端口镜像

当涉及到网络监测和故障排除时，端口镜像是一个关键的概念和技术。

什么是端口镜像？

端口镜像，又称为“端口监视”或“端口抄送”，是一种网络管理技术，旨在将网络设备上的特定端口的流量复制到另一个端口，以供检测和分析。这个技术通常用于网络故障排除、流量分析、性能监测以及安全审计。通过端口镜像，网络管理员可以非侵入性地观察和记录网络流量，而无需中断正常的网络操作。

端口镜像的原理

端口镜像的原理很简单，它涉及将一个端口的数据流复制到另一个端口，以便进行监视和分析。这个过程常在交换机、路由器或网路设备上完成，这些设备通常都具有专用的镜像端口或镜像功能。基本的端口镜像原理包括以下几个步骤：

1. 选择源端口（被监视的端口）：网络管理员选择要监视的源端口，通常是网络中的一个活跃端口，其流量需要进行监测或分析。
2. 选择目标端口（镜像端口）：网路管理员选择一个目标端口，这是将源端口的流量复制到的地方。目标端口通常连接到一个监测设备，如网络分析器或日志记录系统。
3. 启用端口镜像：在网络设备上配置，启动端口镜像功能，并指定源端口和目标端口。这告诉设备将源端口的流量复制到目标端口。
4. 复制流量：一旦配置完成，网络设备将源端口的流量复制到目标端口，以供监测和分析。通过这种方式，监测设备可以实时地监视和记录流经源端口的所有数据流量，无需干扰网络的正常运行。

端口镜像的分类

根据工作范围的不同，端口镜像可以分为两种形式：

1. 本地端口镜像夏日锁骨：源端口和目标端口都位于同一台网络设备上。这种形式最基本，适用于在同一设备上复制流量。
2. 远程端口镜像：源端口和目标端口位于不同的网络设备上。这种形式更高级，允许跨多个设备监控和分析流量。

配置华为设备端口镜像

下面是配置华为设备本地端口镜像的步骤：

1. 进入交换机的系统视图模式

   <HUAWEI> system-view
   

2. 创建一个监控交换机端口的镜像端口。例如，将镜像端口10GE1/0/1入方向的报文复制到观察端口10GE1/0/1上：

   [~HUAWEI] observe-port 1 interface 10ge 1/0/2
   

3. 指定镜像端口的输出方向。将端口流量镜像到观察端口：

   [~HUAWEI-10GE1/0/1] port-mirroring observe-port 1 inbound
   

4. 启用镜像端口

   [~HUAWEI-10GE1/0/1] port-mirroring enable
   

5. 提交配置

   <HUAWEI> commit
   

配置思科设备端口镜像

1. 进入交换机的全局配置模式

   Switch# configure terminal
   

2. 选择要进行端口镜像的源端口，例如，我们将选择GigabitEthernet1/0/1作为源端口

   Switch(config)# interface GigabitEthernet1/0/1
   

3. 启用端口镜像功能

   Switch(config-if)# monitor session 1 source interface GigabitEthernet1/0/1
   

4. 配置目标端口，将镜像的流量发送到观察端口

   Switch(config-if)# monitor session 1 destination interface GigabitEthernet1/0/2
   

5. 提交配置

   Switch(config-if)# end
   Switch# show monitor session 1
   

配置华三设备端口镜像

1. 进入系统视图

   <HUAWEI> system-view
   

2. 创建一个本地镜像组，例如，创建镜像组 ID 1：

   [~HUAWEI] mirroring-group 1 local
   

3. 配置源端口，将需要监视的源端口添加到镜像组中。例如，将端口 GigabitEthernet 1/0/2 的流量镜像到观察端口 GigabitEthernet 1/0/4 上：

   [~HUAWEI] mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both
   

4. 配置目的端口，将镜像报文发送到观察端口 ：

   [~HUAWEI] mirroring-group 1 monitor-port GigabitEthernet 1/0/4
   

5. 提交配置

   [~HUAWEI] commit
   

华三设备配置远程端口镜像

1. 创建一个远程源镜像组：

   [SWA] mirroring-group 1 remote-source
   

2. 配置远程源镜像组的远程镜像 VLAN，例如，创建 VLAN 30：

   [SWA] vlan 30
   [SWA-vlan30] undo mac-address mac-learning enable
   

3. 配置源端口，将需要监视的源端口添加到远程源镜像组中：

   [SWA] mirroring-group 1 mirroring-port GigabitEthernet 1/0/3 both
   

4. 配置中间设备（SWB）

   • 配置远程镜像 VLAN 30
   • 配置于目的设备（SWC）相连的端口为 Trunk，并放通 VLAN 30 的报文
   • 配置与源设备（SWA）相连的端口为 Trunk，并放通 VLAN 30 的报文

5. 配置目的设备（SWC）

   • 配置远程目的镜像组：

     [SWC] mirroring-group 1 remote-destination
     

   • 配置目的端口，将镜像报文转发给数据监测设备

     [SWC] interface GigabitEthernet 1/0/2
     [SWC-GigabitEthernet1/0/2] mirroring-group 1 monitor-port
     [SWC-GigabitEthernet1/0/2] undo stp enable
     [SWC-GigabitEthernet1/0/2] port access vlan 30