华为交换机镜像(华为交换机镜像命令)

华为交换机如何将镜像传输到其他交换机

进入交换机命令模式即可。

首先用配置线把电脑的RJ45网口和华为交换机的配置口连接起来，用电脑远程控制交换机，进入交换机的命令模式。执行命令sys，进入全局配置模式。进入了该模式，才有权限执行启动交换机各种功能的命令。

华为交换机端口镜像配置整理（上） 第八天

1.配置观察端口

配置观察端口分单个配置和批量配置两种方式。批量配置的观察端口相当于加入了一个观察端口组，在配置镜像端口时，镜像端口会绑定整个观察端口组。因此批量配置一般在1:N镜像时使用，主要是为了配置方便。

（1）配置单个观察端口

本地观察端口，即观察端口与监控设备直连。

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/1

二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文。

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/1 vlan 2

（2）配置批量观察端口

本地观察端口，即观察端口与监控设备直连。

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/1 to gigabitethernet 1/0/3

二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文。

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/1 to gigabitethernet 1/0/3 vlan 2

2.配置端口镜像

端口镜像时指设备复制从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控。

（1）配置1:1端口镜像

将一个镜像端口的报文复制到一个观察端口上。将镜像端口GE1/0/2入方向的报文（即接收到的报文）复制到观察端口GE1/0/1上，GE1/0/1与监控设备直连。

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/1

interface gigabitethernet 1/0/2

port-mirroring to observe-port 1 inbound

（2）配置1:N端口镜像

将一个镜像端口的报文复制到N个不同的观察端口上。将镜像端口GE2/0/1入方向的报文（即接收到的报文）复制到观察端口GE1/0/1～GE1/0/3上，GE1/0/1～GE1/0/3与监控设备直连。

观察端口逐个进行配置。

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/1

observe-port 2 interface gigabitethernet 1/0/2

observe-port 3 interface gigabitethernet 1/0/3

interface gigabitethernet 2/0/1

port-mirroring to boserve-port 1 inbound

port-mirroring to boserve-port 2 inbound

port-mirroring to boserve-port 3 inbound

观察端口批量进行配置。

system-view

observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitethernet 1/0/3

interface gigabitethernet 2/0/1

port-mirroring to observe-port 1 inbound

3.配置N:1端口镜像

将N个镜像端口的报文复制到一个观察端口上。将镜像端口GE2/0/1～GE2/0/3入方向的报文（即接收到的报文）复制到观察端口GE1/0/1上，GE1/0/1与监控设备直连。

system-view

observe-port 1 interface gigabitethernet 1/0/1

interface gigabitethernet 2/0/1

port-mirroring to observe-port 1 inbound

quit

interface gigabitethernet 2/0/2

port-mirroring to observe-port 1 inbound

quit

interface gigabitethernet 2/0/3

port-mirroring to observe-port 1 inbound

quit

华为交换机端口镜像配置整理（下）第九天

1、配置流镜像

流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上，监控设备只对指定类型报文进行监测。有两种配置方式，分别为基于ACL和基于MQC(即复杂流分类)。

基于ACL的流镜像:支持匹配的报文类型少，且只支持入方向(收到报文方向)的流镜像。

（1）配置观察端口,配置与监控设备直连的本地观察端口GE1/0/10

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/10

（2）创建ACL，创建二层ACL，配置的规则是匹配802.1p优先级为6的报文。

脚本：

acl 4002

rule permit 8021p 6

quit

（3）配置流镜像。

将整个设备所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

traffic-mirror inbound acl 4002 to observe-port 1

将vlan 20下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

traffic-mirror vlan 10 inbound acl 4002 to observe-port 1

将端口GE2/0/10入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

interface gigabitethernet 2/0/10

traffic-mirror inbound acl 4002 to observe-port 1

基于MQC的流镜像:支持匹配的报文类型多，入方向、出方向（发送报文方向）的流镜像都支持。

（1）配置观察端口，配置与监控设备直连的本地观察端口GE1/0/10。

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/10

（2）创建流分类，创建流分类c1，并配置流分类规则是匹配802.1p优先级为6的报文。

脚本：

traffic classifier c1

if-match 8021p 6

quit

（3）创建动作是镜像的流行为，创建流行为b1,并配置动作为流镜像。

脚本：

traffic behavior b1

mirroring to observe-port 1

quit

（4）创建流策略，并将流分类和流行为绑定到流策略上，创建流策略p1，并将之前配置的流分类和流行为绑定到流策略p1上。

脚本：

traffic policy p1

classifier c1 behavior b1

quit

（5）应用流策略。

将整个设备所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

traffic-policy p1 global inbound

将vlan 20下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

vlan 20

traffic-policy p1 inbound

将端口GE2/0/10入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

interface gigabitethernet 2/0/10

traffic-policy p1 inbound

2、删除镜像配置

在使用完镜像功能后，删除镜像配置的操作如下：

（1）使用命令 display current-configuration  ,查看设备当前镜像的配置。

（2）在镜像端口下使用 undo port-mirroring ，删除观察端口与镜像端口的绑定关系，恢复镜像端口为普通端口。

举例：

system-view

interface gigabitethernet 1/0/10

undo port-mirroring to observe-port 1 inbound

quit

（3）在系统视图下使用命令 undo observe-port ，删除观察端口。

举例：

undo observe-port 1

说明：只有先执行第2步，即先删除观察端口与镜像端口的绑定关系，才能删除观察端口。

【转载】华为低端交换机2403等型号镜像配置

1. 将端口E0/2配置为监控端口

[SwitchA]monitor-port Ethernet 0/2 no-filt

2. 将端口E0/1配置为镜像端口

[SwitchA]mirroring-port Ethernet 0/1 both

【补充说明】

支持多对一的端口镜像，但是 镜像端口必须与监控端口属于同一个芯片内(每8端口一个芯片) 。

配置镜像端口时，可以使用参数定义被监控报文的方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。

配置监控端口时，可以使用参数定义监控端口类型。例如：参数no-filt，表示监控所有的报文；参数filt-da，表示只监控指定的目的mac地址的报文；参数filt-sa，表示只监控指定的源mac地址的报文。

此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI，S2008C、S2016C和S2024C。

华为S5700交换机配置怎么端口镜像

方法如下：

1、如下拓扑图，电脑1和电脑2分别接在交换机1口和2口，1口作为监控口，2口作为被监控口，即通过电脑3接配置线，即USB转串口线连接交换机console口配置华为5700。

2、电脑3通过配置线连接华为5700后，进入交换机配置界面，输入sys，按下回车键进入#模式，即全局配置模式。

3、执行命令display interface brief，可以查看交换机当前端口的开放状态。down表示端口关闭，up表示端口开启，在这里可以看出，拓扑图里直接了电脑1和电脑2，所以只有1口和2口是UP状态。

4、此时在全局模式下输入interface GigabitEthernet 0/0/1，进入子接口1口，命令为port-mirroring to observe-port 1 both，both表示流量的方向是双向的，若只想镜像出口流量，则将both改为outbound，只想镜像进口流量，则把both改为inbound。

5、在以上步骤配置完成后，输入qui回车推出子接口模式，在全局模式下输入observe-port 1 interface GigabitEthernet 0/0/2，配置被监控端口。

6、再执行命令display observe-port，如图已显示端口2代表成功。此时端口镜像已经做好了，可通过电脑1安装抓包软件，对交换机端口2，即电脑2上产生的流量进行分析。