协议分析之华为交换机端口镜像技术及配置参考实例

1.镜像的概念

1.1定义

镜像是指将经过指定端口（源端口或者镜像端口）的报文复制一份到另一个指定端口（目的端口或者观察端口）。

1.2目的

在网络运营与维护的过程中，为了便于业务监测和故障定位，网络管理员时常要获取设备上的业务报文进行分析。镜像可以在不影响设备对报文进行正常处理的情况下，将镜像端口的报文复制一份到观察端口。网络管理员通过网络监控设备就可以分析从观察端口复制过来的报文，判断网络中运行的业务是否正常。

2.原理描述

2.1基本概念

2.1.1镜像端口和观察端口

• 镜像端口：是指被监控的端口，镜像端口收发的报文将被复制一份到与监控设备相连的端口。

• 观察端口：是指连接监控设备的端口，用于将镜像端口复制过来的报文发送给监控设备。

一般观察端口专门用于镜像流量的转发，因此不建议在上面配置其他业务，防止镜像流量与其他业务流量在观察端口上同时转发会互相影响。

在设备上应用镜像功能时，如果镜像过多，会占用较多的设备内部转发带宽，可能影响其他业务转发。另外，如果镜像端口与观察端口的带宽不一致，比如，镜像端口的带宽是1000Mbit/s，观察端口的带宽是100Mbit/s，则有可能导致观察端口因带宽不足而不能及时转发全部的镜像报文，发生丢包情况。

2.1.2镜像方向

镜像方向是指将镜像端口指定方向的报文复制到观察端口，包括：

• 入方向：将镜像端口接收的报文复制到观察端口上。

• 出方向：将镜像端口发送的报文复制到观察端口上。

• 双向：将镜像端口接收和发送的报文都复制到观察端口上。

2.2端口镜像

端口镜像是指设备复制从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控。端口镜像根据监控设备在网络中位置的不同，分为本地端口镜像和远程端口镜像。

2.2.1本地端口镜像

本地端口镜像是指观察端口与监控设备直接相连，此时观察端口被称为本地观察端口。如图所示，通过本地端口镜像，本地观察端口将镜像端口复制来的报文直接转发到与其相连的监控设备。

2.2.2远程端口镜像

远程端口镜像是指观察端口与监控设备通过中间网络传输镜像报文，此时观察端口被称为远程观察端口。远程端口镜像根据不同的中间网络，分为二层远程端口镜像和三层远程端口镜像。

1）二层远程端口镜像

二层远程端口镜像是指远程观察端口与监控设备通过一个二层网络相连。如图所示，二层远程端口镜像中镜像报文的具体转发过程如下。

（1）镜像端口将流经的原始报文复制到远程观察端口。

（2）远程观察端口收到镜像端口复制过来的镜像报文，在原来的VLAN标签（ VLAN10）外层再添加一层VLAN标签（ VLAN20），以便将镜像报文向中间二层网络转发。值得注意的是，这一步不需要通过端口加入VLAN来完成，是直接通过配置远程观察端口来实现的。

（3）SwitchC在接收到远程观察端口发来的镜像报文后，就将镜像报文向监控设备转发。为了实现这一步，需要将中间二层设备（ SwitchC）与远程观察端口、监控设备相连的端口加入VLAN20，保证SwitchB、 SwitchC与监控设备间能够二层通信。

2）三层远程端口镜像

三层远程端口镜像是指远程观察端口与监控设备通过一个三层网络相连。如图所示，三层远程端口镜像通过GRE隧道来转发镜像报文。远程观察端口会在镜像报文的外层添加GRE隧道头，然后这一部分将被当做IP报文的数据部分，在IP网络进行转发。其中， GRE报文外层封装的IP头是手工配置的，为了保证镜像报文能够到达监控设备，指定的目的IP地址必须与监控设备的IP地址相同；源地址一般可以配置成被镜像设备的接口IP地址。

2.2.3流镜像

流镜像是指在设备上配置一定的规则，将符合规则的特定业务流复制到观察端口进行分析和监控。如图所示，镜像端口将匹配规则的业务流2复制到观察端口，然后观察端口再将复制的业务流2转发到监控设备。

流镜像属于流行为的一种，在设备上应用时，实际是在全局、 VLAN或者端口上应用了包含流镜像行为的流策略。有关流策略的详细内容请参加《 S9300, S9300E系列交换机配置指南 Qos配置》中的“ MQC配置”和“基于ACL的简化流策略配置”。

同端口镜像类似，根据监控设备在网络中位置的不同，流镜像也可以分为本地流镜像和远程流镜像。值得注意的是，远程流镜像中，如果包含流镜像的流策略应用在VLAN上，该VLAN和用于转发镜像报文的中间二层网络的VLAN不能相同。

3.配置实例

3.1配置本地端口镜像（ 1:1）

组网需求：

如图所示，某公司行政部通过Switch与外部Internet通信，监控设备Server与Switch直连。现在希望通过Server对行政部访问Internet的流量进行监控。

配置思路：

在Switch进行如下配置，实现Server对所有行政部访问Internet的流量进行监控：

1）配置接口GE1/0/2为本地观察端口，负责向Server转发镜像报文。

2）配置接口GE1/0/1为镜像端口，将行政部访问Internet的流量复制一份到本地观察端口。

操作步骤：

步骤1：配置观察端口

在Switch上配置接口GE1/0/2为本地观察端口。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 1/0/2

步骤2：配置镜像端口

在Switch上配置接口GE1/0/1为镜像端口，将其入方向绑定到本地观察端口，即将镜像端口接收到的报文复制一份到本地观察端口。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/1] return

步骤3：验证配置结果

查看观察端口的配置情况：

<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface : GigabitEthernet1/0/2

查看镜像端口的配置情况：

<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet1/0/2
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet1/0/1 Inbound Observe-port 1
----------------------------------------------------------------------

3.2配置本地端口镜像示例（ 1: N，单个配置观察端口）

组网需求：

如图所示，某公司研发部通过Switch与外部Internet通信，监控设备Server1、Server2、 Server3与Switch直连。现在希望将研发部访问Internet的流量镜像到不同Server上，对流量进行不同的监控分析。

配置思路：

在Switch进行如下配置，实现不同Server对研发部访问Internet的流量进行监控：

1）配置接口GE1/0/2～ GE1/0/4为本地观察端口，负责向不同Server转发镜像报文。

2）配置接口GE1/0/1为镜像端口，将经过镜像端口的流量复制到不同的本地观察端口。

操作步骤：

步骤1：配置观察端口

在Switch上使用单个配置的方式，配置接口GE1/0/2～ GE1/0/4为本地观察端口。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 1/0/2
[Switch] observe-port 2 interface gigabitethernet 1/0/3
[Switch] observe-port 3 interface gigabitethernet 1/0/4

步骤2：配置镜像端口

在Switch上配置接口GE1/0/1为镜像端口，将其入方向绑定到不同的本地观察端口，即将镜像端口接收到的报文复制到本地观察端口上。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 2 inbound
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 3 inbound
[Switch-GigabitEthernet1/0/1] return

步骤3：验证配置结果

查看观察端口的配置情况：

<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface : GigabitEthernet1/0/2
----------------------------------------------------------------------
Index : 2
Untag-packet : No
Interface : GigabitEthernet1/0/3
----------------------------------------------------------------------
Index : 3
Untag-packet : No
Interface : GigabitEthernet1/0/4
----------------------------------------------------------------------

查看镜像端口的配置情况：

<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet1/0/2
Observe-port 2 : GigabitEthernet1/0/3
Observe-port 3 : GigabitEthernet1/0/4
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet1/0/1 Inbound Observe-port 1
2 GigabitEthernet1/0/1 Inbound Observe-port 2
3 GigabitEthernet1/0/1 Inbound Observe-port 3

注：上面的配置，可以批量配置，命令如下：

先配置观察端口：

<Quidway> system-view
[Quidway] sysname Switch
[Switch] observe-port 1 interface-range gigabitethernet 1/0/2 to gigabitethernet 1/0/4

然后再配置镜像端口：

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/1] return

完毕。

3.3配置本地端口镜像示例（ N: 1）

组网需求：

如图所示，某公司科技一部、科技二部、行政部通过Switch与外部Internet通信，监控设备Server与Switch直连。现在希望通过Server对这三个部门访问Internet的流量进行监控。

配置思路：

在Switch进行如下配置，实现Server对所有部门访问Internet的流量进行监控：

1）配置接口GE1/0/4为本地观察端口，负责向Server转发镜像报文。

2）配置接口GE1/0/1～ GE1/0/3为镜像端口，将所有部门访问Internet的流量复制一份到本地观察端口。

操作步骤：

步骤1：配置观察端口

在Switch上配置接口GE1/0/4为本地观察端口

<Quidway> system-view
[Quidway] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 1/0/4

步骤2：配置镜像端口

在Switch上配置接口GE1/0/1～ GE1/0/3为镜像端口，将其入方向绑定到本地观察端口，即将镜像端口接收到的报文复制一份到本地观察端口。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/3] return

3.4配置本地端口镜像示例（ M:N）

组网需求：

如图所示，某公司研发一部、研发二部和市场部通过Switch与外部Internet通信，监控设备Server1、 Server2与Switch直连。现在希望将研发一部、研发二部和市场部访问Internet的流量镜像到不同Server上，对流量进行不同的监控分析。

配置思路：

在Switch进行如下配置，实现不同Server对研发一部、研发二部和市场部访问Internet的流量进行监控：

1 ）配置接口GE1/0/4～ GE1/0/5为本地观察端口，负责向不同Server转发镜像报文。

2）配置接口GE1/0/1～ GE1/0/3为镜像端口，将经过镜像端口的流量复制到不同的本地观察端口。

操作步骤：

步骤1：配置观察端口

在Switch上使用批量配置的方式，配置接口GE1/0/4～ GE1/0/5为本地观察端口。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] observe-port 1 interface-range gigabitethernet 1/0/4 gigabitethernet 1/0/5

步骤2：配置镜像端口

在Switch上配置接口GE1/0/1～ GE1/0/3为镜像端口，将其入方向绑定到不同的本地观察端口，即将镜像端口接收到的报文复制到本地观察端口上。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/3] return

3.5配置二层远程端口镜像示例

组网需求：

如图所示，某公司行政部通过SwitchA与外部Internet通信，监控设备Server通过SwitchB与SwitchA相连。

现在希望Server能够远程对行政部访问Internet的流量进行监控。

配置思路：

进行如下配置，实现Server远程监控行政部访问Internet的流量：

1）在SwitchA上配置接口GE1/0/2为二层远程观察端口，负责向绑定的VLAN转发镜像报文。

2）在SwitchA上配置接口GE1/0/1为镜像端口，将行政部访问Internet的流量复制一份到二层远程观察端口。

3）在SwitchB上创建VLAN，配置接口加入VLAN，负责将观察端口发送过来的报文向Server转发。

操作步骤：

步骤1：在SwitchA上配置观察端口

# 在SwitchA上配置接口GE1/0/2为二层远程观察端口，绑定的VLAN为VLAN10。

<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] observe-port 1 interface gigabitethernet 1/0/2 vlan 10

配置完成后，观察端口会将镜像报文向VLAN10进行转发，不需要在观察端口下进行接口加入VLAN的操作。

步骤2：在SwitchA上配置镜像端口

在SwitchA上配置接口GE1/0/1为镜像端口，将其入方向绑定到二层远程观察端口，即将镜像端口接收到的报文复制一份到二层远程观察端口。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[SwitchA-GigabitEthernet1/0/1] return

步骤3 ：在SwitchB上创建VLAN，配置接口加入VLAN

在SwitchB上创建VLAN10，将接口GE1/0/1和GE1/0/2加入VLAN10。

<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] vlan batch 10
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type access
[SwitchB-GigabitEthernet1/0/1] port default vlan 10
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet1/0/2] return

说明：在配置二层远程镜像时，建议不要用观察端口绑定的VLAN进行其他业务转发。对于观察端口与监控设备之间的中间网络设备，在观察端口绑定的VLAN上执行命令mac-address learning disable关闭MAC地址学习功能。如果该VLAN已存在，且已学习到MAC地址，请在系统视图下执行undo macaddress vlan vlan-id命令删除该VLAN已学习到的所有MAC地址。

3.6配置三层远程端口镜像示例

组网需求：

如图所示，某公司研发部通过Switch与外部Internet通信，监控设备Server通过三层网络与Switch相连。

现在希望Server能够远程对研发部访问Internet的流量进行监控。

配置思路：

在Switch上进行如下配置，实现Server远程监控研发部访问Internet的流量：

1）配置接口GE1/0/2为三层远程观察端口，指定封装镜像报文的目的地址是监控设备的地址，源地址为Switch上的接口地址。

2）配置接口GE1/0/1为镜像端口，将研发部访问Internet的流量复制一份到三层远程观察端口。

操作步骤：

步骤1：配置观察端口

在Switch上创建Loopback接口，配置其IP地址为10.1.1.1，作为封装镜像报文的源地址。也可以指定设备上其他接口的地址作为封装镜像报文的源地址。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] interface loopback 0
[Switch-LoopBack0] ip address 10.1.1.1 24
[Switch-LoopBack0] quit

在Switch上配置接口GE1/0/2为三层远程观察端口，指定封装镜像报文的目的地址是10.2.1.1，源地址是10.1.1.1。

[Switch] observe-port 1 interface gigabitethernet 1/0/2 destination-ip 10.2.1.1 source-ip 10.1.1.1

配置完成后，观察端口会在镜像报文外层添加GRE隧道头，再将其作为IP报文的数据部分，封装在IP报文内进行转发。

步骤2：配置镜像端口

在Switch上配置接口GE1/0/1为镜像端口，将其入方向绑定到三层远程观察端口，即将镜像端口接收到的报文复制一份到三层远程观察端口。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet1/0/1] return