华为交换机镜像端口配置

H3C各种型号交换机端口镜像配置方法总结一、端口镜像概念：Port Mirror(端口镜像）是用于进行网络性能监测。

可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置『环境配置参数』1. PC1接在交换机E0/1端口，IP地址1.1.1.1/242. PC2接在交换机E0/2端口，IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不同方式进行配置：1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像（观测）端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

华3多型号交换机端口镜像配置方法华3多型号交换机端口镜像配置方法有不少朋友在问华为交换机镜像方面的问题。

通过本人现有的资料和文档，现把各种型号的交换机镜像方法总结一下。

以便各位朋友能够方便查阅！我想在学会配置之前，对于端口镜像的基本概念还是要一定的了解吧！一、端口镜像概念：Port Mirror(端口镜像）是用于进行网络性能监测。

可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置『环境配置参数』1. PC1接在交换机E0/1端口，IP地址1.1.1.1/242. PC2接在交换机E0/2端口，IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不**式进行配置：1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像（观测）端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

CISCO、3COM、华为等主流交换机端口镜像配置各型号交换机端口镜像配置方法和命令"Port Mirror"即端口镜像，端口镜像为网络传输提供了备份通道。

此外，还可以用于进行数据流量监测。

可以这样理解：在端口A和端口B之间建立镜像关系，这样，通过端口A传输的数据将同时通过端口B传输，即使端口A处因传输线路等问题造成数据错误，还有端口B处的数据是可用的。

Cisco交换机端口镜像配置，cisco交换机最多支持2组镜像，支持所有端口镜像。

默认密码ciscoCisco catylist2820：有2个菜单选项先进入menu选项，enable port monitor进入cli模式，enconf terminterface fast0/x 镜像口port monitor fast0/x 被镜像口exitwrCisco catylist2924、2948 Cisco catylist 3524、3548Switch>EnSwitch#Conf termSwitch(config)#Interface fast mod/portSwitch(config-if)#Port monitor mod/portSwitch(config-if)#ExitSwitch(config)#WrCisco catylist 2550 Cisco catylist 3550：支持2组monitor sessionen passwordconfig termSwitch(config)#monitor session 1 destination interface fast0/4（1为session id，id范围为1－2）Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格，逗号，空格) Switch(config)#exitSwitch#copy running-conf startup-confSwitch#show port-monitorCisco catylist 4000/5000系列Cisco catylist 6000 系列：支持2组镜像EnShow module (确认端口所在的模块)Set span source(mod/port) destination(mod/port) in|out|both inpkts enableWrite tern allShow span注：多个source：mod/port,mod/port-mod/port 连续端口用横杆“－”，非连续端口用逗号“，”set span enable 允许镜像set span disable 禁止镜像set span source destination in|out|both inpkts enable create (create用于建立第二组镜像) Huawei(华为)s2403h端口监听配置：enconf termmonitor ethernet source_mod/port to ethernet source_mod/port obser ethernet dest_mod/portexitwriteshow monitor-port（注：不可以将非连续端口作为souce，如果镜像单个端口，则不用to，直接到obs ether。

常见镜像操作为了方便对一个或多个网络接口的流量进行分析（如IDS产品、网络分析仪等），可以通过配置交换机或路由器来把一个或多个端口（VLAN）的数据转发到某一个端口，即端口镜像，来实现对网络的监听。

端口镜像功能是对网络流量监控的一个有效的安全手段，对监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。

一、配置观察端口配置任何一种镜像功能，都需要先配置观察端口，可单一配置，可批量配置。

配置单个观察端口：本地观察端口，及观察端口与监控设备直连<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 vlan 10批量配置观察端口本地观察端口，及观察端口与监控设备直连<HUAWEI>system-viewgigabitethernet 1/0/3二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface-range gigabitethernet 1/0/1 to gigabitethernet 1/0/3 vlan 10二、配置镜像端口1、1端口镜像将一个镜像端口的报文复制到一个观察端口上。

例如：将镜像端口g2/0/1入方向的报文复制到观察端口g1/0/1上，g1/0/1与监控设备直连。

<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 [HUAWEI]interface gigabitethernet 2/0/1[HUAWEI-GigabitEthernet2/0/1]port-mirroring to observer-port 1 inbound2、N端口镜像将一个镜像端口的报文复制到N个不同的观察端口上。

1.配置本地端口镜像示例1组网需求如图1所示，HostA通过接口GigabitEthernet0/0/1接入SwitchA。

Server直连在SwitchA的GigabitEthernet0/0/2接口上。

用户希望通过监控设备Server对HostA发送的报文进行监控。

2配置思路采用如下的思路配置：1. 配置SwitchA的接口GigabitEthernet0/0/2为本地观察端口，使直连的监控设备Server能够接收到镜像报文。

2. 配置SwitchA的接口GigabitEthernet0/0/1为镜像端口，实现对接口的报文进行监控。

3操作步骤1. 配置观察端口# 在SwitchA上配置接口GigabitEthernet0/0/2为本地观察端口。

<HUAWEI> system-view[HUAWEI] sysname SwitchA[SwitchA] observe-port 1 interface gigabitethernet 0/0/212. 配置镜像端口# 在SwitchA上配置接口GigabitEthernet0/0/1为镜像端口，以监控HostA发送的报文。

[SwitchA] port-group 1[SwitchA]group-member eth 0/0/2 to eth 0/0/20[SwitchA-GigabitEthernet0/0/1] port-mirroring to observe-port 1 both[SwitchA-GigabitEthernet0/0/1] return3. 验证配置结果# 查看观察端口的配置情况。

<SwitchA> display observe-port---------------------------------------------------------------------------Index : 1Interface: GigabitEthernet0/0/2---------------------------------------------------------------------------# 查看镜像端口的配置情况。

华为交换机端口镜像配置端口镜像通过配置镜像功能，可以将报文复制到特定的目的地进行分析，以进行网络监控和故障定位。

镜像是指将经过指定端口（源端口或者镜像端口）的报文复制一份到另一个指定端口（目的端口或者观察端口）。

配置举例1、一对一本地端口镜像（一个监控设备监控一个端口）observe-port 1 interface GigabitEthernet1/0/2 // 观察口#interface GigabitEthernet1/0/1或者GigabitEthernet1/0/10 (上联口) //镜像口 port-mirroring to observe-port 1 inbound/outbound/both2、多对一端口本地端口镜像（多个监控设备同时监控一个端口）方法一：（单个配置观察端口）observe-port 1 interface GigabitEthernet1/0/2 //观察口1observe-port 2 interface GigabitEthernet1/0/3 //观察口2observe-port 3 interface GigabitEthernet1/0/4 //观察口3#interface GigabitEthernet1/0/1 或者 GigabitEthernet1/0/10 (上联口 ) //镜像口port-mirroring to observe-port 1 inbound/outbound/bothport-mirroring to observe-port 2 inbound/outbound/bothport-mirroring to observe-port 3 inbound/outbound/both方法二：（批量配置观察端口）observe-port 1 interface-range GigabitEthernet1/0/2 to GigabitEthernet1/0/4 //端口2到4为观察口#interface GigabitEthernet1/0/1或者 GigabitEthernet1/0/10 (上联口) //镜像口 port-mirroring to observe-port 1 inbound/outbound/both3、一对多端口镜像配置（一个监控设备监控多个端口）observe-port 1 interface GigabitEthernet1/0/4 //观察口#interface GigabitEthernet1/0/1 //镜像口1port-mirroring to observe-port 1 inbound/outbound/both#interface GigabitEthernet1/0/2 //镜像口2port-mirroring to observe-port 1 inbound/outbound/both#interface GigabitEthernet1/0/3 //镜像口3port-mirroring to observe-port 1 inbound/outbound/both#注：inbound、outbound可绑定的端口数量要根据设备、或者板卡的型号而定。

华为镜像说明端口镜像详解什么是端口镜像?把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

为什么需要端口镜像 ?通常为了部署 IDS 产品需要监听网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

端口镜像的别名支持端口镜像的交换机大多数中档以上的交换机都支持端口镜像功能，但支持程度不同。

端口镜像配置方法下面是几种交换机的端口镜像配置方法，主要来自于 Talisker Security Wizardry (/) 的 Switch Port Mirroring (/switch.htm)Cisco 交换机特点：Cisco 2900 和 Cisco 3500XL 系列交换机Cisco 2950、Cisco 3550 和 Cisco 3750 系列交换机Cisco catylist 2550 Cisco catylist 3550 支持2组monitor session en password config term Switch(config)#monitor session 1 destination interface fast0/4（1为session id，id范围为1－2） Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格，逗号，空格) Switch(config)#exit Switch#copy running-conf startup-conf Switch#show port-monitorCisco 5000 系列交换机使用 CatOS 的 Cisco 4000 和 Cisco 6000 系列交换机使用 IOS 的 Cisco 4000 和 Cisco 6000 系列交换机Extreme 交换机特点：●只能创建多对一或者一对一的镜像端口●可以监听 VLAN 的流量●Extreme 会镜像 IN 和 OUT 的流量。