端口镜像配置

控和故障排除。

图1-1 端口镜像示意图
1.1.1 端口镜像的分类
端口镜像分为本地端口镜像和远程端口镜像两种镜像方式：
l本地端口镜像是指将设备的一个或多个端口（源端口）的报文复制到本设备的一个监视端口（目的端口），用于报文的监视和分析。

其中，源端口和目的端口必须在同一台设备上。

远程端口镜像的应用如图1-2所示。

图1-2 远程端口镜像应用示意图
图中各设备的作用如下：
l源设备：源端口所在的设备，用户需要在源设备上创建远程源镜像组。

本设备负责将源端口的报文复制一份，然后通过出端口将报文在远程镜像
l建议目的端口不用做其他用途，仅用于端口镜像。

l源端口和目的端口不能是现有镜像组的成员端口。

l指定的镜像组必须预先创建，一个镜像组只能配置一个目的端口。

1.3 配置远程端口镜像
配置远程端口镜像时，用户需要在两台设备上分别配置远程源镜像组和远程目的镜像组。

1.3.1 配置远程源镜像组
远程源镜像组需要配置源端口、出端口以及远程镜像VLAN。

表1-2 配置远程源镜像组
操作命令说明
进入系统视图system-view-
创建远程源镜像组mirroring-group group-id remote
-source
必选
为镜像组配置源端口在系统视图下配
置源端口
mirroring-group group-id mirrori
ng-port mirroring-port-list { both |
inbound | outbound }
二者必选其一
用户可以在系统视图下
同时配置多个源端口，
也可以在具体的端口视
图下配置源端口，两种
视图下的配置效果相同在端口视图下配
置源端口
interface interface-type interface-
number
[ mirroring-group group-id ] mirr
oring-port { both | inbound | outb
ound }
quit
为镜像组配置出端口在系统视图下配
置出端口
mirroring-group group-id monito
r-egress monitor-egress-port-id
二者必选其一
两种视图下的配置效果
相同
在端口视图下配
置出端口
interface interface-type interface-
number
mirroring-group group-id monito
r-egress
quit
为镜像组配置远程镜像VLAN mirroring-group group-id remote
-probe vlan rprobe-vlan-id
必选
& 说明：
l远程源镜像组的所有端口都属于同一台设备，一个远程源镜像组只能配置一个出端口。

l出端口不能为现有镜像组的成员端口。

l建议用户不要将源端口加入到远程镜像VLAN，远程镜像VLAN不用做其他用途，仅用于远程镜像功能。

l建议用户不要在出端口上配置下列功能：STP、RSTP、MSTP、802.1x、IGMP Snooping、静态ARP和MAC地址学习功能，否则可能会影响镜像功能的正常使用。

l配置远程镜像VLAN时，要求该VLAN为静态VLAN并预先创建。

被配置成远程镜像VLAN后，该VLAN不能直接删除，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。

如果镜像组生效后，远程镜像VLAN被取消，那么该镜像组将失效。

l一个端口只能加入到一个镜像组；一个VLAN只能被一个镜像组使用。

1.3.2 配置远程目的镜像组
远程目的镜像组需要配置远程镜像VLAN和目的端口。

表1-3 配置远程目的镜像组
操作命令说明
进入系统视图system-view-
创建远程目的镜像组mirroring-group group-id remote-de
stination
必选
为镜像组配置远程镜像VLAN mirroring-group group-id remote-pro
be vlan rprobe-vlan-id
必选
为镜像组配置目的端口在系统视图下配
置目的端口
mirroring-group group-id monitor-po
rt monitor-port-id
二者必选其一
两种视图下的配置
效果相同
在端口视图下配
置目的端口
interface interface-type interface-nu
mber
[ mirroring-group group-id ] monitor-
port
quit
进入目的端口视图interface interface-type interface-nu
mber
-
将目的端口加入远程镜像VLAN 目的端口为Acce
ss端口
port access vlan rprobe-vlan-id三者必选其一
目的端口为Trun
k端口
port trunk permit vlan rprobe-vlan-id
目的端口为Hybr
id端口
port hybrid vlan rprobe-vlan-id { tagg
ed | untagged }
& 说明：
l远程镜像目的端口不能是现有镜像组的成员端口。

l远程镜像目的端口可以为Access、Trunk或Hybrid端口，远程镜像目的端口必须加入到远程镜像VLAN中。

l一个端口只能加入到一个镜像组；一个VLAN只能被一个镜像组使用。

l建议用户不要在远程镜像目的端口上使能STP、RSTP或MSTP，否则可能会影响镜像功能的正常使用。

l建议远程镜像目的端口不用做其他用途，仅用于远程端口镜像。

l配置远程镜像VLAN时，要求该VLAN为静态VLAN并预先创建。

被配置成远程镜像VLAN后，该VLAN不能直接删除，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。

如果镜像组生效后，远程镜像VLAN被取消，那么该镜像组将失效。

1.4 端口镜像显示
在完成上述配置后，在任意视图下执行display命令可以显示配置后镜像组的运行情况，通过查看显示信息验证配置的效果。

表1-4 端口镜像显示
操作命令
显示端口镜像组的配置信息display mirroring-group { group-id | all | local | remote-des
tination | remote-source }
1.5 端口镜像典型配置举例
1.5.1 本地端口镜像配置举例
1. 组网需求
某公司内部通过交换机实现各部门之间的互连，网络环境描述如下：
l研发部通过端口Ethernet 2/0/1接入Switch C；
l市场部通过端口Ethernet 2/0/2接入Switch C；
l数据监测设备连接在Switch C的Ethernet 2/0/3端口上。

网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。

使用本地端口镜像功能实现该需求，在Switch C上进行如下配置：
l端口Ethernet 2/0/1和Ethernet 2/0/2为镜像源端口；
l连接数据监测设备的端口Ethernet 2/0/3为镜像目的端口。

2. 组网图
图1-3 配置本地端口镜像组网图
3. 配置步骤
配置Switch C：
# 创建本地镜像组。

<SwitchC> system-view
[SwitchC] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口。

[SwitchC] mirroring-group 1 mirroring-port Ethernet 2/0/1 Ethernet 2/0/2 both
[SwitchC] mirroring-group 1 monitor-port Ethernet 2/0/3
# 显示所有镜像组的配置信息。

[SwitchC] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
Ethernet2/0/1 both
Ethernet2/0/2 both
monitor port: Ethernet2/0/3
配置完成后，用户就可以在数据监测设备上监控研发部和市场部收发的所有报文。

1.5.2 远程端口镜像配置举例
1. 组网需求
某公司内部通过交换机实现各部门之间的互连，网络环境描述如下：
l部门1通过端口Ethernet 2/0/1接入Switch A；
l部门2通过端口Ethernet 2/0/2接入Switch A；
l Switch A的端口Ethernet 2/0/3和Switch B的端口Ethernet 2/0/1相连；
l Switch B的端口Ethernet 2/0/2和Switch C的端口Ethernet 2/0/1相连；
l数据监测设备连接在Switch C的Ethernet 2/0/2端口上。

网络管理员希望通过数据监测设备对部门1和部门2发送的报文进行监控。

使用远程端口镜像功能实现该需求，进行如下配置：
l Switch A充当源设备，Switch B充当中间设备，Switch C充当目的设备；
l在Switch A上配置远程源镜像组，定义VLAN 2为远程镜像VLAN，端口Ethernet 2/0/1和Ethernet 2/0/2为镜像源端口，端口Ethernet 2/0/3为出端口；
l配置Switch A的端口Ethernet 2/0/3、Switch B的端口Ethernet 2/0/1和Ethernet 2/0/2、Switch C的端口Ethernet 2/0/1的端口类型为Trunk端口，并且都允许VLAN 2的报文通过；
l在Switch C上配置远程目的镜像组，定义VLAN 2为远程镜像VLAN，连接数据监测设备的端口Ethernet 2/0/2为镜像目的端口。

2. 组网图
图1-4 配置远程端口镜像组网图
3. 配置步骤
(1)配置Switch A：
# 创建远程源镜像组。

<SwitchA> system-view
[SwitchA] mirroring-group 1 remote-source
# 创建VLAN 2。

[SwitchA] vlan 2
[SwitchA-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和出端口。

[SwitchA] mirroring-group 1 remote-probe vlan 2
[SwitchA] mirroring-group 1 mirroring-port Ethernet 2/0/1 Ethernet 2/0/2 inbound [SwitchA] mirroring-group 1 monitor-egress Ethernet 2/0/3
# 配置端口Ethernet 2/0/3的端口类型为Trunk端口，允许VLAN 2的报文通过。

[SwitchA] interface Ethernet 2/0/3
[SwitchA-Ethernet2/0/3] port link-type trunk
[SwitchA-Ethernet2/0/3] port trunk permit vlan 2
(2)配置Switch B：
# 配置端口Ethernet 2/0/1的端口类型为Trunk端口，允许VLAN 2的报文通过。

<SwitchB> system-view
[SwitchB] interface Ethernet 2/0/1
[SwitchB-Ethernet2/0/1] port link-type trunk
[SwitchB-Ethernet2/0/1] port trunk permit vlan 2
[SwitchB-Ethernet2/0/1] quit
# 配置端口Ethernet 2/0/2的端口类型为Trunk端口，允许VLAN 2的报文通过。

[SwitchB] interface Ethernet 2/0/2
[SwitchB-Ethernet2/0/2] port link-type trunk
[SwitchB-Ethernet2/0/2] port trunk permit vlan 2
(3)配置Switch C：
# 配置端口Ethernet 2/0/1的端口类型为Trunk端口，允许VLAN 2的报文通过。

<SwitchC> system-view
[SwitchC] interface Ethernet 2/0/1
[SwitchC-Ethernet2/0/1] port link-type trunk
[SwitchC-Ethernet2/0/1] port trunk permit vlan 2
[SwitchC-Ethernet2/0/1] quit
# 创建远程目的镜像组。

[SwitchC] mirroring-group 1 remote-destination
# 创建VLAN 2。

[SwitchC] vlan 2
[SwitchC-vlan2] quit
# 为远程目的镜像组配置远程镜像VLAN和目的端口。

[SwitchC] mirroring-group 1 remote-probe vlan 2
[SwitchC] mirroring-group 1 monitor-port Ethernet 2/0/2
[SwitchC] interface Ethernet 2/0/2
[SwitchC-Ethernet2/0/2] port access vlan 2
配置完成后，用户就可以在数据监测设备上监控部门1和部门2发送的所有报文。