华为交换机端口镜像配置全攻略

华为交换机端口镜像配置全攻略

端口镜像（Port Mirroring）是网络监控的重要技术手段，通过复制特定端口的流量到指定的观察端口，实现对网络流量的监控和分析。在华为交换机中，端口镜像功能主要通过observe-port命令来实现，支持本地观察端口和远程观察端口两种方式。

本地观察端口主要用于监控本地网络流量，适用于服务器机房、数据中心等场景。华为交换机支持两种本地镜像模式：1:N镜像和N:1镜像。

1:N镜像配置示例

1:N镜像是指将单个镜像端口的报文复制到多个观察端口。这种模式适用于需要将流量分发到不同监控设备的场景。

组网需求：如图1所示，某公司研发部通过Switch与外部Internet通信，监控设备Server1、Server2、Server3与Switch直连。需要将研发部访问Internet的流量镜像到不同Server上，进行不同的监控分析。

配置步骤：

1. 配置观察端口组

   <HUAWEI> system-view
   [HUAWEI] sysname Switch
   [Switch] observe-port 1 interface-range gigabitethernet 1/0/2 to gigabitethernet 1/0/4
   

2. 配置镜像端口

   [Switch] interface gigabitethernet 1/0/1
   [Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
   

3. 验证配置结果

   <Switch> display observe-port
   <Switch> display port-mirroring
   

N:1镜像配置示例

N:1镜像是指将多个镜像端口的报文复制到单个观察端口。这种模式适用于需要集中监控多个端口流量的场景。

组网需求：如图2所示，某公司内部网络通过交换机与外部Internet通信，监控设备Server直接连接到交换机。需要监视内部网络的出向Internet流量。

配置步骤：

1. 配置观察端口

   <HUAWEI> system-view
   [HUAWEI] sysname SwitchA
   [SwitchA] observe-port 1 interface gigabitethernet 1/0/3
   

2. 配置镜像端口

   [SwitchA] interface gigabitethernet 1/0/1
   [SwitchA-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
   [SwitchA-GigabitEthernet1/0/1] quit
   [SwitchA] interface gigabitethernet 1/0/2
   [SwitchA-GigabitEthernet1/0/2] port-mirroring to observe-port 1 inbound
   

3. 验证配置结果

   [SwitchA] display port-mirroring
   

远程观察端口主要用于跨网络的流量监控，支持二层远程镜像和三层远程镜像两种方式。这里以三层远程镜像为例，介绍其配置要点。

命令格式：

observe-port [observe-port-index] ipv4 destination-ip dest-ip-address source-ip source-ip-address [dscp dscp-value] [erspan-id erspan-id] [vpn-instance vpn-instance-name]

• dest-ip-address：镜像报文的目的IP地址
• source-ip-address：镜像报文的源IP地址
• dscp-value：优先级范围（0～63）
• erspan-id：三层远程镜像编号（0～1023）
• vpn-instance-name：VPN实例名称（长度1～31字符）

基于MQC（Multi-QoS Classifier）的流镜像可以实现对特定业务流的精确监控。以下是一个配置示例：

组网环境：某公司的内部网络PC通过交换机连接进行通信，监控设备（Server）直接连接到交换机。需要监视内部网络PC间的互访流量。

配置步骤：

1. 配置观察端口

   <HUAWEI> system-view
   [HUAWEI] sysname SwitchA
   [SwitchA] observe-port 1 interface gigabitethernet 1/0/3
   

2. 配置流分类

   [SwitchA] acl number 3001
   [SwitchA-acl-adv-3001] rule permit ip source 192.168.1.1 0.0.0.255 destination 192.168.2.1 0.0.0.255
   [SwitchA-acl-adv-3001] quit
   [SwitchA] traffic classifier pc1-pc2 operator or
   [SwitchA-classifier-pc1-pc2] if-match acl 3001
   

3. 配置流行为

   [SwitchA] traffic behavior pc1-pc2
   [SwitchA-behavior-pc1-pc2] mirroring to observe-port 1
   

4. 配置流策略

   [SwitchA] traffic policy pc1-pc2
   [SwitchA-trafficpolicy-pc1-pc2] classifier pc1-pc2 behavior pc1-pc2
   

5. 应用流策略

   [SwitchA] interface gigabitethernet1/0/1
   [SwitchA-GigabitEthernet1/0/1] traffic-policy pc1-pc2 inbound
   

6. 查看配置结果

   [SwitchA] display port-mirroring
   

1. 观察端口专用：观察端口专门用于镜像报文的转发，不要配置其他业务，防止互相影响。

2. 带宽匹配：镜像端口的带宽应小于或等于观察端口的带宽，避免因带宽不足导致丢包。

3. 性能影响：过多的镜像配置会占用设备内部转发带宽，影响其他业务转发，需谨慎使用。

4. 安全考虑：端口镜像可能带来安全风险，应确保镜像流量只能被授权的监控设备接收。

通过以上配置方法和最佳实践，网络管理员可以充分利用华为交换机的端口镜像功能，实现对网络流量的全面监控和分析，为网络优化和故障排查提供有力支持。