GM010-ISW-24L-端口镜像配置

GVRP配置目 录第1章 配置GVRP (1)1.1 概述 (1)1.2 配置任务列表 (1)1.2.1 GVRP配置任务列表 (1)1.3GVRP配置任务 (1)1.3.1 全局开启/关闭GVRP (1)1.3.2 端口开启/关闭GVRP (2)1.3.3GVRP的监控与维护 (2)第1章配置 GVRP1.1 概述GVRP（GARP VLAN Registration Protocol GARP VLAN） 是基于GARP（GenericAttribute Registration Protocol）协议的一种具体的应用。

它利用了GARP协议的工作机制维护交换机中的 VLAN 信息，所有支持 GVRP 特性的交换机能够接收来自其他交换机的 VLAN 注册信息，并动态更新本地的 VLAN 注册信息，包括当前的VLAN 成员。

以及这些 VLAN 成员可以通过哪个端口到达等信息。

同时所有支持GVRP特性的交换机能够将本地的 VLAN 注册信息（包括动态VLAN 信息和静态配置的VLAN信息）向其他交换机传播，以达到同一交换网内所有支持GVRP 特性的设备的VLAN 信息一致。

1.2 配置任务列表1.2.1 GVRP配置任务列表l全局开启/关闭GVRPl端口开启/关闭GVRPl GVRP的监控与维护1.3 GVRP配置任务1.3.1 全局开启/关闭GVRP在特权模式下进行下列配置。

命令 操作set gvrp enable 全局开启GVRP。

set gvrp disable 全局关闭GVRP。

缺省开启GVRP功能。

示例：Switch#set gvrp enableSuccessfully enable GVRP protocol.Switch#set gvrp disableSuccessfully disable GVRP protocol.1.3.2 端口开启/关闭GVRP在特权模式下进行下列配置：命令 操作set port port­list|all gvrp enable 开启端口GVRP。

端口物理特性配置目 录第1章 端口物理特性配置 (1)1.1 配置以太网接口 (1)1.1.1 配置端口的双工模式和速率 (1)1.1.2 配置接口流量控制 (1)卓越信通电子（北京）有限公司Transcend Communication Beijing Co.,Ltd第1章 端口物理特性配置1.1 配置以太网接口1.1.1 配置端口的双工模式和速率以太网端口的双工模式和速率既可以通过自协商实现，也可以通过配置实现。

命令 作用set port port­list|all duplexspeedautonegotiate/half­10/full­10/half­100/full­100/full­1000 设置快速以太网端口的双工模式和速率为自 协商或10/100/1000M半全双工。

port­list|all为双工速率接口列表。

show port status [port­id] 查看端口双工模式和速率结果。

port­id为要查看的接口编号。

注：光接口的speed是固定的，如：GE­FX的速率是1000M，而FE­FX的速率是100M。

示例：Switch#set port 1 duplexspeed full­100Successfully set ports' duplex and speed.Switch#show port status 11.1.2 配置接口流量控制在接口为全双工模式时，流量控制通过802.3X定义的PAUSE帧实现；在接口为半双工模式时，通过背压实现。

命令 说明set port port­list|all flow­control enable 打开接口流控。

port­list|all为打开流控接口列表。

set port port­list|all flow­control disable 关闭接口流控。

华为端口镜像配置命令镜像有很多种基于接口的基于VLAN 基于MAC的基于流（ACL）的这里主要介绍基于VLAN的配置基于接口的本地镜像查看接口镜像信息列表display port-mirroring查看观察端口的使用情况display observe-port背景信息配置镜像的接口可以是物理接口，也可以是Eth-Trunk接口。

若镜像端口为Eth-trunk类型，需要预先使用命令interface eth-trunk trunk-id创建Eth-trunk。

若已经配置Eth-trunk为镜像端口，则不能再单独配置其成员接口为镜像端口。

若已经配置Eth-trunk下某成员接口为镜像端口，则不能再配置Eth-trunk为镜像端口。

操作步骤执行命令system-view，进入系统视图。

执行命令observe-port index interface interface-type interface-number配置观察接口。

执行命令interface interface-type interface-number进入镜像接口的接口视图。

执行命令port-mirroring to observe-port index { both | inbound | outbound }配置接口镜像。

当需要同时监控多个接口的入方向或出方向的报文时，可以重复执行步骤3和步骤4。

说明：配置S5300SI和S5300LI设备时，同一个端口的出方向上不能同时配置为观察端口和镜像端口。

例子配置步骤1. 在Switch上创建VLAN，把相应接口以Trunk方式加入VLAN# 将接口Ethernet0/0/1和Ethernet0/0/3以Trunk方式加入同一VLAN。

（以下配置以接口Ethernet0/0/1为例，同理配置接口Ethernet0/0/3）system-view[Switch] vlan 10[Switch-vlan10] quit[Switch] interface ethernet 0/0/1[Switch-Ethernet0/0/1] port link-type trunk[Switch-Ethernet0/0/1] port trunk allow-pass vlan 10[Switch-Ethernet0/0/1] quit2. 配置观察接口# 将Ethernet0/0/24接口配置为观察接口。

STP配置目 录第1章 配置生成树协议（STP） (1)1.1 STP概述 (1)1.2 STP配置任务列表 (1)1.3 STP配置任务 (2)1.3.1 禁用/启动STP (2)1.3.2 禁用/启动端口的STP (2)1.3.3 配置网桥优先级 (3)1.3.4 配置Hello Time (3)1.3.5 配置Max Age (4)1.3.6 配置Forward Delay (4)1.3.7 配置端口优先级 (5)1.3.8 配置端口路径开销 (5)1.3.9 监控STP状态 (6)第1章 配置生成树协议（STP）1.1 STP概述标准的生成树协议（Spanning­Tree Protocol，STP）定义于IEEE 802.1D，它将一个由若干网桥连接组成的局域网拓扑简化为一棵单独的生成树，防止网络环路的产生，保证网络的稳定工作。

生成树算法和协议将任意的桥接局域网配置为简单连接的活动拓扑结构。

在活动拓扑中，有些网桥端口可以转发帧，有些端口则处在阻塞状态而不能转发。

处在阻塞状态的端口也可能被包含在活动拓扑中，当网络中出现设备失效、添加或移出时，它就会转入转发状态。

在生成树拓扑中，一个网桥被认为是根或者根桥（Root）。

对每一个局域网段，都有一个网桥端口负责该网段到根桥的数据转发，该端口被认为是该局域网段的指派端口，而端口所在的网桥被认为是该局域网的指派网桥（Designated Bridge）。

根桥是所有与之连接的局域网段的指派网桥。

在每个网桥的端口中，到根桥最近的端口为该桥的根端口，且只有根端口和指派端口（如果存在）处于转发状态；还有一类端口并没有被关闭掉但是也不是根端口或指派端口，这一类端口为备用端口。

以下参数决定了稳定后的活动拓扑的结构：(1) 每个网桥的唯一标识。

(2) 每个端口的路径开销。

(3) 网桥每个端口的端口标识。

优先级最高（标识符值最小）的网桥将被选为根桥。

网络中每个网桥的端口都有一个根路径开销属性（Root Path Cost），即从根桥到该网桥经历的所有端口的路径开销的和的最小值。

接口配置目 录第1章 接口配置 (1)1.1 监控和维护接口 (1)1.1.1 使能和关闭接口 (1)1.1.2 查看接口状态 (1)第1章 接口配置1.1 监控和维护接口如下任务可以监控和维护接口：l使能和关闭接口l查看接口状态1.1.1 使能和关闭接口一个接口可被禁止使用，从而禁止使用在指定接口上的所有功能，并且在所有监控命令显示上将此接口标记为不可用接口。

使用如下命令来关闭接口，然后重新启动它：命令 目的set port port­list|all enable 使能指定的端口，使该端口进行正常的转发。

port­list|all为被使能端口列表。

set port port­list|all disable 关闭指定的端口，使该端口不能进行正常的转发。

port­list|all为被关闭端口列表。

想检查一个接口是否被停用，可以使用命令show running。

示例：Switch#set port 1 enableSuccessfully openup port(s).Switch#set port 1 disableSuccessfully shutdown port(s).1.1.2 查看接口状态下面的表格列出一部分接口监控命令。

参见这些命令在“接口配置命令”中的描述。

使用如下命令：命令 目的show port status [port­id] 显示接口状态。

port­id：接口编号。

示例：Switch#show port status 1Fast Ethernet 1 is down.Auto­duplex unknown.Mirror (none).STP (disabled).Port stp cost: 100,port stp priority: 128.0 Octets.0 Pkts,0 Octets.0 MulticastPkts,0 CRCAlignErrors.0 UndersizePkts,0 OversizePkts.0 Fragments,0 Jabbers.0 Collisions,0 Pkts64Octets.0 Pkts65to127Octets,0 Pkts128to255Octets.0 Pkts256to511Octets,0 Pkts512to1023Octets.0 Pkts1024to1518Octets.。

常见镜像操作为了方便对一个或多个网络接口的流量进行分析（如IDS产品、网络分析仪等），可以通过配置交换机或路由器来把一个或多个端口（VLAN）的数据转发到某一个端口，即端口镜像，来实现对网络的监听。

端口镜像功能是对网络流量监控的一个有效的安全手段，对监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。

一、配置观察端口配置任何一种镜像功能，都需要先配置观察端口，可单一配置，可批量配置。

配置单个观察端口：本地观察端口，及观察端口与监控设备直连<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 vlan 10批量配置观察端口本地观察端口，及观察端口与监控设备直连<HUAWEI>system-viewgigabitethernet 1/0/3二层远程观察端口，即通过二层设备转发镜像报文<HUAWEI>system-view[HUAWEI]observer-port 1 interface-range gigabitethernet 1/0/1 to gigabitethernet 1/0/3 vlan 10二、配置镜像端口1、1端口镜像将一个镜像端口的报文复制到一个观察端口上。

例如：将镜像端口g2/0/1入方向的报文复制到观察端口g1/0/1上，g1/0/1与监控设备直连。

<HUAWEI>system-view[HUAWEI]observer-port 1 interface gigabitethernet 1/0/1 [HUAWEI]interface gigabitethernet 2/0/1[HUAWEI-GigabitEthernet2/0/1]port-mirroring to observer-port 1 inbound2、N端口镜像将一个镜像端口的报文复制到N个不同的观察端口上。

配置准备目 录第1章 配置准备 (1)1.1 交换机端口编号 (1)1.2 启动交换机之前 (1)1.3 获得帮助 (1)1.4 命令模式 (2)1.5 撤销命令 (2)1.6 保存配置 (2)1.7 重启交换机 (3)1.8 恢复出厂 (3)第1章 配置准备本文档主要描述了您在第一次配置交换机时需要熟悉的信息，包括端口编号、启动交换机之前需要的工作以及命令行界面介绍。

l交换机的端口编号l启动交换机之前l获得帮助l命令模式l撤销命令l保存配置l重启交换机l恢复出厂1.1 交换机端口编号交换机物理端口的编号从 1­26，固化端口从上至下，从左到右依次从 1 开始编号。

扩展槽依照自左至右的次序从25开始编号。

注：端口编号由上至下，从左至右按顺序依次编号。

1.2 启动交换机之前在你打开交换机电源开始配置之前，请确认以下几步：(1) 按照手册的要求设置好交换机的硬件。

(2) 配置PC终端仿真程序。

(3) 对于IP网络协议，首先决定IP地址规划。

1.3 获得帮助使用问号（？）和方向键，可以帮助您输入命令：l输入一个问号，获得当前可用的命令列表Switch> ?l输入若干已知字符，紧接着输入问号（无空格），显示当前可用的已知字符开头的 命令列表。

Switch> s?l输入命令，紧跟空格和问号，获得命令参数列表Switch> show ?l按下 up 方向键，可显示以前输入的命令。

您可以继续按 up 方向键获得更多的命 令。

按过up方向键以后，按down键，可显示当前显示命令的下一条输入命令。

1.4 命令模式交换机命令行界面可分为多种模式。

每种命令模式允许你在交换机上配置不同的组件，当前可用的命令取决于您所处的命令模式。

输入问号（？）可以在每种命令模式下显示可用的命令列表。

下表列出了常用的命令模式：命令模式 进入方式 界面提示符 退出方式特权模式 登录 Switch# 用exit命令VLAN模式 在特权模式下输入vlan命令 Switch(vlan)# 用exit或abort命令详见《VLAN配置》全局配置模式 在 特权 模式下输入configure命令 Switch(config)# 用exit或者Ctrl­z命令直接退回到管理模式。

华为交换机-端口镜像命令(20)2009-02-08 01:10:48| 分类：路由相关|字号订阅Quidway S3500-EA系列以太网交换机命令手册端口镜像目录目录第1章端口镜像配置命令.......................................................................................................1-1 1.1 端口镜像配置命令.............................................................................................................. 1-1 1.1.1 display mirroring-group ........................................................................................... 1-11.1.2 mirroring-group........................................................................................................ 1-21.1.3 mirroring-group mirroring-port ................................................................................. 1-31.1.4 mirroring-group monitor-port ................................................................................... 1-41.1.5 mirroring-group reflector-port .................................................................................. 1-51.1.6 mirroring-group remote-probe vlan ......................................................................... 1-61.1.7 mirroring-port........................................................................................................... 1-71.1.8 monitor-port ............................................................................................................. 1-8Quidway S3500-EA系列以太网交换机命令手册端口镜像第1章端口镜像配置命令第1章端口镜像配置命令1.1 端口镜像配置命令1.1.1 display mirroring-group【命令】display mirroring-group { group-id | local | remote-source |remote-destination | all }【视图】任意视图【参数】group-id：端口镜像组的组号，取值范围为1～2。

一、端口镜像概念：Port Mirror（端口镜像）是用于进行网络性能监测。

可以这样理解：在端口A和端口B之间建立镜像关系，这样，通过端口A传输的数据将同时复制到端口B，以便于在端口B上连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置『环境配置参数』1.PC1接在交换机E0/1端口，IP地址1.1.1.1/242.PC2接在交换机E0/2端口，IP地址2.2.2.2/243.E0/24为交换机上行端口4.Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2.按照镜像的不同方式进行配置：1）基于端口的镜像2）基于流的镜像2数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1.配置镜像（观测）端口[SwitchA]monitor-port e0/82.配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1.可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1.假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/152.设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1.设置E1/0/15和E2/0/0为镜像（观测）端口[SwitchA] port monitor ethernet 1/0/152.设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

端口聚合配置目 录第1章 配置端口聚合 (1)1.1 概述 (1)1.2 端口聚合配置任务列表 (1)1.3 端口聚合配置任务 (1)1.3.1 禁用/启用端口聚合 (1)1.3.2 物理端口的聚合 (2)1.3.3 选择端口聚合后的流量均衡方式 (3)1.3.4 监控端口聚合的具体情况 (4)第1章 配置端口聚合本章中端口聚合配置任务描述了如何配置交换机的端口聚合。

1.1 概述端口聚合，即将几个属性相同的物理端口聚合绑定到一起形成一个逻辑上的通道。

端口的聚合方式可以是将几个物理端口静态的聚合到一起而不管与这些物理端口相连的端口是否符合聚合的条件；而使用 LACP 协议进行聚合时，端口的聚合必须在与端口相连的对端和本端口都协商通过之后，端口才会聚合为一个逻辑通道。

交换机提供的端口聚合支持以下的运行模式和功能：l支持静态的聚合控制将物理端口配置为捆绑到一个逻辑端口后， 不去关心这些物理端口是否可以捆绑到一个逻辑端口，强制的认为这些端口可以捆绑到一个逻辑端口。

l支持LACP动态协商的聚合控制将物理端口配置为捆绑到一个逻辑端口后，通过 LACP 协议协商的物理端口才可以捆绑到一个逻辑端口，其它端口不会捆绑到该逻辑端口。

l支持端口聚合的流量平衡端口聚合后，聚合端口的数据流量分配到各个被聚合的物理端口上。

1.2 端口聚合配置任务列表l禁用/启用端口聚合l物理端口的聚合l选择端口聚合后的流量均衡方式l监控端口聚合的具体情况1.3 端口聚合配置任务1.3.1 禁用/启用端口聚合在特权模式下使用下面的命令配置逻辑通道：命令 目的set port port­list|all trunk enable 启用端口聚合。

port­list|all为启用端口聚合接口列表。

set port port­list|all trunk disable 禁用启用端口聚合。

port­list|all为禁用端口聚合接口列表。

罗杰康（RuggedCom）1.用IE浏览器登陆交换机，交换机出厂默认IP为192.168.0.1，用户名为admin，密码为admin，截图如下：2.交换机登陆进去后界面如下：3.选择第二个菜单“Ethernet Ports”如下：4.然后选择“Configure Port Mirroring”，如下：Enabled为功能总开关，Source Ports Egr为出交换机的端口，Source Ports Ingr为进交换机的端口，Target Port为镜像端口，镜像端口只能有一个。

下面举例子来简要说明镜像端口的使用：后台接端口1，PCS-931接端口2，PCS-902接端口3，PCS-943接端口4，PCS-941接端口5，PCS-915接端口13，PCS-978接端口14，PCS-923接端口15，网络分析仪接端口18.首先将功能开启，即Port Mirroring的参数设置为Enabled若需要镜像上述所有装置与后台之间的报文到网络分析仪，则设置如下：Source Ports Egr ：1Source Ports Ingr ：1Target Port ：18若只需要镜像PCS-931、PCS-902、PCS-943、PCS-941、PCS-915与后台之间的所有报文到网络分析仪，则设置如下：Source Ports Egr ：2-5,13Source Ports Ingr ：2-5,13Target Port ：18若只需要镜像PCS-931、PCS-902、PCS-943、PCS-941、PCS-915发给后台的报文到网络分析仪，则设置如下：Source Ports Egr ：NoneSource Ports Ingr ：2-5,13Target Port ：18若只需要镜像后台发给PCS-931、PCS-902、PCS-943、PCS-941、PCS-915的报文到网络分析仪，则设置如下：Source Ports Egr ：2-5,13Source Ports Ingr ：NoneTarget Port ：18赫斯曼（Hirschmann）1.赫斯曼交换机出厂默认IP为0.0.0.0，需要用HiDiscovery软件（该软件在随机光盘里面有）连接交换机并设定交换机的IP地址，如下双击ID栏弹出如下对话框，设定交换机IP地址及子网掩码，然后点击“保存为缺省”，再点“OK”即可。

QoS功能配置目 录第1章 QoS配置 (1)1.1QoS概述 (1)1.1.1 QoS概念 (1)1.1.2 端对端QoS模型 (1)1.1.3 QoS的各种队列算法 (2)1.2QoS配置任务列表 (2)1.3 QoS配置任务 (3)1.3.1 配置交换机端口信任状态 (3)1.3.2 配置DSCP映射队列 (3)1.3.3 配置CoS优先级队列调度策略 (4)1.3.4 配置端口的缺省CoS值 (4)1.3.5 配置cos优先级队列权重 (5)第1章 QoS 配置如果您关心如何充分使用您的线路带宽，以及如何更有效的利用您的网络资源，那么服务质量的配置将可能满足您的需求。

1.1 QoS概述1.1.1 QoS概念通常情况下，交换机工作在尽力而为服务模式（Best­Effort served），在这种工作模式下，交换机平等的对待所有的流，竭尽全力来投递所有的流；这样，如果发生了拥塞，所有的流被丢弃的机率是相同的。

但是在实际的网络中，不同的流的重要性是不同的，交换机QoS功能可以根据流的重要程度对不同的流提供不同的服务，使得比较重要的流得到较好的服务。

如何来划分流的重要性，目前的网络上有两种主要的划分方法：l根据802.1Q帧头中标签（Tag），该标签长度为两个字节，其中最高位的3个比特 用来表示报文的优先级，总共有8个优先级，0为最低优先级，7为最高优先级。

l根据IP报文中IP头部的DSCP字段，该字段使用IP头中TOS域的低6个比特。

在实际的网络应用中，由边缘的交换机根据流的重要性为不同的流分配不同的优先级，其它的所有交换机根据流的优先级信息来为不同优先级的流提供不同的服务，这样就实现了端到端的QoS服务。

另外，还可以对网络中的某一台交换机进行配置，使得它对具有特定特征（根据报文的MAC层、三层信息等等）的报文做特定的处理，这样的行为称为一跳行为。

交换机的QoS功能，将使得有限的网络带宽得到最有效的使用，从而大大提高网络的整体性能。

端口附加特性配置目 录第1章 端口附加特性配置 (1)1.1 端口附加特性配置 (1)1.1.1 配置端口隔离功能 (1)1.1.2 配置端口广播风暴控制功能 (1)1.1.3 配置端口流量速率限制 (2)1.1.4 配置MAC地址的绑定 (3)1.1.5 配置MAC地址老化时间 (5)1.1.6 显示MAC地址表 (5)第1章 端口附加特性配置1.1 端口附加特性配置1.1.1 配置端口隔离功能在正常情况下，交换机的不同端口间的数据包能够自由的转发。

在某些情况下，需要禁止端口之间的数据流，端口隔离功能就是提供这种控制的，设置隔离功能的端口之间不能够再有数据包通信，其它没有隔离的端口之间以及隔离端口和未隔离端口之间的数据包仍然能够正常转发。

进入特权模式下使用下面的命令进行端口隔离控制。

命令 说明set port port­list|all protected 设置端口隔离 。

port­list|all为要端口隔离的接口列表no set port port­list|all protected 取消端口隔离 。

port­list|all为要端口隔离的接口列表show port protected 查看端口广播隔离控制的结果示例：Switch#set port 1 protectedSuccessfully set port(s) protected mode enable.Switch#no set port 1 protectedSuccessfully set port(s) protected mode disable.Switch#show port protectedPort Protected1 enable2 disable1.1.2 配置端口广播风暴控制功能交换机端口可能受到持续的、异常的广播报文的冲击，造成交换机端口甚至整个交换机的瘫痪。

为此，必须提供一种机制来抑制这种现象。

华为交换机端口镜像配置一、说明『环境配置参数』1. PC1接在交换机E0/1端口，IP地址1.1.1.1/242. PC2接在交换机E0/2端口，IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2.按照镜像的不同方式进行配置：1)基于端口的镜像2)基于流的镜像二、数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像（观测）端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1.假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/152.设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像（观测）端口[SwitchA] port monitor ethernet 1/0/152.设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

session 1 概述端口镜像原理，将镜像端口的流量复制一份发送到观察端口供观察端口下连的流量分析设备（软件）对复制来的镜像端口的流量进行分析，在华为的SPAN端口镜像中观察端口仍然可以发送和接受数据（思科中观察端口就会停止正常的数据收发，只能观察从镜像端口复制来的流量）。

一、镜像的分类1、端口镜像端口镜像是基于端口的镜像，分为本地端口镜像、二层远程端口镜像、三层远程端口镜像，镜像的流量可以是入向或者出向。

2、流镜像流镜像是基于流的镜像，是根据用户配置的刘策略traffic-class匹配的流量进行镜像，只支持（镜像端口的）入方向，不支持出方向。

流镜像分为本地流镜像、二层远程流镜像、三层远程流镜像。

3、vlan镜像vlan镜像是基于vlan的镜像，是将制定的vlan内的所有活动接口的入方向的流量复制到观察端口，不支持出方向。

vlan镜像分为本地vlan镜像、二层远程vlan镜像。

4、mac地址镜像基于mac地址的镜像，将匹配源或目的的mac地址的入方向的流量复制到观察关口，不支持出方向。

mac地址镜像支持本地mac地址镜像、二层远程mac地址镜像。

session 2 镜像的配置一、端口镜像配置1、本地端口镜像配置[Huawei]observe-port 1 interface g0/0/1 配置一个序列号为1的观察端口g0/0/1[Huawei]interfaceg0/0/2 配置镜像端口[Huawei-GigabitEthernet0/0/2]port-mirroring to observe-port 1both 配置一个镜像端口，将双向流量复制到序列号为1的观察端口[Huawei-GigabitEthernet0/0/2]quit查看端口配置状态[Huawei]display observe-port----------------------------------------------------------------------Index : 1Interface: GigabitEthernet0/0/1Used : 2----------------------------------------------------------------------[Huawei][Huawei]display port-mirroringPort-mirror:----------------------------------------------------------------------Mirror-port Direction Observe-port----------------------------------------------------------------------GigabitEthernet0/0/2 Both GigabitEthernet0/0/1----------------------------------------------------------------------[Huawei]2、二层远程端口镜像端口的二层远程镜像的原理是通过创建一个vlan，将镜像端口的流量复制到观察端口中，观察端口在该vlan中进行广播，通过vlan的广播将复制的流量发送到监控设备连接的端口上，进行监控。

1、什么是端口镜像 (2)2、为什么需要端口镜像 (2)3、端口镜像的别名 (2)4、支持端口镜像的交换机 (3)5、各种交换机端口镜像配置 (3)C ISCO CATALYST交换机端口监听配置 (3)CISCO:3550IOS端口映射的举例 (3)C ATALYST 4000/5000/6000系列交换机端口监听配置(基于C AT OS) (4)3COM交换机端口监听配置 (5)DELL交换机端口监听配置 (5)N ET C ORE交换机端口监听配置 (7)I NTEL交换机端口监听配置 (7)A VAYA交换机端口监听配置 (8)港湾交换机的配置 (8)北电交换的设置 (9)华为交换机端口监听配置 (9)HP交换机端口监听配置 (10)E XTREME 交换机 (10)F OUNDRY 交换机 (12)J UNIPER 交换机 (13)1、什么是端口镜像把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

端口镜像（Port Mirroring）可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。

如果您的交换机提供端口镜像功能，则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。

监视到的数据可以通过PC上安装的网络分析软件来查看，通过对数据的分析就可以实时查看被监视端口的情况。

端口镜像选取的设备原则为网络中连接重要服务器群的交换机或路由器，或是连接到网通的出口路由器。

2、为什么需要端口镜像通常为了部署流量分析、IDS等产品需要监听网络流量，但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

3、端口镜像的别名端口镜像通常有以下几种别名：●Port Mirroring通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

●Monitoring Port监控端口●Spanning Port通常指允许把所有端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

端口镜像配置目 录第1章 端口镜像配置 (1)1.1 配置端口镜像任务列表 (1)1.2 配置端口镜像任务 (1)1.2.1 配置端口镜像 (1)1.2.2 显示端口镜像信息 (2)第1章 端口镜像配置1.1 端口镜像配置任务列表l配置端口镜像l显示端口镜像信息1.2 端口镜像配置任务1.2.1 配置端口镜像为了方便对交换机进行管理，可以通过配置端口镜像，使用交换机某一个端口来对流经一组端口的流量进行观察。

进入特权模式下按下列步骤来配置端口镜像：命令 目的set mirror enable 启用端口镜像功能；set mirror disable 禁用端口镜像功能；set mirror port port­list mode none|egress|ingress|all 配置端口镜像源端口。

port­list为镜像源端口列表；none|egress|ingress|all为要镜像的数据流。

none表示取消端口镜像，egress表示镜像输出 数据，ingress表示只镜像输入数据，all表示输 入输出数据。

set mirror monitor port­id 配置端口镜像目标端口。

port­id为镜像目标端口编号。

示例：Switch#set mirror enableSwitch#set mirror disableSwitch#set mirror port 1 mode egressSwitch#set mirror port 1 mode ingressSwitch#set mirror port 1 mode allSwitch#set mirror port 1 mode noneSwitch#set mirror monitor 21.2.2 显示端口镜像信息通过show命令可以显示端口镜像的配置信息。

命令 目的 show port mirror 显示端口镜像信息。

常见的几种交换机端口镜像配置详解端口镜像配置之DELL在交换机管理界面左边的树形菜单中，选中“Switch”（交换机）>>>“Ports”（端口）>>>“PortMirroring”（端口镜像），右边将打开“PortMirroring”（端口镜像）页面。

该页面中的参数解释如下：Add（添加）：添加端口镜像操作DestinationPort（目的地端口）：定义端口通信要镜像到的端口号；SourcePort（源端口）：定义被镜像端口的端口号。

最多可以将8个被镜像端口镜像到一个镜像端口；Type（类型）：指定要镜像的端口通信类型。

可能的字段值包括：“RX”-表示镜像进入网络的数据；“TX”-表示镜像流出网络的数据；Both（）-表示镜像所有数据。

Status（状态）：表示端口的状态。

可能的字段值包括：“Active”-表示端口被启用；“NotActive”-表示端口被禁用。

Remove（删除）：删除端口镜像会话。

可能的字段值包括：“已选取”-删除端口镜像会话；“未选取”-保留端口镜像会话。

具体端口镜像配置：1.在PortMirroring对话框中的DestinationPort中选中目的端口（端口镜像），再单击Add按钮；2.在系统将打开“AddSourcePort”（添加源端口）页面中，定义“SourcePort”（源端口）和“Type”（类型）字段，并单击“ApplyChanges”（应用更改），使系统接收更改。

（注：如果需要从端口镜像会话删除副本端口，请打开“PortMirroring”（端口镜像）页面，选取“Remove”（删除）复选框，再单击“ApplyChanges”（应用更改）。

系统将删除端口镜像会话，并更新设备。

）以下是CLI命令实例：1.Console(config)#interfaceethernet1/e12.3.Console(config-if)#portmonitor1/e84.5.Console#showportsmonitor6.7.SourceportDestinationPortTypeStatus8.9.---------------------------------------10.11.1/e11/e8RX,TXActive下面我们来看看具体的几种类型的交换机是如何进行端口镜像配置的：Juniper交换机的端口镜像配置方法JuniperM系列和T系列交换机端口镜像配置方法usen@router#showforwarding-optionsport-mirroring{input{familyinet;rate;run-length;}outputint erface{next-hop;}no-filter-check;}}选择将抽样的流量发送到哪个目的端口user@router#showfirewallfiltermirror-samplefrom{...}then{sample;accept;}定义抽样过滤器，选择感兴趣的流量user@router#showinterfaceunit0familyinetfilter{inputmirror-sample;}选择将抽样的过滤器应用到某个端口Nortel8000交换机的端口镜像配置方法Software3.2.0.0以前的版本，支持一组端口镜像，10个source，一个destinationSoftware3.2.0.0后的版本，支持2组镜像，（说明：通常8个ethernet口为一个电路集成板，destination 不可以在同一个板子上，即1－8口上只允许有一个destination），支持25个source。