華為3026等交換機(jī)端口鏡像配置

S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是端口鏡像，有兩種方法：

方法一

1.配置端口鏡像（觀測(cè)）

[SwitchA]monitor-porte0/8

2.配置被端口鏡像

[SwitchA]portmirrorEthernet0/1toEthernet0/2

方法二

可以一次性定義鏡像和被端口鏡像

[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8

華為8016交換機(jī)端口鏡像配置

1.假設(shè)8016交換機(jī)端口鏡像為E1/0/15，被端口鏡像為E1/0/0，設(shè)置端口1/0/15為端口鏡像的觀測(cè)端口。

[SwitchA]portmonitorethernet1/0/15

2.設(shè)置端口1/0/0為被端口鏡像，對(duì)其輸入輸出數(shù)據(jù)都進(jìn)行鏡像。

[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15

也可以通過(guò)兩個(gè)不同的端口，對(duì)輸入和輸出的數(shù)據(jù)分別鏡像

1.設(shè)置E1/0/15和E2/0/0為鏡像（觀測(cè)）端口

[SwitchA]portmonitorethernet1/0/15

2.設(shè)置端口1/0/0為被端口鏡像，分別使用E1/0/15和E2/0/0對(duì)輸入和輸出數(shù)據(jù)進(jìn)行鏡像。

[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15  
 
[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0 

基于流鏡像的交換機(jī)針對(duì)某些流進(jìn)行鏡像，每個(gè)連接都有兩個(gè)方向的數(shù)據(jù)流，對(duì)于交換機(jī)來(lái)說(shuō)這兩個(gè)數(shù)據(jù)流是要分開(kāi)鏡像的。

華為3500/3026E/3026F/3050交換機(jī)端口鏡像配置

基于三層流的鏡像

1.定義一條擴(kuò)展訪問(wèn)控制列表

[SwitchA]aclnum101

2.定義一條規(guī)則報(bào)文源地址為1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule0permitipsource1.1.1.10destinationany

3.定義一條規(guī)則報(bào)文源地址為所有源地址目的地址為1.1.1.1/32

[SwitchA-acl-adv-101]rule1permitipsourceanydestination1.1.1.10

4.將符合上述ACL規(guī)則的報(bào)文鏡像到E0/8端口

[SwitchA]mirrored-toip-group101interfacee0/8

基于二層流的鏡像

1.定義一個(gè)ACL

[SwitchA]aclnum200

2.定義一個(gè)規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包

[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterfaceany)

3.定義一個(gè)規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包

[SwitchA]rule1permit(ingressinterfaceany)egressinterfaceEthernet0/1

4.將符合上述ACL的數(shù)據(jù)包鏡像到E0/8

[SwitchA]mirrored-tolink-group200interfacee0/8

華為5516交換機(jī)端口鏡像配置

5516交換機(jī)支持對(duì)入端口流量進(jìn)行鏡像，配置端口Ethernet3/0/1為監(jiān)測(cè)端口，對(duì)Ethernet3/0/2端口的入流量鏡像。

[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1

華為6506/6503/6506R交換機(jī)端口鏡像配置

鏡像組名為1，監(jiān)測(cè)端口為Ethernet4/0/2，端口Ethernet4/0/1的入流量被鏡像。

[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2

補(bǔ)充說(shuō)明

1.端口鏡像一般都可以實(shí)現(xiàn)高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無(wú)法實(shí)現(xiàn)

2.8016支持跨單板端口鏡像

3測(cè)試驗(yàn)證

在觀測(cè)端口上通過(guò)工具軟件可以看到被端口鏡像的相應(yīng)的報(bào)文，可以進(jìn)行流量觀測(cè)或者故障定位。

Catalyst29503550不支持portmonitor

2950/3550/3750

格式如下：

#monitorsessionnumbersourceinterfacemod_number/port_numberboth  
 
#monitorsessionnumberdestinationinterfacemod_mnumber/port_number 

//rx-->指明是進(jìn)端口得流量，tx-->出端口得流量both進(jìn)出得流量

forexample:

***條鏡像，將***模塊中的源端口為1-10的鏡像到端口12上面；

#monitorsession1sourceinterface1/1-10both  
 
#monitorsession1destinationinterface1/12 

第二條鏡像，將第二模塊中的源端口為13-20的鏡像到端口24上面；

#monitorsession2sourceinterface2/13-20both  
 
#monitorsession2destinationinterface2/24 

端口鏡像的配置的限制

端口鏡像和被鏡像端口必須位于同一個(gè)業(yè)務(wù)板上。對(duì)于非48端口的業(yè)務(wù)板，對(duì)于一個(gè)鏡像方向，一個(gè)業(yè)務(wù)板上只能配置一個(gè)端口鏡像組。例如，一個(gè)業(yè)務(wù)板上只能配置一個(gè)監(jiān)控接收?qǐng)?bào)文的端口鏡像組，如果用戶在這個(gè)業(yè)務(wù)板配置了第二個(gè)監(jiān)控接收?qǐng)?bào)文的端口鏡像組，系統(tǒng)會(huì)給出配置失敗的提示。監(jiān)控發(fā)送報(bào)文的端口鏡像組的配置限制類似。對(duì)于48端口的業(yè)務(wù)板，監(jiān)控端口和被監(jiān)控端口或者都是1～24端口范圍內(nèi)的端口或者都是25～48端口范圍內(nèi)的端口。同時(shí)在端口1到端口24范圍內(nèi)或者端口25到端口48范圍內(nèi)，對(duì)于一個(gè)鏡像方向只能配置一個(gè)鏡像組。例如，在端口1到端口24范圍內(nèi)，只能配置一個(gè)監(jiān)控接收?qǐng)?bào)文的端口鏡像組，如果用戶在此端口范圍內(nèi)配置了第二個(gè)監(jiān)控接收?qǐng)?bào)文的端口鏡像組，系統(tǒng)將給出配置失敗的提示。監(jiān)控發(fā)送報(bào)文的端口鏡像組的配置限制和以上限制一樣。端口25到端口48范圍內(nèi)的鏡像配置的限制和端口1到端口24范圍內(nèi)的鏡像配置一樣。