华为交换机端口镜像配置举例

华为交换机做镜像端口和删除的方法是什么交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

华为交换机有端口镜像功能，想要配置端口镜像或者删除端口镜像，该怎么实现呢》下面我们就来看看详细的教程，很简单，需要的朋友可以参考下下面我们就来看看详细的教程。

1、配置端口对端口镜像。

将镜像端口GE0/0/2入方向的报文(即接收到的报文)复制到观察端口GE0/0/1上，GE0/0/1与监控设备直连。

2、一个端口对应多个镜像口。

将镜像端口GE0/0/4入方向的报文(即接收到的报文)复制到观察端口GE0/0/1～GE0/0/3上，GE0/0/1～GE0/0/3与监控设备直连。

3、对于一个端口对应多个镜像端口我们也可以这样配置，不过需要版本支持。

4、多个镜像端口对应一个端口。

将镜像端口GE0/0/1～GE0/0/3入方向的报文(即接收到的报文)复制到观察端口GE0/0/10上，GE0/0/10与监控设备直连。

5、删除端口镜像。

在镜像端口下执行命令undo port-mirroring，删除观察端口与镜像端口的绑定关系，恢复镜像端口为普通端口。

6、在系统视图下执行命令undo observe-port，删除观察端口。

相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层广播，即冲突域;但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。

华为交换机如何配置端口镜像
摘要:
配置任何一种镜像功能，都需要先将物理端口配置成观察端口。

配置观察端口分单个配置和批量配置两种方式。

批量配置的观察端口相当于加入了一个观察端口组，在配置镜像端口时，镜像端口会绑定整个观察端口组。

因此批量配置一般在1：N镜像时使用，主要是为了配置方便。

配置单个观察端口
1、本地观察端口，即观察端口与监控设备直连
2、二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文
3、三层远程观察端口，即观察端口通过三层网络向监控设备转发镜像报文（仅S7700/S9700/S12700支持）
4、配置批量观察端口（V200R005及后续版本支持）
4.1本地观察端口，即观察端口与监控设备直连
4.2二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文
4.3三层远程观察端口不支持批量配置。

把G6/0/0的数据镜像到G1/1/0端口双方向interface G1/1/0port-observing observe-index 1slot 6mirror to observe-index 1interface G6/0/0port-mirroring inboundport-mirroring outbound配置本地端口镜像示例组网需求研发部和市场部通过接口 GE1/0/1、GE1/0/2接入S9300。

一台数据检测设备Server接在S9300 的接口 GE1/0/3上。

要求借助本地端口镜像功能来实现Server对研发部和市场部收发报文的监控。

绢网如图1所示。

图1本地端口镜像配置组网图配置采用如下的思路配置本地端口镜像功能：1.将接口 GE1/0/3配置为观察接口。

2.在接口 GE1/0/1和GE1/0/2配置为镜像接口。

数据准备为完成此配置例，需准备如下的数据:•观察接口的接口类型和编号。

•镜像接口的接口类型和编号。

•观察接口的索引号为1操作步骤1.配置各接口，使各主机间路由可达。

#创建 VLAN1、2、3，并将接口 GE1/0/1、GE1/0/2、GE1/0/3 分别加入 VLAN 1、2、3。

2.配置本地观察接口#在S9300上配置端口 GE1/0/3为本地观察接口。

3.配置本地镜像接口#在S9300上配置GE1/0/1为本地镜像接口，以监控财经部收发的报文。

#在S9300上配置GE1/0/2为本地镜像接口，以监控采购部收发的报文。

4.#查看镜像接口的配置情况。

#查看接口 GE1/0/1、GE1/0/2和GE1/0/3的报文计数，可以看到接口 GE1/0/3的报文计数为接口 GE1/0/1与接口 GE1/0/2的报文计数之和，或者通过Server可以看到接口 GE1/0/1和GE1/0/2收发的所有报文，说明接口 GE1/0/1和GE1/0/2上的报文已经被S9300镜像过来。

HUAWEI&CISCO交换机端口镜像配置案例文中介绍了HUAWEI Quidway 3026、Quidway 3526、Catalyst 2900XL、Catalyst 4000系列(IOS*作系统)端口镜像配置方法。

1. Quidway 3026端口镜像配置方法：以下例子中，镜像端口为e0/18，被镜像端口为e0/3，输入如下命令配置镜像：λ配置镜像端口：Quidway(config)#monitor-port e 0/18（e0/18作为镜像端口）λ配置被镜像端口：Quidway(config)#monitor e 0/3（e0/3 为被镜像端口）λ上述两条命令与以下一条命令等效：Quidway(config)#monitor e 0/3 observing-port e0/18λ查看镜像端口信息：Quidway#show monitor（察看镜像端口信息）Information about monitor port(s)The observing port : Ethernet0/18The monitored ports: Ethernet0/3以上端口镜像配置方法适用于Quidway2008/2016/3026/2403H交换机。

2. Quidway 3526端口镜像配置方法：3526交换机提供基于流规则的镜像，配置方法与Quidway3026不同。

以下例子中，镜像端口e0/24，被镜像端口e0/1：λ首先定义用来监控的端口：Quidway(config)#monitor-port Ethernet 0/24，定义用0/24口做为监控端口；λ定义流分类规则：因为3526交换机提供基于流规则的镜像，因此要定义流分类规则（若要监控Ethernet0/1的双向业务流则需配置下面两条流分类命令，若只需监控单方向的业务流选择其中之一即可）：将从Ethernet0/1输出的业务流镜像到监控端口：Quidway(config)#rule-map l2 rule1 ingress Ethernet0/1 egress any，其中rule1是自定义的rule名字，any是定义对端口Ethernet0/1的所有出业务流进行监控；将从Ethernet0/1输入的业务流镜像到监控端口：Quidway(config)#rule-map l2 rule2 ingress any egressEthernet 0/1，其中any是定义对端口Ethernet0/1的所有入业务流进行监控。

1、华为交换机端口镜像设置<HUAWEI> system-view[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 （配置观察端口）[HUAWEI] interface gigabitethernet 2/0/1[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound （配置镜像端口）2、华为交换机ACL控制列表和包过滤设置ACL控制列表种类：、标准访问控制列表：只能使用源地址描述数据，表明是允许还是拒绝命令格式：acl XXXrule permit/deny source source_addresssource_wildcard/anyeg:acl 1199rule permit source 192.168.1.0 0.0.0.255(允许源地址为192.168.1.0网段的数据包通过)、扩展访问控制列表：在标准控制列表的基础上添加基于协议和端口号的控制3、流策略（Traffic Policy）用于QoS复杂流分类，实现丰富的QoS策略。

Traffic Policy分为三部分：、流分类（Classifier）模板：定义流量类型。

一个Classifier可以配置一条或多条if-match语句，if-match语句中可以引用ACL规则。

不同的Classifier模板可以应用相同的ACL规则。

一个ACL规则可以配置一个或多个Rule语句。

、流动作（Behavior）模板：指，用于定义针对该类流量可实施的流动作。

一个Behavior可以定义一个或多个动作。

、流策略（Traffic Policy）模板：将流分类Classifier和流动作Behavior关联，成为一个Classifier & Behavior对。

当Traffic Policy模板设置完毕之后，需要将Traffic Policy模板应用到接口上才能使策略生效。

常见镜像操作为了方便对一个或多个网络接口的流量进行分析（如IDS产品、网络分析仪等），可以通过配置交换机或路由器来把一个或多个端口（VLAN）的数据转发到某一个端口，即端口镜像，来实现对网络的监听。

端口镜像功能是对网络流量监控的一个有效的安全手段，对监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。

一、配置观察端口配置任何一种镜像功能，都需要先配置观察端口，可单一配置，可批量配置。

配置单个观察端口：本地观察端口，及观察端口与监控设备直连<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 vlan 10批量配置观察端口本地观察端口，及观察端口与监控设备直连<HUAWEI>system-viewgigabitethernet 1/0/3二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface-range gigabitethernet 1/0/1 to gigabitethernet 1/0/3 vlan 10二、配置镜像端口1、1端口镜像将一个镜像端口的报文复制到一个观察端口上。

例如：将镜像端口g2/0/1入方向的报文复制到观察端口g1/0/1上，g1/0/1与监控设备直连。

<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 [HUAWEI]interface gigabitethernet 2/0/1[HUAWEI-GigabitEthernet2/0/1]port-mirroring to observer-port 1 inbound2、N端口镜像将一个镜像端口的报文复制到N个不同的观察端口上。

华为交换机-端口镜像命令(20)2009-02-08 01:10:48| 分类：路由相关|字号订阅Quidway S3500-EA系列以太网交换机命令手册端口镜像目录目录第1章端口镜像配置命令.......................................................................................................1-1 1.1 端口镜像配置命令.............................................................................................................. 1-1 1.1.1 display mirroring-group ........................................................................................... 1-11.1.2 mirroring-group........................................................................................................ 1-21.1.3 mirroring-group mirroring-port ................................................................................. 1-31.1.4 mirroring-group monitor-port ................................................................................... 1-41.1.5 mirroring-group reflector-port .................................................................................. 1-51.1.6 mirroring-group remote-probe vlan ......................................................................... 1-61.1.7 mirroring-port........................................................................................................... 1-71.1.8 monitor-port ............................................................................................................. 1-8Quidway S3500-EA系列以太网交换机命令手册端口镜像第1章端口镜像配置命令第1章端口镜像配置命令1.1 端口镜像配置命令1.1.1 display mirroring-group【命令】display mirroring-group { group-id | local | remote-source |remote-destination | all }【视图】任意视图【参数】group-id：端口镜像组的组号，取值范围为1～2。