华为NE40E端口镜像

华为交换机做镜像端口和删除的方法是什么交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

华为交换机有端口镜像功能，想要配置端口镜像或者删除端口镜像，该怎么实现呢》下面我们就来看看详细的教程，很简单，需要的朋友可以参考下下面我们就来看看详细的教程。

1、配置端口对端口镜像。

将镜像端口GE0/0/2入方向的报文(即接收到的报文)复制到观察端口GE0/0/1上，GE0/0/1与监控设备直连。

2、一个端口对应多个镜像口。

将镜像端口GE0/0/4入方向的报文(即接收到的报文)复制到观察端口GE0/0/1～GE0/0/3上，GE0/0/1～GE0/0/3与监控设备直连。

3、对于一个端口对应多个镜像端口我们也可以这样配置，不过需要版本支持。

4、多个镜像端口对应一个端口。

将镜像端口GE0/0/1～GE0/0/3入方向的报文(即接收到的报文)复制到观察端口GE0/0/10上，GE0/0/10与监控设备直连。

5、删除端口镜像。

在镜像端口下执行命令undo port-mirroring，删除观察端口与镜像端口的绑定关系，恢复镜像端口为普通端口。

6、在系统视图下执行命令undo observe-port，删除观察端口。

相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层广播，即冲突域;但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。

关于本章本章描述内容如下表所示。

2.1 简介镜像是在不影响原有转发的情况下将网络中当前节点通过的报文复制一份到指定的观测端口。

用户可以根据需要定义被镜像的端口号，然后将报文分析设备与观测端口相连，进行流量观测。

根据复制报文满足的条件，镜像分为端口镜像和流镜像两种：●端口镜像：指将镜像端口接收或发送的报文完整地复制输出到指定的观测端口。

●流镜像：将镜像与流分类相结合，只复制满足特定条件的报文，为报文分析提供更精细的控制，为报文分析设备过滤不关心的报文，提高报文分析设备的工作效率。

根据复制报文的方向，镜像又可分为入（上行）镜像和出（下行）镜像两种：●上行镜像：指将镜像端口接收到的全部报文或满足特定流分类条件的报文完整地复制输出到指定的观测端口。

●下行镜像：指将镜像端口即将发送出的全部报文或满足特定流分类条件的报文完整地复制输出到指定的观测端口。

目前，NE40E既支持上行端口/流镜像又支持下行端口/流镜像。

镜像的典型组网环境如图2-1所示。

图2-1 镜像组网示意图在NE40E上配置镜像功能时，需要注意：●对帧不进行过滤或修改。

在输入侧，帧在去掉帧头之前被镜像；而在输出侧，帧在修改之后被镜像。

●观测端口不能再作为业务口使用。

●NE40E支持不同类型接口之间的镜像，即支持GE接口与POS接口之间的相互镜像。

但由于不同类型接口的报文封装格式不一致，因此在解析报文时会出现误差，从而导致出现观测端口的接口计数统计错误。

●在NE40E上配置下行镜像时，观测端口与镜像端口必须在同一接口板上，即不支持跨板镜像。

●NE40E只支持GE接口作为观测端口。

●在配置下行镜像时，如果报文的长度超过观测接口的MTU值，该报文不能被镜像；对于上行镜像，则没有该限制。

2.2 配置基于端口的流量镜像2.2.1 建立配置任务应用环境在网络运行过程中，要对网络设备的端口状况进行观测及分析，直接对每个端口进行操作，比较繁琐。

通过配置基于端口的流量镜像，可以方便灵活地实施观测。

把G6/0/0的数据镜像到G1/1/0端口双方向interface G1/1/0port-observing observe-index 1slot 6mirror to observe-index 1interface G6/0/0port-mirroring inboundport-mirroring outbound配置本地端口镜像示例组网需求研发部和市场部通过接口 GE1/0/1、GE1/0/2接入S9300。

一台数据检测设备Server接在S9300 的接口 GE1/0/3上。

要求借助本地端口镜像功能来实现Server对研发部和市场部收发报文的监控。

绢网如图1所示。

图1本地端口镜像配置组网图配置采用如下的思路配置本地端口镜像功能：1.将接口 GE1/0/3配置为观察接口。

2.在接口 GE1/0/1和GE1/0/2配置为镜像接口。

数据准备为完成此配置例，需准备如下的数据:•观察接口的接口类型和编号。

•镜像接口的接口类型和编号。

•观察接口的索引号为1操作步骤1.配置各接口，使各主机间路由可达。

#创建 VLAN1、2、3，并将接口 GE1/0/1、GE1/0/2、GE1/0/3 分别加入 VLAN 1、2、3。

2.配置本地观察接口#在S9300上配置端口 GE1/0/3为本地观察接口。

3.配置本地镜像接口#在S9300上配置GE1/0/1为本地镜像接口，以监控财经部收发的报文。

#在S9300上配置GE1/0/2为本地镜像接口，以监控采购部收发的报文。

4.#查看镜像接口的配置情况。

#查看接口 GE1/0/1、GE1/0/2和GE1/0/3的报文计数，可以看到接口 GE1/0/3的报文计数为接口 GE1/0/1与接口 GE1/0/2的报文计数之和，或者通过Server可以看到接口 GE1/0/1和GE1/0/2收发的所有报文，说明接口 GE1/0/1和GE1/0/2上的报文已经被S9300镜像过来。

华为交换机端口镜像配置华为交换机端口镜像配置S3000的操作手册上有，如果没有手册的朋友，请看下面#配置镜像端口monitor-port { interface_type interface_num | interface_name }#配置被镜像端口port mirror { interface_type interface_ num | interface_name } [ to { inter face_type interface_ num | interface_name } ] #你也可以用下面命令，同上面两条的功能port mirror interface_list1 observing-port { interface_type interface_ num | interface_name }如果看不懂，请看下面的3.1.1 display mirror【命令】display mirror【视图】所有视图【参数】无【描述】display mirror命令用来显示镜像端口内容。

相关配置可参考命令monitor-port，port mirror。

【举例】# 显示镜像端口内容。

[Quidway] display mirrorInformation about monitor port(s)The observing port : Ethernet0/1The monitored ports:Ethernet0/2 Ethernet0/3 Ethernet0/4 Ethernet0/5 Ethernet0/6表3-1 端口镜像显示信息描述表域名描述The observing port 镜像端口The monitored ports 被镜像端口列表3.1.2 monitor-port【命令】monitor-port { interface_type interface_num | interface_name }undo monitor-port { interface_type interface_num | interface_name }【视图】系统视图【参数】interface_name：指定镜像端口名，表示方式为interface_name= interface_type interfac e_num。

常见镜像操作为了方便对一个或多个网络接口的流量进行分析（如IDS产品、网络分析仪等），可以通过配置交换机或路由器来把一个或多个端口（VLAN）的数据转发到某一个端口，即端口镜像，来实现对网络的监听。

端口镜像功能是对网络流量监控的一个有效的安全手段，对监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。

一、配置观察端口配置任何一种镜像功能，都需要先配置观察端口，可单一配置，可批量配置。

配置单个观察端口：本地观察端口，及观察端口与监控设备直连<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 vlan 10批量配置观察端口本地观察端口，及观察端口与监控设备直连<HUAWEI>system-viewgigabitethernet 1/0/3二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface-range gigabitethernet 1/0/1 to gigabitethernet 1/0/3 vlan 10二、配置镜像端口1、1端口镜像将一个镜像端口的报文复制到一个观察端口上。

例如：将镜像端口g2/0/1入方向的报文复制到观察端口g1/0/1上，g1/0/1与监控设备直连。

<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 [HUAWEI]interface gigabitethernet 2/0/1[HUAWEI-GigabitEthernet2/0/1]port-mirroring to observer-port 1 inbound2、N端口镜像将一个镜像端口的报文复制到N个不同的观察端口上。

关于本章本章描述内容如下表所示。

2.1 简介镜像是在不影响原有转发的情况下将网络中当前节点通过的报文复制一份到指定的观测端口。

用户可以根据需要定义被镜像的端口号，然后将报文分析设备与观测端口相连，进行流量观测。

根据复制报文满足的条件，镜像分为端口镜像和流镜像两种：●端口镜像：指将镜像端口接收或发送的报文完整地复制输出到指定的观测端口。

●流镜像：将镜像与流分类相结合，只复制满足特定条件的报文，为报文分析提供更精细的控制，为报文分析设备过滤不关心的报文，提高报文分析设备的工作效率。

根据复制报文的方向，镜像又可分为入（上行）镜像和出（下行）镜像两种：●上行镜像：指将镜像端口接收到的全部报文或满足特定流分类条件的报文完整地复制输出到指定的观测端口。

●下行镜像：指将镜像端口即将发送出的全部报文或满足特定流分类条件的报文完整地复制输出到指定的观测端口。

目前，NE40E既支持上行端口/流镜像又支持下行端口/流镜像。

镜像的典型组网环境如图2-1所示。

图2-1 镜像组网示意图在NE40E上配置镜像功能时，需要注意：●对帧不进行过滤或修改。

在输入侧，帧在去掉帧头之前被镜像；而在输出侧，帧在修改之后被镜像。

●观测端口不能再作为业务口使用。

●NE40E支持不同类型接口之间的镜像，即支持GE接口与POS接口之间的相互镜像。

但由于不同类型接口的报文封装格式不一致，因此在解析报文时会出现误差，从而导致出现观测端口的接口计数统计错误。

●在NE40E上配置下行镜像时，观测端口与镜像端口必须在同一接口板上，即不支持跨板镜像。

●NE40E只支持GE接口作为观测端口。

●在配置下行镜像时，如果报文的长度超过观测接口的MTU值，该报文不能被镜像；对于上行镜像，则没有该限制。

2.2 配置基于端口的流量镜像2.2.1 建立配置任务应用环境在网络运行过程中，要对网络设备的端口状况进行观测及分析，直接对每个端口进行操作，比较繁琐。

通过配置基于端口的流量镜像，可以方便灵活地实施观测。

华为交换机-端口镜像命令(20)2009-02-08 01:10:48| 分类：路由相关|字号订阅Quidway S3500-EA系列以太网交换机命令手册端口镜像目录目录第1章端口镜像配置命令.......................................................................................................1-1 1.1 端口镜像配置命令.............................................................................................................. 1-1 1.1.1 display mirroring-group ........................................................................................... 1-11.1.2 mirroring-group........................................................................................................ 1-21.1.3 mirroring-group mirroring-port ................................................................................. 1-31.1.4 mirroring-group monitor-port ................................................................................... 1-41.1.5 mirroring-group reflector-port .................................................................................. 1-51.1.6 mirroring-group remote-probe vlan ......................................................................... 1-61.1.7 mirroring-port........................................................................................................... 1-71.1.8 monitor-port ............................................................................................................. 1-8Quidway S3500-EA系列以太网交换机命令手册端口镜像第1章端口镜像配置命令第1章端口镜像配置命令1.1 端口镜像配置命令1.1.1 display mirroring-group【命令】display mirroring-group { group-id | local | remote-source |remote-destination | all }【视图】任意视图【参数】group-id：端口镜像组的组号，取值范围为1～2。

华为镜像说明端口镜像详解什么是端口镜像?把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

为什么需要端口镜像 ?通常为了部署 IDS 产品需要监听网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

端口镜像的别名支持端口镜像的交换机大多数中档以上的交换机都支持端口镜像功能，但支持程度不同。

端口镜像配置方法下面是几种交换机的端口镜像配置方法，主要来自于 Talisker Security Wizardry (/) 的 Switch Port Mirroring (/switch.htm)Cisco 交换机特点：Cisco 2900 和 Cisco 3500XL 系列交换机Cisco 2950、Cisco 3550 和 Cisco 3750 系列交换机Cisco catylist 2550 Cisco catylist 3550 支持2组monitor session en password config term Switch(config)#monitor session 1 destination interface fast0/4（1为session id，id范围为1－2） Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格，逗号，空格) Switch(config)#exit Switch#copy running-conf startup-conf Switch#show port-monitorCisco 5000 系列交换机使用 CatOS 的 Cisco 4000 和 Cisco 6000 系列交换机使用 IOS 的 Cisco 4000 和 Cisco 6000 系列交换机Extreme 交换机特点：●只能创建多对一或者一对一的镜像端口●可以监听 VLAN 的流量●Extreme 会镜像 IN 和 OUT 的流量。

华为交换机端口镜像配置一、说明『环境配置参数』1. PC1接在交换机E0/1端口，IP地址1.1.1.1/242. PC2接在交换机E0/2端口，IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2.按照镜像的不同方式进行配置：1)基于端口的镜像2)基于流的镜像二、数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像（观测）端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1.假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/152.设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像（观测）端口[SwitchA] port monitor ethernet 1/0/152.设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

session 1 概述端口镜像原理，将镜像端口的流量复制一份发送到观察端口供观察端口下连的流量分析设备（软件）对复制来的镜像端口的流量进行分析，在华为的SPAN端口镜像中观察端口仍然可以发送和接受数据（思科中观察端口就会停止正常的数据收发，只能观察从镜像端口复制来的流量）。

一、镜像的分类1、端口镜像端口镜像是基于端口的镜像，分为本地端口镜像、二层远程端口镜像、三层远程端口镜像，镜像的流量可以是入向或者出向。

2、流镜像流镜像是基于流的镜像，是根据用户配置的刘策略traffic-class匹配的流量进行镜像，只支持（镜像端口的）入方向，不支持出方向。

流镜像分为本地流镜像、二层远程流镜像、三层远程流镜像。

3、vlan镜像vlan镜像是基于vlan的镜像，是将制定的vlan内的所有活动接口的入方向的流量复制到观察端口，不支持出方向。

vlan镜像分为本地vlan镜像、二层远程vlan镜像。

4、mac地址镜像基于mac地址的镜像，将匹配源或目的的mac地址的入方向的流量复制到观察关口，不支持出方向。

mac地址镜像支持本地mac地址镜像、二层远程mac地址镜像。

session 2 镜像的配置一、端口镜像配置1、本地端口镜像配置[Huawei]observe-port 1 interface g0/0/1 配置一个序列号为1的观察端口g0/0/1[Huawei]interfaceg0/0/2 配置镜像端口[Huawei-GigabitEthernet0/0/2]port-mirroring to observe-port 1both 配置一个镜像端口，将双向流量复制到序列号为1的观察端口[Huawei-GigabitEthernet0/0/2]quit查看端口配置状态[Huawei]display observe-port----------------------------------------------------------------------Index : 1Interface: GigabitEthernet0/0/1Used : 2----------------------------------------------------------------------[Huawei][Huawei]display port-mirroringPort-mirror:----------------------------------------------------------------------Mirror-port Direction Observe-port----------------------------------------------------------------------GigabitEthernet0/0/2 Both GigabitEthernet0/0/1----------------------------------------------------------------------[Huawei]2、二层远程端口镜像端口的二层远程镜像的原理是通过创建一个vlan，将镜像端口的流量复制到观察端口中，观察端口在该vlan中进行广播，通过vlan的广播将复制的流量发送到监控设备连接的端口上，进行监控。

一、端口镜像概念：Port Mirror(端口镜像）是用于进行网络性能监测。

可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置『环境配置参数』1. PC1接在交换机E0/1端口，IP地址1.1.1.1/242. PC2接在交换机E0/2端口，IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不同方式进行配置：1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像（观测）端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像（观测）端口[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

湖北电信城域网SR路由器华为NE40E设备配置规范中国电信湖北分公司2011年7月版本更新说明V1.0版本为文档定稿版，后期的版本为修订版，版本的序号为《湖北电信城域网SR路由器华为NE40E-X16设备配置规范-VX.X-YYYYMMDD》，修订说明填写在“主要更新内容”中。

目录第1章概述 (1)1.1 术语和缩写语表 (1)1.2 网络结构说明 (3)第2章IP城域网网络设备命名及链路描述规范 (4)2.1 设备命名规范 (4)2.1.1适用范围 (4)2.1.2设备命名规范格式 (4)2.2 端口描述规范 (5)2.2.1环回接口描述 (5)2.2.2网络接口描述规范 (6)2.2.3用户端口 (7)2.2.4空闲端口 (8)第3章华为SR设备基本配置规范 (9)3.1 系统基本配置规范 (9)3.1.1设备名称配置 (9)3.1.2Banner配置 (9)3.1.3设备自身时间及NTP (9)3.1.4Telnet配置 (11)3.1.5AAA配置 (13)3.1.6VRF配置 (16)3.1.7系统高可靠性配置 (17)3.2 端口配置规范 (18)3.2.1MTU值设计 (18)3.2.2Loopback接口配置 (18)3.2.3GE接口配置 (18)3.2.4GE子接口接口配置 (21)3.2.5端口镜像配置 (22)3.3 路由协议配置规范 (22)3.3.1城域网路由架构概述 (22)3.3.2路由优先级/管理距离 (23)3.3.3静态路由配置 (23)3.3.4ISIS配置 (24)3.3.5BGP配置 (30)3.4 MPLS标签配置规范 (35)3.4.1MPLS全局配置 (35)3.4.2LDP协议配置 (36)3.5 网管配置 (38)3.5.1SNMP管理代理配置 (38)3.5.2故障管理配置 (40)3.6 Q O S配置规范 (43)3.6.1QOS体系 (43)3.6.2采取的QOS策略 (43)3.6.3配置举例 (44)3.7 组播配置规范 (45)3.7.1组播概述 (45)3.7.2组播配置 (45)第1章概述为保证城域网的运行质量，实现易维护、可管理、集中维护的需要，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。