S5560-G设备多出口端口镜像配置操作变更

S5500S5500--EI 系列交换机实现多监控口功能的配置系列交换机实现多监控口功能的配置一、 组网需求组网需求：：使用本地镜像功能实现一台设备上有多个监控端口。

二、 组网图组网图：：三、 配置步骤配置步骤：：（1）创建监控vlan 并禁止监控vlan 下mac 地址学习功能。

[H3C]vlan 30[H3C-vlan30]mac-address mac-learning disable#创建本地监控组，并去使能STP 功能。

[H3C]mirroring-group 1 local[H3C]stp disable（2）将属于业务vlan10的G1/0/25作为被镜像端口。

[H3C]interface GigabitEthernet1/0/25[H3C-GigabitEthernet1/0/25] port access vlan 10[H3C-GigabitEthernet1/0/25] mirroring-group 1 mirroring-port both（3）用短网线将属于vlan1的“监控口”G1/0/1连接到属于监控vlan30的G1/0/6端口上, 需要注意的是G1/0/1端口所属vlan一定要与后面的G1/0/6等“监控口”不在同一vlan，否则会出现广播风暴。

[H3C]interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] mirroring-group 1 monitor-port（4）将镜像报文打上监控vlan的tag，在该vlan内转发，否则镜像报文会由于vlan tag与监控vlan不同而被丢弃。

[H3C]interface GigabitEthernet1/0/6[H3C-GigabitEthernet1/0/6] port access vlan 30[H3C-GigabitEthernet1/0/6] qinq enable（5）将多个端口加入监控vlan从而实现多监控口的需求。

华为交换机如何配置端口镜像
摘要:
配置任何一种镜像功能，都需要先将物理端口配置成观察端口。

配置观察端口分单个配置和批量配置两种方式。

批量配置的观察端口相当于加入了一个观察端口组，在配置镜像端口时，镜像端口会绑定整个观察端口组。

因此批量配置一般在1：N镜像时使用，主要是为了配置方便。

配置单个观察端口
1、本地观察端口，即观察端口与监控设备直连
2、二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文
3、三层远程观察端口，即观察端口通过三层网络向监控设备转发镜像报文（仅S7700/S9700/S12700支持）
4、配置批量观察端口（V200R005及后续版本支持）
4.1本地观察端口，即观察端口与监控设备直连
4.2二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文
4.3三层远程观察端口不支持批量配置。

H3C交换机端⼝镜像配置命令端⼝镜像配置命令1.1 端⼝镜像配置命令1.1.1 display mirroring-group【命令】display mirroring-group { group-id| all | local | remote-destination | remote-source }【视图】任意视图【参数】group-id：端⼝镜像组的组号，取值范围为1～2。

all：所有镜像组。

local：本地镜像组。

remote-destination：远程⽬的镜像组。

remote-source：远程源镜像组。

【描述】display mirroring-group命令⽤来显⽰端⼝镜像组的信息。

不同的镜像组类型，其显⽰内容不同。

设备将按照镜像组号的顺序进⾏显⽰。

【举例】# 显⽰所有镜像组的信息。

display mirroring-group allmirroring-group 1：type: localstatus: activemirroring port:Ethernet1/0/1 bothEthernet1/0/2 bothmonitor port: Ethernet1/0/3mirroring-group 2:type: remote-sourcestatus: inactivemirroring port:Ethernet1/0/4 inboundreflector port:remote-probe vlan: 1900表1-1 display mirroring-group命令显⽰信息描述表1.1.2 mirroring-group【命令】mirroring-group group-id{ local | remote-source | remote-destination }undo mirroring-group{ group-id|local | remote-source|remote-destination | all } 【视图】系统视图【参数】group-id：端⼝镜像组的组号，取值范围为1～2。

华为端口镜像配置命令镜像有很多种基于接口的基于VLAN 基于MAC的基于流（ACL）的这里主要介绍基于VLAN的配置基于接口的本地镜像查看接口镜像信息列表display port-mirroring查看观察端口的使用情况display observe-port背景信息配置镜像的接口可以是物理接口，也可以是Eth-Trunk接口。

若镜像端口为Eth-trunk类型，需要预先使用命令interface eth-trunk trunk-id创建Eth-trunk。

若已经配置Eth-trunk为镜像端口，则不能再单独配置其成员接口为镜像端口。

若已经配置Eth-trunk下某成员接口为镜像端口，则不能再配置Eth-trunk为镜像端口。

操作步骤执行命令system-view，进入系统视图。

执行命令observe-port index interface interface-type interface-number配置观察接口。

执行命令interface interface-type interface-number进入镜像接口的接口视图。

执行命令port-mirroring to observe-port index { both | inbound | outbound }配置接口镜像。

当需要同时监控多个接口的入方向或出方向的报文时，可以重复执行步骤3和步骤4。

说明：配置S5300SI和S5300LI设备时，同一个端口的出方向上不能同时配置为观察端口和镜像端口。

例子配置步骤1. 在Switch上创建VLAN，把相应接口以Trunk方式加入VLAN# 将接口Ethernet0/0/1和Ethernet0/0/3以Trunk方式加入同一VLAN。

（以下配置以接口Ethernet0/0/1为例，同理配置接口Ethernet0/0/3）system-view[Switch] vlan 10[Switch-vlan10] quit[Switch] interface ethernet 0/0/1[Switch-Ethernet0/0/1] port link-type trunk[Switch-Ethernet0/0/1] port trunk allow-pass vlan 10[Switch-Ethernet0/0/1] quit2. 配置观察接口# 将Ethernet0/0/24接口配置为观察接口。

端口镜像详解及配置什么是端口镜像?把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

为什么需要端口镜像 ?通常为了部署IDS 产品需要监听网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

端口镜像的别名端口镜像通常有以下几种别名：●Port Mirroring通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

●Monitoring Port监控端口●Spanning Port通常指允许把所有端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

●SPAN port在 Cisco 产品中，SPAN 通常指 Switch Port ANalyzer。

某些交换机的 SPAN 端口不支持传输数据。

●Link Mode port支持端口镜像的交换机和路由大多数中档以上的交换机都支持端口镜像功能，部分路由支持端口镜像但支持程度不同。

端口镜像配置方法下面是几种交换机和海蜘蛛路由端口镜像配置方法，主要来自于Talisker Security Wizardry (/) 的Switch Port Mirroring(/switch.htm)Cisco 交换机特点：●Cisco 2900 和 Cisco 3500XL 系列交换机Cisco 2950、Cisco 3550 和 Cisco 3750 系列交换机Cisco catylist 2550 Cisco catylist 3550 支持2组monitor session en password config termSwitch(config)#monitor session 1 destination interface fast0/4（1为session id，id范围为1－2）Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格，逗号，空格)Switch(config)#exitSwitch#copy running-conf startup-confSwitch#show port-monitorCisco 5000 系列交换机使用 CatOS 的 Cisco 4000 和 Cisco 6000 系列交换机使用 IOS 的 Cisco 4000 和 Cisco 6000 系列交换机Extreme 交换机特点：●只能创建多对一或者一对一的镜像端口●可以监听 VLAN 的流量●Extreme 会镜像 IN 和 OUT 的流量。

h3cs5500交换机端口镜像配置本文只介绍两种最常见的端口镜像配置1、将一个本地端口镜像到另一个端口（主要用来抓包排查或监控）需求：将s5500的交换机1口镜像到2口，在2口用数据监控软件抓包进行上网行为分析统计。

对交换机的操作如下：1）登陆到交换机（这里只介绍用命令行操作）使用配置好的账号telnet 进入交换机控制台。

2)输入system-view 进入命令使能模式<S5500>system-viewSystem View: return to User View with Ctrl+Z.[S5500]3）创建本地镜像组，命名有1-4可选，这里选3，直接回车，没有报错就是创建成功。

有报错看命令输入是否正确。

[S5500]mirroring-group 3 local4）为镜像组加入端口，这里给出了命令选项，最后面：•#[S5500]mirroring-group 3 mirroring-port GigabitEthernet 1/0/1 ? # 输入“？”打开帮助，可以看到可选项•# GigabitEthernet GigabitEthernet interface #千兆以太网千兆以太网接口•# both Monitor the inbound and outbound packets #两者都监视入站和出站数据包•# inbound Monitor the inbound packets #入站监视入站数据包•# outbound Monitor the outbound packets #出站监视出站数据包•# to Range of interfaces #接口范围•[S5500]mirroring-group 3 mirroring-port GigabitEthernet 1/0/1 both•<cr> #这个是按tab出来的提示，意思是请直接回车。

[S5500]mirroring-group 3 mirroring-port GigabitEthernet 1/0/1 both回车没有报错，说明命令输入没有错误，端口1已经做为被镜像端口加入到镜像组3。