端口镜像典型配置举例

华为交换机做镜像端口和删除的方法是什么交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

华为交换机有端口镜像功能，想要配置端口镜像或者删除端口镜像，该怎么实现呢》下面我们就来看看详细的教程，很简单，需要的朋友可以参考下下面我们就来看看详细的教程。

1、配置端口对端口镜像。

将镜像端口GE0/0/2入方向的报文(即接收到的报文)复制到观察端口GE0/0/1上，GE0/0/1与监控设备直连。

2、一个端口对应多个镜像口。

将镜像端口GE0/0/4入方向的报文(即接收到的报文)复制到观察端口GE0/0/1～GE0/0/3上，GE0/0/1～GE0/0/3与监控设备直连。

3、对于一个端口对应多个镜像端口我们也可以这样配置，不过需要版本支持。

4、多个镜像端口对应一个端口。

将镜像端口GE0/0/1～GE0/0/3入方向的报文(即接收到的报文)复制到观察端口GE0/0/10上，GE0/0/10与监控设备直连。

5、删除端口镜像。

在镜像端口下执行命令undo port-mirroring，删除观察端口与镜像端口的绑定关系，恢复镜像端口为普通端口。

6、在系统视图下执行命令undo observe-port，删除观察端口。

相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层广播，即冲突域;但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。

华为交换机如何配置端口镜像
摘要:
配置任何一种镜像功能，都需要先将物理端口配置成观察端口。

配置观察端口分单个配置和批量配置两种方式。

批量配置的观察端口相当于加入了一个观察端口组，在配置镜像端口时，镜像端口会绑定整个观察端口组。

因此批量配置一般在1：N镜像时使用，主要是为了配置方便。

配置单个观察端口
1、本地观察端口，即观察端口与监控设备直连
2、二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文
3、三层远程观察端口，即观察端口通过三层网络向监控设备转发镜像报文（仅S7700/S9700/S12700支持）
4、配置批量观察端口（V200R005及后续版本支持）
4.1本地观察端口，即观察端口与监控设备直连
4.2二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文
4.3三层远程观察端口不支持批量配置。

把G6/0/0的数据镜像到G1/1/0端口双方向interface G1/1/0port-observing observe-index 1slot 6mirror to observe-index 1interface G6/0/0port-mirroring inboundport-mirroring outbound配置本地端口镜像示例组网需求研发部和市场部通过接口 GE1/0/1、GE1/0/2接入S9300。

一台数据检测设备Server接在S9300 的接口 GE1/0/3上。

要求借助本地端口镜像功能来实现Server对研发部和市场部收发报文的监控。

绢网如图1所示。

图1本地端口镜像配置组网图配置采用如下的思路配置本地端口镜像功能：1.将接口 GE1/0/3配置为观察接口。

2.在接口 GE1/0/1和GE1/0/2配置为镜像接口。

数据准备为完成此配置例，需准备如下的数据:•观察接口的接口类型和编号。

•镜像接口的接口类型和编号。

•观察接口的索引号为1操作步骤1.配置各接口，使各主机间路由可达。

#创建 VLAN1、2、3，并将接口 GE1/0/1、GE1/0/2、GE1/0/3 分别加入 VLAN 1、2、3。

2.配置本地观察接口#在S9300上配置端口 GE1/0/3为本地观察接口。

3.配置本地镜像接口#在S9300上配置GE1/0/1为本地镜像接口，以监控财经部收发的报文。

#在S9300上配置GE1/0/2为本地镜像接口，以监控采购部收发的报文。

4.#查看镜像接口的配置情况。

#查看接口 GE1/0/1、GE1/0/2和GE1/0/3的报文计数，可以看到接口 GE1/0/3的报文计数为接口 GE1/0/1与接口 GE1/0/2的报文计数之和，或者通过Server可以看到接口 GE1/0/1和GE1/0/2收发的所有报文，说明接口 GE1/0/1和GE1/0/2上的报文已经被S9300镜像过来。

常用交换机镜像设置以下一些典型交换机的监听口的配置方法，供用户参考，更多信息应当参考具体的交换机的使用配置手册。

a)Cisco交换机端口监听配置Catalyst 4506系列交换机端口监听配置1)以下命令配置端口监听：monitorsession例如， Gi0/2-Gi0/5同属VLAN1，Gi0/1监听Gi0/2-Gi0/5的端口：monitor session<span number> source interface Gi0/2 -5 bothmonitor session<span number> destination interface Gi0/12)以下命令禁止端口监听：no monitor session <span number>3)以下命令用来显示镜像组：show monitor session <span number>b)Cisconexus系列交换机（N7K）端口监听配置Switchport Analyzer(SPAN)：SPAN 可被用于给源端口到目的端口的流量做一个镜象流量，以便提供给数据包分析器或对住机的具体应用和故障排除分析器进行管理。

A SPAN的目标接口需要配置成switchport monitor接口，同时进程应处于active状态。

1.配置目标SPAN 接口:n7000(config)# interface ethernet 2/14n7000(config-if)# switchportn7000(config-if)# switchport monitor（配置目标monitor接口）2.端口镜像配置：n7000(config)# monitor session 1n7000(config-monitor)# description Inbound(rx)/both SPAN on Eth 2/13n7000(config-monitor)# source interface ethernet 2/13 rx/both(配置源monitor接口) n7000(config-monitor)# destination interface ethernet 2/14n7000(config-monitor)# no shut(激活镜像)3.验证SPAN①验证目标接口类型：n7000# show interface ethernet 2/14Ethernet2/14 is upHardware is 10/100/1000 Ethernet, address is 001b.54c0.fedd (bia 001b.54c0.fedd) MTU 1500 bytes, BW 1000000 Kbit, DL Y 10 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation ARPAPort mode is accessfull-duplex, 1000 Mb/sBeacon is turned offAuto-Negotiation is turned onInput flow-control is off, output flow-control is offAuto-mdix is turned onSwitchport monitor is on（交换接口模式）Last clearing of "show interface" counters never②验证SPAN进程n7000# show monitor session 1session 1---------------description : Inbound(rx) SPAN on Eth 2/13type : localstate : up（运行的监控进程为UP）sourceintf :rx : Eth2/13 （源接口=rx或both等）tx :both :source VLANs :rx :tx :both :filter VLANs : filter not specifieddestination ports : Eth2/14（目标接口）c)H3C交换机端口监听配置H3C S5510系列交换机端口监听配置1)以下命令配置端口监听：Mirroring-group <group number>例如， Gi0/2-Gi0/5同属VLAN1，Gi0/1监听Gi0/2-Gi0/5的端口：mirroring-group <group number> mirroring-port Gi0/2 to Gi0/5 inbound mirroring-group < group number > monitor-port Gi0/12)以下命令禁止端口监听：undo mirroring-group <group number>3)以下命令用来显示镜像组：display mirroring-group <group number>Intel称端口监听为“Mirror Ports”。

端口镜像端口镜像端口镜像这得从网络上的两个东东说起，HUB和交换机。

当我们需要用IDS这样的东西，或者是sniffer来对网络流量进行捕获和监控时，需要有一个监听端口。

我们知道HUB和switch的工作原理是不同的，HUB不基于连接，每个进入HUB的数据包被发送到除进入端口外的所有端口。

而Switch 则是面对连接的，数据包只会发送给目的端口。

所以在HUB环境中，IDS或sniffer可以接到任意一个端口上。

但在switch中就必须设置专门的监听端口，用来查看网络的使用情况，这个端口也被称为镜像端口，因为它能从指定的交换机端口中复制端口流量到这个监听端口（镜像端口）中，以便进行流量和协议分析。

目前在中高端交换机中都有端口镜像功能，不过具体厂商的设置方法稍有不同。

补充：镜像端口可以对一个或多个端口进行镜像，也可以对所有端口进行镜像以监听所有数据包，但也有一些问题，比如当流量大时可能造成交换机丢包华为NE80端口镜像配置NE80支持端口镜像功能，可以将系统中某个端口的流量镜像到其它的端口。

出端口的报文和入端口的报文必须分别镜像到不同的端口。

NE80已可以做到POS 622，POS 155，GE、FE到GE、FE的镜像。

配置内容包括：配置端口为镜像端口、配置被镜像端口到镜像端口的映射关系。

例将ethernet 3/0/2的入端口流量和出端口流量分别镜像到ethernet 3/0/0和3/0/1，仅需两条配置：NE80-C(config)#observing-port ethernet3/0/0 //3/0/0为镜像端口NE80-C(config)#observing-port ethernet3/0/1 //3/0/1为镜像端口NE80-C(config)#port-mirroring ethernet3/0/2 both ethernet3/0/0 ethernet3/0/1//3/0/2为被镜像端口，3/0/0镜像3/0/2的入流量，3/0/1镜像3/0/2的出流量。