华三H3C交换机配置端口镜像之如何配置本地端口镜像和远程端口镜像（可适用一个源端口镜像给多目的端口时）

Posted 2023-03-29 年华学习日记

如何在华三交换机配置本地端口镜像和远程端口镜像

在平时的工作中，经常需要通过日志审计设备/行为管理设备/流量分析系统设备，对网络设备上的报文流量进行分析，以了解整个网络的运行情况，这时就需要通过端口镜像的技术通过把源端口的流量复制一份到目的观察端口。管理员就可以对这些镜像报文进行监控和分析。
一般一个镜像组内可以配置多个源端口。但一个端口通常只能被一个镜像组使用。

可分为本地端口镜像和远程端口镜像（可适用一个源端口镜像给多目的端口时）

一，本地端口镜像—源端口方式

如图所示，交换机GE1/0/2和GE1/0/3口为被镜像的源端口，流量被镜像到目的端口GE1/0/4,4口下联流量分析设备。

配置步骤：

1.创建本地镜像组
[SW]mirroring-group 1 local

2.配置本地镜像组1的源端口为GE1/0/2和GE1/0/3，并镜像两端口的双向流量。
[SW]mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 to GigabitEthernet 1/0/3 both

3.配置本地镜像目的观察端口为GE1/0/4。
[SW]mirroring-group 1 monitor-port GigabitEthernet 1/0/4

4.在目的端口GE1/0/4上关闭生成树协议，以免影响镜像功能的正常使用。
[SW]interface GigabitEthernet 1/0/4
[SW-GigabitEthernet1/0/4]undo stp enable

5.使用display mirroring-group all查看镜像组的配置信息。

=============================================================================

二，配置远程端口镜像（可适用一个源端口镜像给多目的端口时）
在配置镜像时，经常会遇到一个端口需要镜像流量给几个不同的审计和流量分析设备，但有的交换机却不支持一个源端口镜像给多目的端口，此时即可用远程端口镜像，把源交换机端口的流量镜像到远端的目的交换机，多个审计分析设备连接到目的交换机上即可获取到源交换机端口的镜像流量。

如图，SWA为源设备，GE1/0/3为被镜像的源端口，GE1/0/2为出口，GE1/0/6为反射端口。SWB为中间设备，SWC为目的设备，GE1/0/2为目的端口，下联流量分析设备。

1.配置SWA源设备

创建远程源镜像组
[SWA]mirroring-group 1 remote-source

创建vlan30，并关闭mac地址学习功能
[SWA]vlan 30
[SWA-vlan30]undo mac-address mac-learning enable

配置远程源镜像组的远程镜像vlan为vlan30，并配置源端口GE1/0/3和反射端口GE1/0/6
[SWA]mirroring-group 1 remote-probe vlan 30
^
[SWA]mirroring-group 1 mirroring-port GigabitEthernet 1/0/3 both //配置镜像源端口双向流量
[SWA]mirroring-group 1 reflector-port GigabitEthernet 1/0/6 //配置反射端口

配置出端口并放通相应vlan

[SWA]interface GigabitEthernet 1/0/2
[SWA-GigabitEthernet1/0/2]port link-type trunk
[SWA-GigabitEthernet1/0/2]port trunk permit vlan 30

---

2.配置SWB中间设备

创建远程镜像vlan，并关闭mac地址学习功能
[SWB]vlan 30
[SWB-vlan30]undo mac-address mac-learning enable

配置GE1/0/1类型为trunk，并放通vlan30报文通过
[SWB]interface GigabitEthernet 1/0/1
[SWB-GigabitEthernet1/0/1]port link-type trunk
[SWB-GigabitEthernet1/0/1]port trunk permit vlan 30

配置GE1/0/2类型为trunk，并放通vlan30报文通过
[SWB]interface GigabitEthernet 1/0/2
[SWB-GigabitEthernet1/0/2]port link-type trunk
[SWB-GigabitEthernet1/0/2]port trunk permit vlan 30

3.配置SWC为目的设备

创建远程目的镜像组
[SWC]mirroring-group 1 remote-destination

创建远程镜像vlan，并关闭mac地址学习功能
[SWC]vlan 30
[SWC-vlan30]undo mac-address mac-learning enable

创建远程镜像组的远程镜像vlan为vlan30，并配置目的端口GE1/0/2
[SWC]mirroring-group 1 remote-probe vlan 30

配置目的端口
[SWC]interface GigabitEthernet 1/0/2
[SWC-GigabitEthernet1/0/2]mirroring-group 1 monitor-port //配置为目的端口
[SWC-GigabitEthernet1/0/2]undo stp enable //接口下关闭stp
[SWC-GigabitEthernet1/0/2]port access vlan 30 //把端口加入vlan

配置入端口GE1/0/1类型为trunk，并放通vlan30通过
[SWC]interface GigabitEthernet 1/0/1
[SWC-GigabitEthernet1/0/1]port link-type trunk
[SWC-GigabitEthernet1/0/1]port trunk permit vlan 30

4.查看配置
使用命令display mirroring-group all分别在SWA和SWC上查看配置信息
SWA

SWC

交换机端口镜像配置（华为华三）

交换机端口镜像配置（华为、华三）

• 端口镜像应用场景设定
• • 华三交换机配置端口镜像
  • 华为交换机配置端口镜像

端口镜像应用场景设定

某企业近期为了加强网络安全防护，新购置了一台IDS网络安全检测设备，IDS检测设备的配置工作交给了Kim大Q，Kim大Q检查了IDS设备，发现IDS的主要配置端口有两个一个是旁路接入的Mirror port，另外一个是Management port，但Kim大Q近期也未配置过端口镜像，公司内部的交换机主要有华为和华三两种，整理了2种品牌的交换机端口镜像配置笔记。

华三交换机配置端口镜像

1. 配置步骤如下：
   1.进入配置：system-view
   2.选择本地类型镜像组：[SW1]mirroring-group 1 local
   3.为镜像组配置源端口：[SW1]mirroring-group 1 mirroring-port G0/0/1 both (设置源端口，镜像可以根据实际情况灵活选择入方向、出方向，或全部流量；both,全部流量；inbound,入方向；outbound,出方向)
   4.如果源端口为多个，可以批量设置：[SW1]mirroring-group 1 mirroring-port g0/0/1 to g0/0/23 (源端口从g0/0/1到g/0/0/23)
   5.为镜像组配置目的端口：mirroring-group 1 monitor-port g0/0/24
   6.将网络安全设备IDS的镜像口与华三交换机g0/0/24口即monitor-port口跳线连接。

华为交换机配置端口镜像

1. 配置步骤如下：
   1.进入配置：system-view
   2.配置观察口：[SW1]observe-port 1 interface g0/0/24
   3.配置镜像的源端口：[SW1]int g0/0/1
   [SW1-gigabit0/0/1]port-mirroring to observe-port 1 both ( both,全部流量；inbound,入方向；outbound,出方向)
   4.批量配置镜像的源端口：[SW1]interface range g0/0/1 to g0/0/23
   [SW1-port-group]port-mirroring to observe-port 1 both
   5.验证观察端口是否配置正确：[SW1]display observe-port
   6.验证镜像源端口是否配置正确：[SW1]display port-mirroring
   7.将网络安全设备IDS的镜像口与华为交换机g0/0/24口即observe-port口跳线连接。
   整理完配置笔记，Kim大Q也准备撸起袖子大干一场了，小伙伴们希望也可以帮到大家快速配置，尤其一些旁路接入的网络设备。