什么是交换机端口镜像及其工作原理

配置交换机端口镜像交换机端口镜像交换机的端口镜像功能，是指可以将一个端口的流量自动复制到另一端口，供网络管理员在判断网络问题时对端口流量和内容进行实时分析。

通过交换机的镜像端口，这些流量就可以被一个特殊的设备监控，对发现和修理故障有很大的帮助。

交换机可以有专为镜像目的而设计的端口，许多交换机产品还提供了将任何一个端口配置成镜像端口的功能，某些交换机甚至支持同时有多对多的端口镜像。

为了能使用网络分析仪或入侵检测系统IDS直接监控网络流量，所连接的交换机必须支持端口镜像。

端口镜像（Port Mirroring）可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。

如果您的交换机提供端口镜像功能，则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。

监视到的数据可以通过PC上安装的网络分析软件来查看，通过对数据的分析就可以实时查看被监视端口的情况。

如图所示的网络拓扑，某企业网络管理员发现网络中有异常流量，需要对网络流量进行手动分析，为了提高网络的安全，需要管理员进行手工分析的异常流量，需要将流量镜像到管理员PC，然后抓取数据包，实现网络的安全防范功能。

F0/3图2-4 配置交换机端口镜像【实验设备】交换机 1台PC机3台【实验原理】交换机的端口镜像特性可以允许管理员对网络中的特定流量进行镜像分析。

即在交换机上，对特定流量进行复制并发送到指定端口。

【实验步骤】第一步：定义需要镜像的特定流量Switch#configureSwitch(config)#monitor session 1 source interface fastEthernet 0/1 both第二步：配置镜像流量的流出端口Switch(config)#monitor session 1 destination interface fastEthernet 0/2第三步：验证测试将PC1接入F0/1接口，PC2接入F0/2接口，PC1与PC2之间可以互相ping通。

交换机镜像⽤法相关概念交换机（switch）：⼀种⽤于光电信号转发的⽹络设备。

端⼝镜像：交换机或者路由器的⼀种功能，将⼀个或多个源端⼝的数据流量转发到某⼀个指定端⼝来实现对⽹络的监听，指定端⼝称之为“镜像端⼝”或“⽬的端⼝”，在不严重影响源端⼝正常吞吐流量的情况下，可以通过镜像端⼝对⽹络的流量进⾏监控分析。

在企业中⽤镜像功能，可以很好地对企业内部的⽹络数据进⾏监控管理，在⽹络出故障的时候，可以快速地定位故障。

配置命令：在源端⼝交换机上配置：Switch1(config)#vlan100 //vlan号必须独⽴于现⽹使⽤的vlan，不能和业务vlan相同，Switch1(config-vlan)#name SPAN-VLAN //为vlan 100名字配置为SPAN-VLANSwitch1(config-vlan)#remote-span //模式改成RSPAN，特殊vlan⽤来做端⼝镜像Switch1(config)#monitor session 2 source interface Gig 0/1 //配置要抓取原端⼝的流量Switch1(config)#monitor session 2 destination remote vlan 100 //⽬的端⼝配置为SPAN的vlan在⽬的端⼝交换机上配置：Switch2(config)#vlan100 //vlan要和被抓取流量端⼝的交换机vlan要⼀致Switch2(config-vlan)#name SPAN-VLAN //为vlan 100名字配置为SPAN-VLANSwitch2(config-vlan)#remote-span //模式改成RSPAN，特殊vlan⽤来做端⼝镜像Switch2(config)#monitor session 3 destination interface Gig 0/2 //配置要抓取原端⼝的流量，这⾥的session 号不需要和Switch1的⼀致Switch1(config)#monitor session 3 source remote vlan 100 //⽬的端⼝配置为SPAN的vlan号Switch#show monitor //查看。

CISCO交换机端口镜像配置CISCO交换机端口镜像配置[]CISCO交换机端口镜像配置先解释一下端口镜像：端口镜像简单的说，就是把交换机一个（数个）端口（源端口）的流量完全拷贝一份，从另外一个端口（目的端口）发出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。

cisco的端口镜像叫做SWITCHED PORT ANALYZER，简称SPAN（仅在IOS系统中，下同），因此，端口镜像仅适用于以太网交换端口。

Cisco的SPAN 分成三种，SPAN、RSPAN和VSPAN，简单的说，SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上，VSPAN可以镜像整个或数个VLAN 到一个目的端口。

配置方法：1. SPAN(1) 创建SPAN源端口monitor session session_number source interface interface-id [, | -] [both | rx | tx] monitor session 1 source interface Gi1/0/3 - 23 monitor session 2 source interface Gi1/0/24**session_number,SPAN会话号，我记得3550支持的最多本地SPAN是2个，即1或者2。

**interface-id [, | -]源端口接口号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，比如我的3750G 设置：先查询镜像端口：>show interfaceGigabitEthernet1/0/1 is down, line protocol is down (monitoring) Hardware is Gigabit Ethernet, address is 001b.53d1.f681 (bia001b.53d1.f681)MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation ARPA, loopback not setKeepalive set (10 sec)Auto-duplex, Auto-speed, media type is 10/100/1000BaseTX input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00Last input never, output 01:24:41, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts (0 multicast)0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected45270775 packets output, 3124068592 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out GigabitEthernet1/0/2 is up, line protocol is down (monitoring) Hardware is Gigabit Ethernet, address is 001b.53d1.f682 (bia 001b.53d1.f682)MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,reliability 255/255, txload 25/255, rxload 1/255Encapsulation ARPA, loopback not setKeepalive set (10 sec)Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTXinput flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00Last input never, output 00:27:32, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 101566000 bits/sec, 13900 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts (0 multicast)0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected56333567 packets output, 4143302191 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out我们用端口镜像1来镜像3-23号端口，镜像端口来镜像24号端口：monitor session 1 source interface Gi1/0/3 - 23monitor session 1 destination interface Gi1/0/1monitor session 2 source interface Gi1/0/24monitor session 2 destination interface Gi1/0/2连续的用“-”连接。

端口镜像端口镜像端口镜像这得从网络上的两个东东说起，HUB和交换机。

当我们需要用IDS这样的东西，或者是sniffer来对网络流量进行捕获和监控时，需要有一个监听端口。

我们知道HUB和switch的工作原理是不同的，HUB不基于连接，每个进入HUB的数据包被发送到除进入端口外的所有端口。

而Switch 则是面对连接的，数据包只会发送给目的端口。

所以在HUB环境中，IDS或sniffer可以接到任意一个端口上。

但在switch中就必须设置专门的监听端口，用来查看网络的使用情况，这个端口也被称为镜像端口，因为它能从指定的交换机端口中复制端口流量到这个监听端口（镜像端口）中，以便进行流量和协议分析。

目前在中高端交换机中都有端口镜像功能，不过具体厂商的设置方法稍有不同。

补充：镜像端口可以对一个或多个端口进行镜像，也可以对所有端口进行镜像以监听所有数据包，但也有一些问题，比如当流量大时可能造成交换机丢包华为NE80端口镜像配置NE80支持端口镜像功能，可以将系统中某个端口的流量镜像到其它的端口。

出端口的报文和入端口的报文必须分别镜像到不同的端口。

NE80已可以做到POS 622，POS 155，GE、FE到GE、FE的镜像。

配置内容包括：配置端口为镜像端口、配置被镜像端口到镜像端口的映射关系。

例将ethernet 3/0/2的入端口流量和出端口流量分别镜像到ethernet 3/0/0和3/0/1，仅需两条配置：NE80-C(config)#observing-port ethernet3/0/0 //3/0/0为镜像端口NE80-C(config)#observing-port ethernet3/0/1 //3/0/1为镜像端口NE80-C(config)#port-mirroring ethernet3/0/2 both ethernet3/0/0 ethernet3/0/1//3/0/2为被镜像端口，3/0/0镜像3/0/2的入流量，3/0/1镜像3/0/2的出流量。

H3C交换机端口镜像配置方法交换机将数据从一个端口转发至到另一个端口的处理方式称为交换模式。

不少企业使用的交换机是H3C交换机，那么你知道H3C交换机的端口镜像配置方法吗?下面跟yjbys店铺一起来看看吧!一、端口镜像概念：Port Mirror(端口镜像)是用于进行网络性能监测。

可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置『环境配置参数』1. PC1接在交换机E0/1端口，IP地址1.1.1.1/242. PC2接在交换机E0/2端口，IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不同方式进行配置：1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像(观测)端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

交换机镜像端口的工作原理及配置方法交换机镜像端口的工作原理及配置方法对于高级网管员来说，在进行网络故障排查、网络数据流量分析的过程中，有时需要对网络节点或骨干交换机的某些端口进-行数据流量监控分析，而在交换机中设置镜像端口，对某些可疑端口进行监控，同时又不影响被监控端口的数据交换，已成为常用的解决方案之一。

本文以Cisco Catalyst4006交换机为例介绍“交换端口分析器”的工作原理及配置方法。

1．SPAN工作原理SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。

它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据，也可以从若干个VLAN向一个临控端口镜像数据。

源端口的5号端口上流转的所有数据流均被镜像至10号监控端口，而数据分析设备通过监控端口接收了所有来自5号端口的数据流(见图1．1．3)。

2．SPAN的配置方法在配置SPAN任务时应遵循以下原则：(1)对数据进行监控分析的设备应搭接在监控端口上；(2)在一个基于VLAN的SPAN任务中不能同时存在源VLAN和过滤VLAN (3)冗余链路端口只能作为SPAN任务的源端口；(4)SPAN任务中所有的源端口的被监控方向必须一致；(5)在设置端口为源端口时，如果没有指定数据流的监控方向，默认为双向； (6)当SPAN任务含有多个源端口时，这些端口可以来自不同的VLAN； (7)取消某一个SPAN任务的命令是：no monitor session任务号；(8)取消所有SPAN任务的命令是：no monitor；(9)SPAN任务的目的端口不能参与到生成树的距离计算中，但由于源端口的BPDU 包可以被镜像，所以SPAN目的端口可以监控到来自源端口的BPDU数据包。

配置SPAN的源端口，应遵循表1．1-3的格式。

表1.1-3命令解释说明Switch(config)_[no]monitorsession{session_number}{source(interface type/num)|{vlan vlan_ID}}[,|-|r_|t_| both] 命令包含SPAN任务号(1——6)，源端口(FastEthernet或者GigabitEthernet口)，或Vlan号(1——1005)，以及被监控数据流的方向；使用no作为恢复命令以下语句显示如何配置源端口为FastEthernet 5/l的SPAN任务，其监控对象为双向数据流：Switch(config)_ monitor session 1 source interface fastethrnet 5/l 配置SPAN的目的端口，应遵循表1．1-4的格式。