「gigabitethernet」端口镜像。gigabitethernet 。端口镜像防火墙。ACL。

gigabitethernet

端口镜像（port Mirroring）功能通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听。指定端口称之为“镜像端口”或“目的端口”，

可以通过镜像端口对网络的流量进行监控分析。

常用到的配置命令。fra、frsta、frsto

端口镜像通常有以下几种别名：

●Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

●Monitoring Port 监控端口

●Spanning Port 通常指允许把所有端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

●SPAN port 在 Cisco 产品中，SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。

●Link Mode port这样，这些流量就可以被一个特殊的设备监控。它对发现和修理故障有很大的帮助。

SPAN(Switched Port Analyzer) 交换端口分析仪

本地镜像：源端口和目的端口在同一个路由器上。

远端镜像：源端口和目的端口分布在不同的路由器上，镜像流量经过某种封装，实现跨路由器传输。

入口镜像：只对从该端口进入的流量进行镜像。
出口镜像：只对该端口的发出的流量进行镜像。
双向镜像：支持对该端口收到和发出的双向流量进行镜像。

流镜像：如果端口上配置了ACL并启用，则认为是流镜像。流镜像只采集经过ACL过滤后的数据包，否则认为是纯端口镜像。

纯端口镜像：对端口进出的流量进行镜像。

访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

其主要作用是限制网络流量，提高网络性能

限制网络流量，提高网络性能

例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

简历端口镜像方法

Cisco CATALYST交换机端口监听配置

Cisco CATALYST交换机分为两种，在CATALYST家族中称侦听端口为分析端口(analysis port)。

1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置 (基于CLI)

以下命令配置端口监听：

port monitor

例如，F0/1和F0/2、F0/3同属VLAN1，F0/1监听F0/2、F0/3端口：

interface FastEthernet0/1

port monitor FastEthernet0/2

port monitor FastEthernet0/3

port monitor VLAN1

配置命令：

1. 指定分析口

feature rovingAnalysis add，或缩写 f r a，

例如：

Select menu option: feature rovingAn alysis add

Select analysis slot: 1?& nbsp;

Select analysis port: 2

2. 指定监听口并启动端口监听

feature rovingAnalysis start，或缩写 f r sta，

例如：

Select menu option: feature rovingAn alysis start

Select slot to monitor ?(1-12): 1

Select port to monitor&nb sp;?(1-8): 3

3. 停止端口监听

feature rovingAnalysis stop，或缩写 f r sto

Intel 称端口监听为“Mirror Ports”。网络流量被监听的端口称作“源端口”（Source Port），连接监听设备的端口称作“镜像口”（Mirror Port）。

配置端口监听步骤如下：

1. 在 navigation菜单，点击Statistics下的Mirror Ports，弹出Mirror Ports信息。

2. 在Configure Source 列中点击端口来选择源端口，弹出Mirror Ports Configuration。

3. 进行源端口设置：源端口是镜像流量的来源口，镜像口是接收来自源端口流量的端口，点击Apply确定。

可以选择三种监听的方式：

1．连续（Always）：镜像全部流量。

2．周期（Periodic）：在一定周期内镜像全部流量。镜像周期在Sampling Interval configuration中设置。

3 ．禁止（Disabled）：关闭流量镜像。

在Avaya交换机用户手册中，端口监听被称为“端口镜像”（Port Mirror）。

以下命令配置端口监听：

{ set|clear } Port Mirror

设置端口侦听：set port mirror <mod-port-range> source-port ?<mod-port-range> mirror-port <mod-port-spec> sampling { always | disable | periodic } [ max-packets-sec <max-packets-sec-value>?& nbsp;] [ piggyback-port<mod-port-spec> ]?&nb sp;

禁止端口监听：clear port mirror <mod-port-range>

命令中，mod-port-range指定端口的范围；mod-port-spec指定特定的端口；piggyback-port指定双向镜像的端口；sampling指定镜像周期；max-packets-sec仅在sampling设置为periodic时使用，指定监听口每秒最多的数据报数量。

华为交换机用户手册中，端口监听被称为“端口镜像”（Port Mirroring）。

使用Huawei Lanswitch View管理系统添加一个镜像端口：

● 选择Device Setup或Stack Setup。

● 点击Port Mirroring。

● 点击Add按钮。

● 对于堆叠，点击Switch并从列表选择一个交换机。

● 点击Reflect from并选择流量将被镜像的端口。

● 点击Reflect to并选上面所选择的端口。

华为交换机如何配置端口镜像及删除端口镜像？

一般具有管理功能的交换机都会有端口镜像这个功能，这个功能就是为了方便观察或者监控端口流量。今天就简答说下怎样配置端口镜像和怎样删除端口镜像。

配置端口对端口镜像。将镜像端口GE0/0/2入方向的报文（即接收到的报文）复制到观察端口GE0/0/1上，GE0/0/1与监控设备直连。

华为交换机如何配置端口镜像及删除端口镜像？

system-view

observe-port 1 interface gigabitehernet 0/0/1

interface gigabitethernet 0/0/2

port-mirroring to observe-port 1 inbound

quit

系统视图

观察端口 1 接口千兆以太网 0/0/1

接口 0/0/2

0/0/2 端口镜像到观察端口 1 流入的。（将镜像端口GE0/0/2入方向的报文（即接收到的报文）复制到观察端口GE0/0/1上）

0/0/2 退出

gigabitethernet 吉比特以太网或称千兆以太网，(GbE, Gigabit Ethernet或 1 GigE) 是一个描述各种以吉比特每秒速率进行以太网帧传输技术的术语

删除端口镜像。在镜像端口下执行命令undo port-mirroring，删除观察端口与镜像端口的绑定关系，恢复镜像端口为普通端口。

在系统视图下执行命令undo observe-port，删除观察端口。

端口镜像防火墙

系统集成工程师，经常要配置一些路由器、交换机、防火墙等，最近要给一些单位安装防火墙与入侵检测系统（IDS），IDS要检测内部局域网与外部网络之间的通信数据，这就需要IDS串接至一台能够配置端口镜像的交换机

端口镜像也是一个经常用到的功能

下面是一些常用的交换机的端口镜像命令

华为3COM部分

8016交换机

1.假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2.设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

1.设置E1/0/15和E2/0/0为镜像（观测）端口

[SwitchA] port monitor ethernet 1/0/15

2.设置端口1/0/0为被镜像端口，分别使用E1/0/15和E1/0/14对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 1/0/14

H3C 端口镜像配置过程详解~ - H3C技术论坛

===

H3C各种型号交换机端口镜像配置方法总结~

一、端口镜像概念：

Port Mirror(端口镜像）是用于进行网络性能监测。可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置

『环境配置参数』

1. PC1接在交换机E0/1端口，IP地址1.1.1.1/24

2. PC2接在交换机E0/2端口，IP地址2.2.2.2/24

3. E0/24为交换机上行端口

4. Server接在交换机E0/8端口，该端口作为镜像端口

『组网需求』

1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不同方式进行配置：

1) 基于端口的镜像

2) 基于流的镜像

2 数据配置步骤

『端口镜像的数据流程』

基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】

S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：

方法一

1. 配置镜像（观测）端口

[SwitchA]monitor-port e0/8

2. 配置被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

方法二

1. 可以一次性定义镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

1. 设置E1/0/15和E2/0/0为镜像（观测）端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 100

2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖基于二层流的镜像〗

1. 定义一个ACL

[SwitchA]acl num 200

2. 定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2

3. 定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1

4. 将符合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516/6506/6503/6506R】

目前该三款产品支持对入端口流量进行镜像

1. 定义镜像端口

[SwitchA]monitor-port Ethernet 3/0/2

2. 定义被镜像端口

[SwitchA]mirroring-port Ethernet 3/0/1 inbound

【补充说明】

1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现

限制网络流量，提高网络性能

端口镜像。gigabitethernet 。端口镜像防火墙。ACL。