華為3026等交換機端口鏡像配置

S2008/S2016/S2026/S2403H/S3026等交換機支持的都是端口鏡像，有兩種方法：

方法一

1.配置端口鏡像（觀測）

[SwitchA]monitor-porte0/8

2.配置被端口鏡像

[SwitchA]portmirrorEthernet0/1toEthernet0/2

方法二

可以一次性定義鏡像和被端口鏡像

[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8

華為8016交換機端口鏡像配置

1.假設(shè)8016交換機端口鏡像為E1/0/15，被端口鏡像為E1/0/0，設(shè)置端口1/0/15為端口鏡像的觀測端口。

[SwitchA]portmonitorethernet1/0/15

2.設(shè)置端口1/0/0為被端口鏡像，對其輸入輸出數(shù)據(jù)都進行鏡像。

[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15

也可以通過兩個不同的端口，對輸入和輸出的數(shù)據(jù)分別鏡像

1.設(shè)置E1/0/15和E2/0/0為鏡像（觀測）端口

[SwitchA]portmonitorethernet1/0/15

2.設(shè)置端口1/0/0為被端口鏡像，分別使用E1/0/15和E2/0/0對輸入和輸出數(shù)據(jù)進行鏡像。

[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15  
 
[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0 

基于流鏡像的交換機針對某些流進行鏡像，每個連接都有兩個方向的數(shù)據(jù)流，對于交換機來說這兩個數(shù)據(jù)流是要分開鏡像的。

華為3500/3026E/3026F/3050交換機端口鏡像配置

基于三層流的鏡像

1.定義一條擴展訪問控制列表

[SwitchA]aclnum101

2.定義一條規(guī)則報文源地址為1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule0permitipsource1.1.1.10destinationany

3.定義一條規(guī)則報文源地址為所有源地址目的地址為1.1.1.1/32

[SwitchA-acl-adv-101]rule1permitipsourceanydestination1.1.1.10

4.將符合上述ACL規(guī)則的報文鏡像到E0/8端口

[SwitchA]mirrored-toip-group101interfacee0/8

基于二層流的鏡像

1.定義一個ACL

[SwitchA]aclnum200

2.定義一個規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包

[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterfaceany)

3.定義一個規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包

[SwitchA]rule1permit(ingressinterfaceany)egressinterfaceEthernet0/1

4.將符合上述ACL的數(shù)據(jù)包鏡像到E0/8

[SwitchA]mirrored-tolink-group200interfacee0/8

華為5516交換機端口鏡像配置

5516交換機支持對入端口流量進行鏡像，配置端口Ethernet3/0/1為監(jiān)測端口，對Ethernet3/0/2端口的入流量鏡像。

[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1

華為6506/6503/6506R交換機端口鏡像配置

鏡像組名為1，監(jiān)測端口為Ethernet4/0/2，端口Ethernet4/0/1的入流量被鏡像。

[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2

補充說明

1.端口鏡像一般都可以實現(xiàn)高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無法實現(xiàn)

2.8016支持跨單板端口鏡像

3測試驗證

在觀測端口上通過工具軟件可以看到被端口鏡像的相應(yīng)的報文，可以進行流量觀測或者故障定位。

Catalyst29503550不支持portmonitor

2950/3550/3750

格式如下：

#monitorsessionnumbersourceinterfacemod_number/port_numberboth  
 
#monitorsessionnumberdestinationinterfacemod_mnumber/port_number 

//rx-->指明是進端口得流量，tx-->出端口得流量both進出得流量

forexample:

***條鏡像，將***模塊中的源端口為1-10的鏡像到端口12上面；

#monitorsession1sourceinterface1/1-10both  
 
#monitorsession1destinationinterface1/12 

第二條鏡像，將第二模塊中的源端口為13-20的鏡像到端口24上面；

#monitorsession2sourceinterface2/13-20both  
 
#monitorsession2destinationinterface2/24 

端口鏡像的配置的限制

端口鏡像和被鏡像端口必須位于同一個業(yè)務(wù)板上。對于非48端口的業(yè)務(wù)板，對于一個鏡像方向，一個業(yè)務(wù)板上只能配置一個端口鏡像組。例如，一個業(yè)務(wù)板上只能配置一個監(jiān)控接收報文的端口鏡像組，如果用戶在這個業(yè)務(wù)板配置了第二個監(jiān)控接收報文的端口鏡像組，系統(tǒng)會給出配置失敗的提示。監(jiān)控發(fā)送報文的端口鏡像組的配置限制類似。對于48端口的業(yè)務(wù)板，監(jiān)控端口和被監(jiān)控端口或者都是1～24端口范圍內(nèi)的端口或者都是25～48端口范圍內(nèi)的端口。同時在端口1到端口24范圍內(nèi)或者端口25到端口48范圍內(nèi)，對于一個鏡像方向只能配置一個鏡像組。例如，在端口1到端口24范圍內(nèi)，只能配置一個監(jiān)控接收報文的端口鏡像組，如果用戶在此端口范圍內(nèi)配置了第二個監(jiān)控接收報文的端口鏡像組，系統(tǒng)將給出配置失敗的提示。監(jiān)控發(fā)送報文的端口鏡像組的配置限制和以上限制一樣。端口25到端口48范圍內(nèi)的鏡像配置的限制和端口1到端口24范圍內(nèi)的鏡像配置一樣。