华为各种型号交换机端口镜像配置方法总结 大 | 中 | 小

有不少朋友在问华为交换机镜像方面的问题。通过本人现有的资料和文档，现把各种型号的交换机镜像方法总结一下。以便各位朋友能够方便查阅！在学配置之前，对于端口镜像的基本概念还是要一定的了解！
7BuVHD&p0一、端口镜像概念：
AW_Y;Uz c-w]0Port Mirror(端口镜像）是用于进行网络性能监测。可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。
'e|
{f q0IT动力源博客-Blog,m(Z'e_;[!df O
二、端口镜像配置
6F1[ Pp:m v0
j ULg3g#o]0『环境配置参数』IT动力源博客-Blog b@`2S;daL)C

w1e g5\;F
Ddy\w01. PC1接在交换机E0/1端口，IP地址1.1.1.1/24
7T8^L9qH8p7b`0IT动力源博客-Blog)\
M-B^@2ExX"U
2. PC2接在交换机E0/2端口，IP地址2.2.2.2/24IT动力源博客-Blog z+j}_o"i8[

t's1Ytu03. E0/24为交换机上行端口IT动力源博客-Blog0Q aa4[&\

i2wmH5Q2q04. Server接在交换机E0/8端口，该端口作为镜像端口IT动力源博客-BlogTz-|5H!_
U
IT动力源博客-Blog d'VFwY [ N'e
『组网需求』
\#A'G {.@0IT动力源博客-Blog)G:DoG'a,Q
1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。IT动力源博客-BlogXs-aI Z
[(p iW"|Z^*B
IT动力源博客-Blog'C QC ?0XP-T,H
2. 按照镜像的不同方式进行配置：
BP?V-L}}%}a0
"YK?nb.{v~P*h01) 基于端口的镜像
5ET~z7n8GL&H f0
Y&C$|O`C02) 基于流的镜像IT动力源博客-Blog:g i,y6j[1_ v X J

7U"OkUu]p#q*l02 数据配置步骤
h7J&XyYR/P0『端口镜像的数据流程』IT动力源博客-BlogMrWr C

-_Z)?rL VZ9f0基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。IT动力源博客-Blog;{2sd4HA#v_Z


aGSC5y4E4T0【3026等交换机镜像】
6cMW}? I U&B0
0iU)D@"{SmQ$jG0S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：IT动力源博客-Blog&ZGr+va)W

sXk3s0g0p/Pq0方法一IT动力源博客-Bloggv*u s1IJBP
IT动力源博客-Blogv"u5alY!U
1. 配置镜像（观测）端口IT动力源博客-Blog.R6GkS_PjB

"cvcJvZx0[SwitchA]monitor-port e0/8
6I H8EC5Rm k&^v0IT动力源博客-Blog"_
{Xh K1K
2. 配置被镜像端口
(a$@x,ne$i;_ c0
2[NVN.mw0[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
$G G)^zGrqcZ u0IT动力源博客-Blog-x-}2K2w(d/W
方法二IT动力源博客-Blog&L(`s3bHV
IT动力源博客-Blogi!]G`o:@y&@
1. 可以一次性定义镜像和被镜像端口IT动力源博客-BlogZ4CPHV,MB

h7ZCH\(R4t,A+q:I*a0[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8IT动力源博客-Blog$\+D W ?F&@1J@

V-d]2k?@#L2m0【8016交换机端口镜像配置】
t"}Pr0dt\5}$B7F{r0IT动力源博客-Blogykf:FL{*m
1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。
w-UQK"D1DC0
Tdl)`"a0[SwitchA] port monitor ethernet 1/0/15IT动力源博客-Blog0y9@Qf:R$p m M
@
\f)r

:J5Z#k&q5bu02. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。
3YVs!pl0IT动力源博客-Bloga$uJDe8sd;s4~
[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
/jw;^Z,H/b
c(M~ K0
J#c`b(]~o0也可以通过两个不同的端口，对输入和输出的数据分别镜像
LR DV7rU0
5w0i }#v7a%AC7m
J01. 设置E1/0/15和E2/0/0为镜像（观测）端口
1p'g+It*orS'nY^+g0IT动力源博客-Blog)XS3Ws}|8BEg$W
[SwitchA] port monitor ethernet 1/0/15IT动力源博客-Blog|$XUl)y"{

6w4p5y0D'\FoOL02. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
+S8f/d^UN[0
0a#x'g;K2j?c0[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15
@6Fx v)G4G0
(L)~R(\P.A5?S0[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0
\V,M3o3qt
T)P0
I-a$F0Z-G0^8X0IT动力源博客-BlogWO0d^,DH
IT动力源博客-Blog.k1p2e(K9uM$i1\r _M9M
『基于流镜像的数据流程』IT动力源博客-Blog?u7LSZq5k*y
IT动力源博客-Blog1kiLMi p
基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。
p c1~F)O4r E0IT动力源博客-Blogh;Ar6pb|[
【3500/3026E/3026F/3050】
-i'H&o7Mg'@GW0IT动力源博客-Blog~w/c,g~7}
〖基于三层流的镜像〗
.I7ee's NY0
'x:bjD E5Mf01. 定义一条扩展访问控制列表IT动力源博客-Bloga*kz^SHsRvpC
IT动力源博客-Blog*NY]`&o2U
[SwitchA]acl num 100
QZ9M)D1Hd y0IT动力源博客-Blog$a3x1w$l R.MM` i%z
2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址IT动力源博客-BlogN QPyk"i
IT动力源博客-Blog1L0_9a F0{A4y Y/n
[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination anyIT动力源博客-BlogQ ]"Z0z(Qj&M3C?

+u)[is/r5qL(c4HA03. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32
(x$CMbLSQ6d0IT动力源博客-Blog:G-Ym9M-Q+kT.aT
[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0
r*d w/[#^{0
K&?T/R.`0UC&@'@,b04. 将符合上述ACL规则的报文镜像到E0/8端口
2T~6P&v#q+L6i0
] BH1n%QV7Z-~8J[0[SwitchA]mirrored-to ip-group 100 interface e0/8IT动力源博客-Blog.a#_1C
{-p&G

S
a#~sy/|1r2Os0IT动力源博客-Blog,Pv0sg7}7v
IT动力源博客-Blog9j&D4m(M,|(O
G Y;~
〖基于二层流的镜像〗IT动力源博客-Blog0vkY,yqfHnE
IT动力源博客-Blog+Fx+a$LPc
1. 定义一个ACLIT动力源博客-Blogh1|Z-i b*h1P
IT动力源博客-Blogug6c$\[J
[SwitchA]acl num 200
0E0Ie_ F0
!b-C1YJ.QZ;DC02. 定义一个规则从E0/1发送至其它所有端口的数据包
[|F`+Wr$\0
!K}?D\|F0[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2IT动力源博客-Blog"f|L
K-uI

RC2[4`)d^03. 定义一个规则从其它所有端口到E0/1端口的数据包IT动力源博客-BlogS0mz_9\V9`

;Z/N#YV(^
g0[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1IT动力源博客-Blogy |Ca^
L`,N
IT动力源博客-Blog+r H3v!m{
4. 将符合上述ACL的数据包镜像到E0/8IT动力源博客-Blog6h
izv#{vem7v
IT动力源博客-Blogf#d@kqQ
[SwitchA]mirrored-to link-group 200 interface e0/8
`&}'V'@|,M$\3[0IT动力源博客-Blog[i1]0N7sS2p5C

mD4}Ef5J2U2F*c0
5B-K@R$CcW@/w CM0【5516/6506/6503/6506R】
p/T*U{f8j K3Ak0IT动力源博客-BlogYuk0\H8K lb
目前该三款产品支持对入端口流量进行镜像IT动力源博客-Blogcz)N#I+s!U.ZTNLV

d)} B7N#x01. 定义镜像端口
1t
g8Nq:_"\0
W!aoS-S*p1J9iy0[SwitchA]monitor-port Ethernet 3/0/2
Y^1S hz;G*Cu0IT动力源博客-Blog3N/@FV1[cy1]-e$]*`1g|
2. 定义被镜像端口
j;Wa6b-A2Z0

F:Gu4cX3x;^G-ZD/M!JO0[SwitchA]mirroring-port Ethernet 3/0/1 inboundIT动力源博客-Blog.E9h;sK^3Hb'CR

n6DY'`pB\6} i}0IT动力源博客-Blog8zh'yK#j'Q`

.g3Uq _,K0【补充说明】IT动力源博客-Blog"X?9hsw"au%H
IT动力源博客-Blog;d[%t b{R!d%P7q7[t
1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现
-Vy1@'x9Nrb0
y5oSj8h/y02. 8016支持跨单板端口镜像端口镜像配置
o!P$h{&f2N0IT动力源博客-Blog)O%w@ ]w9I
『环境配置参数』IT动力源博客-Blogp'^qXwWDS8h

,t6hw
k0| ^!N01. PC1接在交换机E0/1端口，IP地址1.1.1.1/24
Wm? X5e5T9q#R0IT动力源博客-Blogk;P-XuIue!b
2. PC2接在交换机E0/2端口，IP地址2.2.2.2/24IT动力源博客-Blogs CGGhpa
IT动力源博客-Blog+V)K-t qEC9k
3. E0/24为交换机上行端口
.g-}4h%_+Z,N ?B0IT动力源博客-Blog*O%D({`9B.}3a6\(Q
4. Server接在交换机E0/8端口，该端口作为镜像端口IT动力源博客-Blogg$UF6Q"ky$s

wI }~2I5w3Szp0『组网需求』
+K#~#t%m,q:t0
xQ/n#w,H8Q,j'j4O01. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。IT动力源博客-Blog4Av}U$I
`8{
IT动力源博客-Blogq]$Cx7_
2. 按照镜像的不同方式进行配置：IT动力源博客-Blog{s
{c
E0Jv,N4R

,o w[1}|x01) 基于端口的镜像
l/GA`x+q5nyj0IT动力源博客-Blog.[4s,xn W!kO.q
2) 基于流的镜像IT动力源博客-Blog9|sg#f!R Q3C

X(Rl3P&N;YHm!Z02 数据配置步骤IT动力源博客-Blog['U%d-hw|,N
VK,^
『端口镜像的数据流程』
Srb)eOP0
)V#U7R7JI)Xa:Xih m0基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。IT动力源博客-Blog'oop)H
p3j6]V"?j
IT动力源博客-Blog}Ftsf~\P
【3026等交换机镜像】IT动力源博客-BlogH$J+k*[z0e,^

.t?E\F(b WM0S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：IT动力源博客-Blog(t^yP$Q%I(^

d ^4O4R2PK$xk0方法一
W3R6p#L4GB1`0IT动力源博客-BlogY t ]/Cv8F0_
1. 配置镜像（观测）端口IT动力源博客-Blog{'Q\[ l9hQ]

-kl0O)Mr'S?0[SwitchA]monitor-port e0/8
-|L0uxs%SNj-P0
%JrGK,DD&HyWE#X02. 配置被镜像端口IT动力源博客-Blog7j&p]:L(^2An

e,w9?_0`@IIv"mC0[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2IT动力源博客-Blog(K k-I|+_y,f.r
IT动力源博客-Blog)m2Ty`$S2L&V:BN3X
方法二IT动力源博客-Blog1Z [
P}7G;F{no
IT动力源博客-BlogyNX2gQC
1. 可以一次性定义镜像和被镜像端口IT动力源博客-Blogz(N3FV {/M;] U5K9`F&X
IT动力源博客-Blog%G3{"h
? Hf ~
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
f-c J
zyz f,R2w0IT动力源博客-Blog6Hj$Ps?0@
【8016交换机端口镜像配置】IT动力源博客-Blog\Mu%e9QUy6XFl

:u
lq`|CiNn01. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。
Z7k7i!r2lR'Ll6X0
#de)H,IgFw8m0[SwitchA] port monitor ethernet 1/0/15IT动力源博客-BlogS;l%u9Up2i^a\

h
Y,za%e:uH#s$X02. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。
P5Q rk0p3v!o4W0J l0
|+h+HTdl0[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
w(^"Z;XnqW6{$V0
E A;C)n#S;G7JJ0也可以通过两个不同的端口，对输入和输出的数据分别镜像
S4` i G:fO0
7QI5E+]9@YF01. 设置E1/0/15和E2/0/0为镜像（观测）端口
,~Ys.h,v {tl+rFQ0
VC f%EI2m,P5|0[SwitchA] port monitor ethernet 1/0/15
kE(\&q4t@/LP0
J:i2{ C(o5_0]02. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
N9y"T.tpe+y-H0
#b?I?p-\"{JR0[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15IT动力源博客-Blog n.SaNK#cR/P

h/S5F w2dAJ)D` }0[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0IT动力源博客-BlogFl/sP}a` rO
IT动力源博客-Blog8A(I4TT$M5L
IT动力源博客-BlogGdjR:`&jbeQJn_

"~'W%J Ss"r;m-e0『基于流镜像的数据流程』IT动力源博客-BlogwYL/mB'e-n
IT动力源博客-BlogL+eucb!@RaI
基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。IT动力源博客-Blog7hd3cm{,SS
IT动力源博客-Blogpy u_;xK'rz
【3500/3026E/3026F/3050】IT动力源博客-Blog M&f4{~j0F
IT动力源博客-Blog,inP"dTn!I*Z Kj
〖基于三层流的镜像〗IT动力源博客-Blog _3PY f%e
IT动力源博客-Blogn zt,V1r
1. 定义一条扩展访问控制列表IT动力源博客-Blog-MH?(wLD lj

9a}7GIMb*y0\SR0[SwitchA]acl num 100
T;X_
{8O1HR;A!Q0IT动力源博客-Blog4Veibt
2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址IT动力源博客-Blog'D#Mo"HecQ4n;F
IT动力源博客-Blog db&d2p/O5B
[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination anyIT动力源博客-Blog9x*ys"Ko w
IT动力源博客-Blog/s2D~qHg
3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32IT动力源博客-Blog'a-g3xOR

)onIq%b0[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0
8Ap$rb(nD*[0
qZ,X_!g(^(l!P04. 将符合上述ACL规则的报文镜像到E0/8端口IT动力源博客-BlogC:O"J_$N0d
IT动力源博客-Blog#q~#]/kj&Yf \
[SwitchA]mirrored-to ip-group 100 interface e0/8IT动力源博客-Blog]%j8Nw|%T [
IT动力源博客-Blog8h"^{%R1[t;r
IT动力源博客-Blog\3Wl$a Dd"|

[P#{4W B0〖基于二层流的镜像〗IT动力源博客-Blog3k:nfYd
IT动力源博客-Blog
Y9H-igBJFl'x
1. 定义一个ACL
3G)gKxFQ'o
H0IT动力源博客-Blog"W.^ t2xu a:B}
[SwitchA]acl num 200IT动力源博客-Blog*?&o N+|,y Is u&[
IT动力源博客-Blog:MN7B'}z`3Qe
2. 定义一个规则从E0/1发送至其它所有端口的数据包IT动力源博客-Blog*]4rer1v1k/n|

#P tdAre2U'C'x0[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2IT动力源博客-BlogY3Th0b(T `[
IT动力源博客-Blogf]^2Z/x
3. 定义一个规则从其它所有端口到E0/1端口的数据包IT动力源博客-Blog"E[Yz*Evl1~
IT动力源博客-Blog*e`K ff)d
[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1IT动力源博客-Blog#_$^`j!TnK}J];n
IT动力源博客-Blogm A$[&qB
Z7|.UY
4. 将符合上述ACL的数据包镜像到E0/8
vq
c WE#J0
3I'H2V9LIBr0[SwitchA]mirrored-to link-group 200 interface e0/8
T%{+CBf
T5i0~0IT动力源博客-Blog0n9b^3S:Lsl

%AH2cH;U0
0K2p7Y t9q7_L0【5516/6506/6503/6506R】IT动力源博客-Blogi:ESv1b
IT动力源博客-BlogG\ l'RIs
目前该三款产品支持对入端口流量进行镜像
^ sW(x~S0
7^Vp3R(je_01. 定义镜像端口
&? ]$~K"z9yy0~$e0
xxkf}2\G0F-[0[SwitchA]monitor-port Ethernet 3/0/2IT动力源博客-Blog"szw5|i E-`gHF

*p}`{#^02. 定义被镜像端口
z$c#o7]hU4`s0IT动力源博客-BlogBoNz"vt k/l w
[SwitchA]mirroring-port Ethernet 3/0/1 inbound
Z(k&|U+lRP0
&L6\Q;vyP0注意！在此提醒一下各位，相同型号不同版本的设备，配置方法有时是有差异的，最终还是要以版本对应的*作手册为准。