华为交换机配置本地镜像口及远程镜像口

「已注销」

已于 2024-05-03 10:49:40 修改

阅读量8k

点赞数 6

分类专栏：华为网络设备文章标签：华为网络

于 2022-08-23 18:23:46 首次发布

本文链接：https://blog.csdn.net/Richardlygo/article/details/126490594

版权

华为网络设备专栏收录该内容

73 篇文章 43 订阅

订阅专栏

一、本地镜像口

基本概念

1、查看交换机是否存在镜像组

1、display port-mirroring    //查看镜像口
 
2、display observe-port      //查看观察口
 
[LSW]display port-mirroring 
  Port-mirror:
  ----------------------------------------------------------------------
  Mirror-port              Direction     Observe-port             
  ----------------------------------------------------------------------
  GigabitEthernet0/0/10    Both          GigabitEthernet0/0/1     
  ----------------------------------------------------------------------

2、观察口配置

1、observe-port 1 interface GigabitEthernet0/0/1     
    //  镜像组1，观察口为0/0/1

3、镜像口配置

1、进入接口，在接口下配置镜像口。
[Huawei]interface GigabitEthernet 0/0/10
[Huawei-GigabitEthernet0/0/10]port-mirroring to observe-port 1 both 
 
2、同时进入多个接口，再配置镜像口。 
 
interface range GigabitEthernet 0/0/2 to GigabitEthernet 0/0/20
port-mirroring to observe-port 1 both

二、远程镜像口

1、配置二层远程端口镜像示例：

组网需求：

如图所示，某公司行政部通过SwitchA与外部Internet通信，监控设备Server通过SwitchB与SwitchA相连。

现在希望Server能够远程对行政部访问Internet的流量进行监控。

配置思路：

进行如下配置，实现Server远程监控行政部访问Internet的流量：

1）在SwitchA上配置接口GE1/0/2为二层远程观察端口，负责向绑定的VLAN转发镜像报文。

2）在SwitchA上配置接口GE1/0/1为镜像端口，将行政部访问Internet的流量复制一份到二层远程观察端口。

3）在SwitchB上创建VLAN，配置接口加入VLAN，负责将观察端口发送过来的报文向Server转发。

操作步骤：

步骤1：在SwitchA上配置观察端口

# 在SwitchA上配置接口GE1/0/2为二层远程观察端口，绑定的VLAN为VLAN10。

<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] observe-port 1 interface gigabitethernet 1/0/2 vlan 10

配置完成后，观察端口会将镜像报文向VLAN10进行转发，不需要在观察端口下进行接口加入VLAN的操作。

步骤2：在SwitchA上配置镜像端口

在SwitchA上配置接口GE1/0/1为镜像端口，将其入方向绑定到二层远程观察端口，即将镜像端口接收到的报文复制一份到二层远程观察端口。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[SwitchA-GigabitEthernet1/0/1] return

步骤3 ：在SwitchB上创建VLAN，配置接口加入VLAN

在SwitchB上创建VLAN10，将接口GE1/0/1和GE1/0/2加入VLAN10。

<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] vlan batch 10
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type access
[SwitchB-GigabitEthernet1/0/1] port default vlan 10
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet1/0/2] return

说明：在配置二层远程镜像时，建议不要用观察端口绑定的VLAN进行其他业务转发。对于观察端口与监控设备之间的中间网络设备，在观察端口绑定的VLAN上执行命令mac-address learning disable关闭MAC地址学习功能。如果该VLAN已存在，且已学习到MAC地址，请在系统视图下执行undo macaddress vlan vlan-id命令删除该VLAN已学习到的所有MAC地址。

2、配置三层远程端口镜像示例

组网需求：

如图所示，某公司研发部通过Switch与外部Internet通信，监控设备Server通过三层网络与Switch相连。

现在希望Server能够远程对研发部访问Internet的流量进行监控。

配置思路：

在Switch上进行如下配置，实现Server远程监控研发部访问Internet的流量：

1）配置接口GE1/0/2为三层远程观察端口，指定封装镜像报文的目的地址是监控设备的地址，源地址为Switch上的接口地址。

2）配置接口GE1/0/1为镜像端口，将研发部访问Internet的流量复制一份到三层远程观察端口。

操作步骤：

步骤1：配置观察端口

在Switch上创建Loopback接口，配置其IP地址为10.1.1.1，作为封装镜像报文的源地址。也可以指定设备上其他接口的地址作为封装镜像报文的源地址。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] interface loopback 0
[Switch-LoopBack0] ip address 10.1.1.1 24
[Switch-LoopBack0] quit

在Switch上配置接口GE1/0/2为三层远程观察端口，指定封装镜像报文的目的地址是10.2.1.1，源地址是10.1.1.1。

[Switch] observe-port 1 interface gigabitethernet 1/0/2 destination-ip 10.2.1.1 source-ip 10.1.1.1

配置完成后，观察端口会在镜像报文外层添加GRE隧道头，再将其作为IP报文的数据部分，封装在IP报文内进行转发。

步骤2：配置镜像端口

在Switch上配置接口GE1/0/1为镜像端口，将其入方向绑定到三层远程观察端口，即将镜像端口接收到的报文复制一份到三层远程观察端口。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/1] return