务中心联系，也可直接与公司总部联系。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：声明版权所有 © 华为技术有限公司 2006。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

前言版本说明本手册对应的产品版本为Quidway NetEngine40E通用交换路由器VRP5.30-31。

相关手册Quidway NetEngine40E通用交换路由器主要手册及用途如下：手册名称用途《Quidway NetEngine40E通用交换路由器安装手册》介绍NE40E路由器的安装，包括机柜和设备的安装、线缆的安装与布放、设备的启动与配置介绍，硬件维护及标签制作规范、接地规范等内容。

《Quidway NetEngine40E通用交换路由器设备手册》 介绍NE40E设备，包括：设备简介、电源模块、散热系统、液晶显示模块、单板和设备线缆和一些附录。

《Quidway NetEngine40E通用交换路由器操作手册系统分册》介绍系统管理和可靠性的配置，包括搭建配置环境、基本配置、用户登录、文件管理、系统维护、NTP、SNMP、HWPing、RMON和RMON2、BFD、VRRP和HA，并提供缩略语。

华为交换机端口镜像配置华为交换机端口镜像配置S3000的操作手册上有，如果没有手册的朋友，请看下面#配置镜像端口monitor-port { interface_type interface_num | interface_name }#配置被镜像端口port mirror { interface_type interface_ num | interface_name } [ to { inter face_type interface_ num | interface_name } ] #你也可以用下面命令，同上面两条的功能port mirror interface_list1 observing-port { interface_type interface_ num | interface_name }如果看不懂，请看下面的3.1.1 display mirror【命令】display mirror【视图】所有视图【参数】无【描述】display mirror命令用来显示镜像端口内容。

相关配置可参考命令monitor-port，port mirror。

【举例】# 显示镜像端口内容。

[Quidway] display mirrorInformation about monitor port(s)The observing port : Ethernet0/1The monitored ports:Ethernet0/2 Ethernet0/3 Ethernet0/4 Ethernet0/5 Ethernet0/6表3-1 端口镜像显示信息描述表域名描述The observing port 镜像端口The monitored ports 被镜像端口列表3.1.2 monitor-port【命令】monitor-port { interface_type interface_num | interface_name }undo monitor-port { interface_type interface_num | interface_name }【视图】系统视图【参数】interface_name：指定镜像端口名，表示方式为interface_name= interface_type interfac e_num。

常见镜像操作为了方便对一个或多个网络接口的流量进行分析（如IDS产品、网络分析仪等），可以通过配置交换机或路由器来把一个或多个端口（VLAN）的数据转发到某一个端口，即端口镜像，来实现对网络的监听。

端口镜像功能是对网络流量监控的一个有效的安全手段，对监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。

一、配置观察端口配置任何一种镜像功能，都需要先配置观察端口，可单一配置，可批量配置。

配置单个观察端口：本地观察端口，及观察端口与监控设备直连<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 vlan 10批量配置观察端口本地观察端口，及观察端口与监控设备直连<HUAWEI>system-viewgigabitethernet 1/0/3二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface-range gigabitethernet 1/0/1 to gigabitethernet 1/0/3 vlan 10二、配置镜像端口1、1端口镜像将一个镜像端口的报文复制到一个观察端口上。

例如：将镜像端口g2/0/1入方向的报文复制到观察端口g1/0/1上，g1/0/1与监控设备直连。

<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 [HUAWEI]interface gigabitethernet 2/0/1[HUAWEI-GigabitEthernet2/0/1]port-mirroring to observer-port 1 inbound2、N端口镜像将一个镜像端口的报文复制到N个不同的观察端口上。

如何设置路由器端口镜像路由器端口镜像是一种用于网络故障排查和安全监控的重要工具，它可以复制路由器上特定端口的流量，将其转发到另一个端口进行实时监测和分析。

本文将介绍如何设置路由器端口镜像并使用相关工具进行流量分析。

一、什么是路由器端口镜像路由器端口镜像是一种网络流量监测技术，通过将特定端口的流量复制到镜像端口，可以实时监控和分析该端口的通信情况。

例如，在一个企业网络中，管理员可以设置路由器端口镜像，将重要服务器的流量镜像到监控服务器上，以便及时检测并防御网络攻击。

二、路由器端口镜像的设置步骤1. 登录路由器管理界面首先，我们需要通过浏览器登录路由器的管理界面。

通常，在浏览器中输入路由器的IP地址，然后输入登录凭证（如用户名和密码）进行验证即可。

2. 导航至端口镜像设置不同品牌的路由器管理界面可能有所差异，但一般都会提供一个“设置”或“配置”菜单。

在菜单中，找到与端口镜像相关的选项或子菜单。

3. 选择需要镜像的端口在端口镜像设置界面中，选择需要复制流量的源端口。

这通常是与要监控的设备相关联的端口。

4. 设置镜像目标端口在同一界面中，选择一个未被使用的端口作为镜像目标端口。

该端口将接收从源端口复制的流量。

5. 启用端口镜像在设置好源端口和目标端口之后，启用端口镜像功能。

有些路由器可能会提供其他配置选项，如镜像模式（包括发端镜像和收端镜像）、镜像速率等。

6. 保存并应用设置在完成端口镜像的配置后，记得保存并应用设置，以确保配置生效。

路由器管理界面通常会提供相应的保存或应用按钮，点击即可完成。

三、路由器端口镜像的流量分析完成路由器端口镜像的配置后，我们可以利用相关工具进行流量监测和分析。

1. WiresharkWireshark 是一款开源的网络封包分析软件，可以捕获和分析通过网络接口传输的数据包。

我们可以使用 Wireshark 来监测镜像目标端口接收到的流量，了解其中的通信情况、协议使用和数据内容等。

关于本章本章描述内容如下表所示。

2.1 简介镜像是在不影响原有转发的情况下将网络中当前节点通过的报文复制一份到指定的观测端口。

用户可以根据需要定义被镜像的端口号，然后将报文分析设备与观测端口相连，进行流量观测。

根据复制报文满足的条件，镜像分为端口镜像和流镜像两种：●端口镜像：指将镜像端口接收或发送的报文完整地复制输出到指定的观测端口。

●流镜像：将镜像与流分类相结合，只复制满足特定条件的报文，为报文分析提供更精细的控制，为报文分析设备过滤不关心的报文，提高报文分析设备的工作效率。

根据复制报文的方向，镜像又可分为入（上行）镜像和出（下行）镜像两种：●上行镜像：指将镜像端口接收到的全部报文或满足特定流分类条件的报文完整地复制输出到指定的观测端口。

●下行镜像：指将镜像端口即将发送出的全部报文或满足特定流分类条件的报文完整地复制输出到指定的观测端口。

目前，NE40E既支持上行端口/流镜像又支持下行端口/流镜像。

镜像的典型组网环境如图2-1所示。

图2-1 镜像组网示意图在NE40E上配置镜像功能时，需要注意：●对帧不进行过滤或修改。

在输入侧，帧在去掉帧头之前被镜像；而在输出侧，帧在修改之后被镜像。

●观测端口不能再作为业务口使用。

●NE40E支持不同类型接口之间的镜像，即支持GE接口与POS接口之间的相互镜像。

但由于不同类型接口的报文封装格式不一致，因此在解析报文时会出现误差，从而导致出现观测端口的接口计数统计错误。

●在NE40E上配置下行镜像时，观测端口与镜像端口必须在同一接口板上，即不支持跨板镜像。

●NE40E只支持GE接口作为观测端口。

●在配置下行镜像时，如果报文的长度超过观测接口的MTU值，该报文不能被镜像；对于上行镜像，则没有该限制。

2.2 配置基于端口的流量镜像2.2.1 建立配置任务应用环境在网络运行过程中，要对网络设备的端口状况进行观测及分析，直接对每个端口进行操作，比较繁琐。

通过配置基于端口的流量镜像，可以方便灵活地实施观测。