城域网常见交换机端口和远程镜像分析

《城域网常见交换机端口和远程镜像分析》由会员分享，可在线阅读，更多相关《城域网常见交换机端口和远程镜像分析（17页珍藏版）》请在装配图网上搜索。

1、城域网常见交换机端口及远程镜像郭锐雄案 例描述镜像即将一个端口的流量复制到另一个端口，以便抓包处理，镜像分三种：1、本地端口镜像：即将一个端口流量镜像到同一交换机的另一端口。2、二层端口镜像（rspan） ：将镜像流量转到某一个vlan 内，虽然流量是单播，但一般设备对未知单播都会做广播处理，故任何一个加入该vlan 的端口均可抓到该镜像流量。3、三层流量接口（erspan） ：将流量镜像到远程的三层接口，需要有到该端口的路由。4、流镜像：流镜像是指在设备上配置一定的规则，将符合规则的特定业务流复制到观察端口进行分析和监控。二、常 见交换机镜像配置一、华为S9312端口镜像：1、本地镜像（本例

2、是配置M:N 的镜像，即将M 个镜像端口的报文复制到 N 个不同的观察端口， 这里讲接口改成一个就是普通的端口镜像） ：a） 配置观察端口：Switch observe-port 1 interface-range gigabitethernet 1/0/4gigabitethernet 1/0/5（ 如果是单个接口就interface ， 不带 range）b） 配置镜像端口：Switch-GigabitEthernet1/0/1port -mirroring to observe-port 1inbound / 将接口 GE1/0/1 的入方向绑定到索引为 1 的观察端口上c） 查看观察端

3、口和镜像端口 display observe-port display port-mirroringe） 本地流镜像在 Switch 上配置接口 GE1/0/2 为本地观察端口：Switch observe-port 1 interface gigabitethernet 1/0/2在Switch上创建流分类cl,并配置流分类规则匹配以下两类报 文：源地址为10.1.1.0/24,目的TCP口号为80的端口号； Switch acl number 3000Switch-acl-adv-3000 rule permit tcp source 10.1.1.0 0.0.0.255 destinat

4、ion-port eq 80Switch-acl-adv-3000 quitSwitch traffic classifier c1 operator orSwitch-classifier-c1 if-match acl 3000在Switch上创建流行为bl,并配置流行为是流镜像，将指定报 文流镜像到本地观察端口 GE1/0/2。Switch traffic behavior blSwitch-behavior-b1 mirroring to observe-port 1Switch- behavior-bl quit在Switch上创建流策略p1,将流分类和对应的流行为进行绑定, 并将流

5、策略应用到接口 GE1/0/1的入方向上Switch traffic policy p1Switch-trafficpolicy-p1 classifier c1 behavior b1Switch-trafficpolicy-p1 quitSwitch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1traffic -policy p1 inboundf）查看流分类配置信息 display traffic classifier use-defined c12、二层端口镜像A 15WtflEdtll日性通41r穗 WMFi通睦

6、通霖百厂！ MMjRX 押文a）在SwitchA上配置观察端口在SwitchA上配置接口 GE1/0/2为二层远程观察端口，绑定的VLAN为VLAN1Q观察端口会将镜像报文向 VLAN10进行转发, 不需要在观察端口下进行接口加入 VLAN的操作。SwitchAobserve-port 1 interface gigabitethernet1/0/2 vlan 10b)c)d)在SwitchA上配置镜像端口在SwitchA上配置接口 GE1/0/1为镜像端口，将其入方向绑定到 二层远程观察端口，即将镜像端口接收到的报文复制一份到二层 远程观察端口。SwitchA interface gigab

7、itethernet 1/0/1SwitchA-GigabitEthernet1/0/1 port-mirroring to observe-port 1 inbound在 SwitchB 上创建 VLAN10 将接口 GE1/0/1 和 GE1/0/2 加入 VLAN1Q图中的server便能收到镜像报文。验证配置结果的命令和本地镜像一样，这里不做赘述。3、有时候配置二层远程端口镜像需要关闭 MAC学习功能.由于镜像报文的目的 MAC与原始报文目的MAC相同，不是监 控设备的MAC,也就是说，镜像报文不能通过 MAC表进行转发， 而是依赖未知单播的处理流程一一广播方式进行转发。假设用于走 镜

8、像流量的VLAN为vlan10,只要VLAN10对应的MAC表中不包含 镜像报文目的MAC对应的表项，镜像报文就可以通过广播方式转发 至U Server。特别注意做二层镜像的时候最好不要同时抓同一端口的出 入两个方向的包，以上图中抓 HostA和HostB的通信包为例，如果 在SwitchA的GE1/0/1 口同时抓出、入两个方向的包，因为 GE1/0/1 的入方向就有以MacA为源MAC地址，以MacB为目的MAC地址的数据流，而GE1/0/1的出方向就会有以 MacB源MAC地址、以MacB 为目的MAC地址的数据流，因为交换机端口会主动学习数据包的源 MAC地址，所以当出、入两个方向被镜

9、像的报文流到达SwitchB的GE1/0/2 口时，SwitchB的GE1/0/2 口就会在vlan10内同时学习到 MacA和MacB地址，见图中SwitchB的mac表，又因为从 SwitchA 镜像过来的数据流的目的 MAC也正好是MacA和MacB,所以镜像 过来的报文SwitchB便不再认为是未知单播报文，而是认为是普通 单播报文从SwitchB的GE1/0/2 口在vlan10内发送出去，导致本地 Server抓不到包。如果一定要同时抓两个方向的包，则要关闭用于 镜像的vlan内的mac地址学习功能。另外，如果vlan10内通过某种其他方式学习到了目的MAC （比如镜像端口加入了v

10、lan10,还有一些更复杂的情况可以参看华为S9312文档里二层远程端口镜像需要关闭 MAC学习功能的案例），则 此时也需要关闭该vlan内的MAC学习功能，但不推荐这么做，一般 配置二层远程端口镜像时不建议用同一个VLAN转发普通业务流量和镜像流量。e）二层端口的流镜像配置和本地流镜像基本一致，类推一下就可以了，这里不再赘述。 匕维观察 t B GREWift 里喻覆文 嶂很上在Switch上进行如下配置，实现Server远程监控研发部访问IInternet 的流量：1、配置接口 GE1/0/2为三层远程观察端口，指定封装镜像报文 的目的地址是监控设备的地址，源地址为Switch上的接口地址

11、。 2、配置接口 GE1/0/1为镜像端口，将研发部访问Internet的流量复制一份到三层远程观察端口。a） 配置观察端口在Switch上配置接口 GE1/0/2为三层远程观察端口，指定封 装镜像报文的目的地址是10.2.1.1,源地址是10.1.1.1 （源地 址可以任意指定本地地址，本例中使用loopback。）Switchobserve-port 1 interface gigabitethernet1/0/2 destination-ip 10.2.1.1 source-ip 10.1.1.1 vlan 10配置完成后,观察端口会在镜像报文外层添加GRE隧道头,再将其作为IP报文的数

12、据部分，封装在IP报文内进行转发。注意，如果到目的地址路由的出接口是 trunk 口的话，一定 要带后面的vlan,否则不能成功远程镜像，vlan为至U目的地 址路由所走的vlan。b） 配置镜像端口在Switch上配置接口 GE1/0/1为镜像端口，将其入方向绑定 到三层远程观察端口，即将镜像端口接收到的报文复制一份 到三层远程观察端口。Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 port -mirroring to observe -port 1 inboundc) f)验证配置结果的命令和本地镜像一样

13、，这里不做赘述。三层镜像的抓包结果是带 GRE头的封装的ERSPAN艮文（如 下图的第一个包，这里目的IP就是截图电脑的IP）,如果Fais. HTTP即PigW+痴runn intHTfacs- Q附:用：时冰4：W：由僧豆 i口 use - bw*m m 它 encejd：产 njki范* Fk ah!由 iM*曙/普 ir.fWff r.i /BWNwireshark不能直接解析的话，则需要强制解析成ERSPA酸, 如图所示：.UbE”,IWWfm11.瓯悔6IgiEFdl Pa=kor 30s)151ld.2-LC.G1 盥.HM.OL琉hwia tc驷1115IC. 1Mm 66 T

14、ro Sil ft.ITie.ia.4.if PkMI5E的1J2.LU.K，一 11 Pl-milm 冢Ml.MLd1劈-而冉 ImiH Art整lh.UlM,lk6IK. its. tId)iwr.iat.r刖立桂*电B3le.TW-ic.ePntflBE aJFtirI旷|上遮(1|4611011%/3监强WM&WE/却!.E血 附t曰 an Mire 5312 tiitx),驶.srt： Cl5Cisih：_a4i：M：al :刖：费;，rtvq ;ul zHezitid业Itm由4r gi牲曲，.-vfflisn irifDWj 岫 川itl. g民网g： wwkMn w&i-an,

15、产1根0 repws or lentTTT ； *”所巾Sysmi FTeiCwtn0刊由附SOTfqIom tp sirwriFohii UCF Stam、PrirUShw P1K量求 r 明 * WrdhH解析完之后就能看到普通的带GRE头的源数据报文:TirW制M循P*tmocdaoa 的 4mm17?. 1,77. 214.17?. 7BL121.UUCF85? 1MS7-JM10Od婀R172.2g.72.172,2121.12UDP35E 1M82-2S31O Len-frifiMi .加.10.200U.fi192.1MLO.M1514 Prague riled IP proto

16、toJ (pratiM6M5 G.WM3RMEOLik4tMi 叫 Tnrf Qmai ign1占日阴0,4746710,200,10.619?. IBS,061IPV41S14 FiraqfMjnred ip pri3rocflll (prora-Gi0.47721七9,工之对V?.27, 7Q.14IM80 umkhom 0耳的SflQB G. n7Sm.n.n.114171.27.70.14工”7TB urkriDWii Dxll酹睥。，桐HZ172.UDP8”109配Len-gAad o-.4ig74JKi172.29.72.a1172_27_23 2TEP112 3375-2260

17、|ACt seq-2iM5 Atk-Stu G.1?2.M 9 ,MHL之九时，1以TCP151 Truer lejn/ed channel GmM, 35 byigtl7177 2H9 70 Id2.UE 3 丁丹I- y . X j O JVTb1“ tcf ftmI。隹 $ 心驷ew mar叫P1U|6Ul 4vWW10.200.14.6IPv4151* Fraqn*ntecl TP protcco-T (pn-ato-Ofit14 6 4幻*的172. M . 7 . 142172-27_7fi_29?aTeip昌G tcp segver t of a reassertd ld Pl6

18、U5必必第10.200.14.6190.64121514 FrjigirtiLedi IP protocol Cproto-G6日 16 3,47456172. ?5, 70,14?17? ，了配”。TEPB0 TCP SC9Kfll of 1，*储：甲曲1出 PI6C17 G,172.29.l72r27r USOTCP1276 TCP seqaerrt 讲 . dsi:内加七心电_吐廿门14 (0G:25:le bc：4czftl)了 602.iq Virtual I am. prt；如 CFTi O. TO; 427&02_ 1Q Virtual LAN . PRI ：曲.CFIi % 工

19、口r 3134)1 irrternert Protocol Hr 3加 % 5rt; 172,2 72.2MB 口打：172*29,121.12user DMram proiGcolt src p-orc1 dst Fore: ?BH0工 Data t?-&4 bytes)e)三层接口流镜像三层接口流镜像的配置和本地接口也类似，类推即可。二、华为12808端口镜像：华为12808的本地镜像和二层镜像配置和 S9312的配置是一样的， 但三层镜像的配置比较特殊，需要两边设备真正的建立 GRE通道（S9312 只需要镜像端口所在设备配置 GRE即可）。三层远端镜像配置（如果12808的隧道是VXL

20、AN那么需要将设备 的隧道模式改为GRE，改完后设备需重启，所以可能实际用处不大）：IP,端口等配置如图所示，两边路由互通，现需要讲HOSTA的上联流量镜像到server,图3二品i元在湍口里国示意图O镜像端口O观察端口A报文海 ，复制报支流1、在SwitchA和SwitchB之间配置GRE隧道将隧道模式改为GRE卜SwitchA ip tunnel mode gre*SwitchA commit卜SwitchB ip tunnel mode gre*SwitchB commit配置完后需要重启。配置GRE!道SwitchA interface Tunnel 1*SwitchA-Tunnel1

21、 tunnel-protocol gre*SwitchA-Tunnel1 ip address 10.1.4.1 24*SwitchA-Tunnel1 source 10.1.2.2*SwitchA-Tunnel1 destination 10.1.3.2*SwitchA-Tunnel1 quit*SwitchA commitSwitchB interface Tunnel 1*SwitchB-Tunnel1 tunnel-protocol gre*SwitchB-Tunnel1 ip address 10.1.4.2 24*SwitchB-Tunnel1 source 10.1.3.2*Sw

22、itchB-Tunnel1 destination 10.1.2.2*SwitchB-Tunnel1 quit*SwitchB commit2、 配置 SwitchA 的远程观察端口和镜像端口。在 SwitchA 上配置接口 Tunnel 1 为远程观察端口，配置接10GE1/0/1 为镜像端口。SwitchA observe-port 1 interface Tunnel 1*SwitchA interface 10ge 1/0/1*SwitchA-10GE1/0/1 port-mirroring observe-port 1 inbound*SwitchA-10GE1/0/1 quit*S

23、witchA commit3、 配置 SwitchB 的本地观察端口和镜像端口。在 SwitchB 上配置接口 10GE1/0/1 为本地观察端口，配置接口10GE1/0/2 为镜像端口SwitchB observe-port 1 interface 10ge 1/0/1*SwitchB interface 10ge 1/0/2*SwitchB-10GE1/0/2 port-mirroring observe-port 1 inbound*SwitchB-10GE1/0/2 quit*SwitchB commit三、华为S2352交换机端口镜像：1、配置本地镜像华为S2352设备配置本地镜像和

24、华为S9312的配置是一样的，这里不做赘述。2、配置二层远程镜像a) .在Source Switch设备上配置需要远程镜像的接口和远程镜像VLAN豌像端口不允许加入到远程镜像 VLAN)执行命令vlan vlan-id,仓U建RSPAN VLA淤进入VLAN视图。执行命令 mac-address learning disable关闭MAC地址学习功能。执行命令quit 返回系统视图。执行命令observe-port index interface interface -type interface-numberreflect-type vlan vlan-id ，配置观察接口(也就是将镜像包发

25、往远程目的 交换机的端口，也就是连中间交换机的端口)为反射类型接口并指定远程镜像VLAN。执行命令 interface interface-type interface-number,进入远程镜像源 接口的接口视图。执行命令 port-mirroring to observe-port index both | inbound | outbound ，配置接口镜像。当需要同时监控多个接口的入方向或出方向的报文时，可以重复执行步骤 6 和步骤 7。b) .在Intermediate Switch设备上透传远程镜像 VLANc) .在Destination Switch设备上配置远程镜像的观察接口

26、先创建镜像VLAN,并保证镜像VLAN的透传。执行命令 interface interface-type interface-number,进入观察接口的接 口视图。执行命令 port hybrid untagged vlan vlan-id， 将观察接口配置为 Hybrid类型并允许远端镜像VLAN 的报文通过。执行命令 quit 返回系统视图，这样在观察端口便可抓取源端口的镜像报文。3、比较老版本的S2352设备配置有点区别，如下所示（下面步骤中与新版本配置相同部分已忽略） ：a）、在Source Sswitch设备上需将镜像 vlan配置为RSPAN VLAN操作步骤执行命令 vlan

27、vlan-id ，创建远程镜像VLAN 并进入 VLAN 视图。执行命令 rspan vlan enable 配置 VLAN 为 RSPAN VLAN执行命令 quit 返回系统视图。执 行 命 令 observing-port o-index interface interface-type interface-number relay-type ，配置观察接口为中继类型接口。b）、在Intermediate Sswitch设备上也需将镜像 vlan配置为RSPAN VLAN。执行命令system-view,进入系统视图。执行命令 vlan vlan-id ，创建远程镜像VLAN 并进入 V

28、LAN 视图。执行命令 rspan vlan enable 配置 VLAN 为 RSPAN VLAN执行命令 quit 返回系统视图。然后再透传该VLAN。c）、在Destination S-switch设备上配置远程镜像的观察接口执行命令system-view,进入系统视图。执行命令 vlan vlan-id ，创建远程镜像VLAN 并进入 VLAN 视图。执行命令 rspan vlan enable 配置 VLAN 为 RSPAN VLAN执行命令 quit 返回系统视图。执 行 命 令 observing-port o-index interface interface-type int

29、erface-number remote-type， 配置观察接口为远程镜像类型， 其余配置 和上面新版本的配置是一样的。4、华为S2352设备的流镜像配置和S9312一样，不再赘述，且该设 备不支持三层远程镜像。中兴 89121、本地端口镜像配置：Switchgei_3/3端口 gei_3/3连接了一台监控计算机，需监控 gei_1/2收的流量a) .将gei_1/2配置为镜像端口ZXR10(config)#interface gei_1/2ZXR10(configif)#monitor session 1 source direction rxb) .将gei_3/3配置为观察端口ZXR1

30、0(config)#interface gei_3/3ZXR10(configif)#monitor session 1 destinationc) .要监控gei_1/1、gei_1/2和gei_2/2收到的数据，可以通过上 述的接口模式按个讪置，也可仅在全局配置模式下批量配 置，配置如下：全局配置模式：ZXR10(config)#monitor session 1 source gei_1/2,gei_2/2 direction rx destination gei_3/32、本地端口流镜像将端口 gei_1/8上源IP地址为168.2.5.6的数据流镜像到 gei_1/4 上。ZXR10

31、(config)#acl standard number 10ZXR10(configstd-acl)#rule 1 permit 168.2.5.5ZXR10(configstd-acl)#rule 2 permit 168.2.5.6ZXR10(configstd-acl)#exitZXR10(config)#trafficmirro门n 10 rule-id 2 interfaceZXR10(config)#interface gei_1/8ZXR10(configif)#ip accessgroup 10 inZXR10(configif)#exitZXR10(config)#inte

32、rface gei_1/4ZXR10(configif)#monitor session 1 destination3、二层端口远程镜像二层端口远程镜像配置比较简单，以上面本地端口镜像的配置为例，只有观察端口配置有些区别其余配置均没有区别 以上图为例：将gei_3/3配置为流镜像的观察端口，并配置观察所用的vlan为10：ZXR10(config)#interface gei_3/3ZXR10(configif)#monitor session 1 destination rspan-vlanid 10依次类推，如果要配置二层端口远程流镜像，除观察端口要 如上配置vlan外，其余流镜像配置和本

33、地流镜像一样。4、三层端口远程镜像TunthdlSwitchlSwitch21/1 :10J0.10J0如图所示，在 Switch1与Switch2之间建立一个tunnel, Switch1的端口 gei_1/1作为镜像的源端口，配置 ERSPANB象。 配置完成后，经过Switch1端口 gei_1/1的报文就会封装ERSPAN 的头，镜像到指定的目的IP上，上白口图中的20.20.20.20,也可 以直接指到抓包的Server的IP,只要保证路由可达。配置如下：ZXR10(config)#interface gei_1/1ZXR10(configgei_1/1)#monitor sessi

34、on 1 source direction both ZXR10(configgei_1/1)#exitZXR10(config)#interface tunnel1ZXR10(configtunnel1)#tunnel mode gre ipZXR10(configtunnel1)#tunnel source ipv4 10.10.10.10 ZXR10(configtunnel1)#tunnel destination ipv4 20.20.20.20 ZXR10(configtunnel1)#monitor session 1 destination erspan flags enabl

35、etpid 0x8100 ttl 128ZXR10(configtunnel1)#exit这里本地收到的将是封装了 GREffi文头的ERSPAN据包， 解析方法见上面S9312里的三层镜像中WIireShark的操作。但是中兴89系列的三层远程镜像有问题，只支持当到目的IP去的路由所指的上联端口(如图中Switch1的1/2 口)和镜像端口(如图中Switch1的1/1 口)在同一块板卡时，才能正确转 发镜像流，如不在同一板卡，比如假设图中Switch1和Switch2是通过2/1 口互联，中兴89交换机就不会把镜像封装 GRE报文 头，而是和处理本地镜像一样，Switchl直接把1/1 口

36、的镜像流 镜像到2/1 口，则Switch2收到的报文就不带GRE封装头，像图 中没有经过路由器还没有什么问题，但如果 Switch1和Switch2 中间经过了路由器，则中间路由器便不能将报文转到 Switch2上。五、H3C12510端口镜像1、本地端口镜像a).组网需求通过配置源端口方式的本地端口镜像，使Server可以监控所有进、 出市场部和技术部的报文。b).组网图c).配置步骤#创建本地镜像组1 system-viewDevice mirroring-group 1 local #配置本地镜像组1的源端口为 GigabitEthernet4/0/1和 GigabitEthernet

37、4/0/2 ,目的端口为 GigabitEthernet4/0/3。Devicemirroring -group 1 mirroring-port GigabitEthernet4/0/1GigabitEthernet 4/0/2 bothDevice mirroring-group 1 monitor-port GigabitEthernet 4/0/3d).验证配置Device display mirroring-group all2、本地流镜像a).组网需求某公司内的各部门之间使用不同网段的IP地址，其中市场部和技 术部分别使用 192.168.1.0/24 和 192.168.2.0/

38、24 网段.通过配置流镜像，使Server可以监控技术部访问互联网的80端口流量，以及技术部在工作时间发往市场部的IP流量。b).组网图GE4；10/1 D&vice AHosi AHost BServerHost CHost DC).配置步骤#创建ACL 300cl并定义如下规则：匹配技术部访问80端口的报文， 以及在工作时间由技术部发往市场部的IP报文。DeviceA acl number 3000DeviceA-acl-adv-3000 rule permit tcp source 192.168.2.0 0.0.0.255destination-port eq 80DeviceA-ac

39、l-adv-3000 rule permit ip source 192.168.2.0 0.0.0.255destination 192.168.1.0 0.0.0.255DeviceA-acl-adv-3000 quit#创建流分类tech_c,并配置报文匹配规则为 ACL 3000DeviceA traffic classifier tech_cDeviceA-classifier-tech_c if-match acl 3000DeviceA-classifier-tech_c quit#创建流行为tecn_b,并配置流镜像到接口 GigabitEthernet4/0/3DeviceA

40、 traffic behavior tech_bDeviceA-behavior-tech_b mirror -to interface GigabitEthernet 4/0/3DeviceA-behavior-tech_b quit#创建QoS策略tech_p,在策略中为流分类tech_c指定采用流行为 tech_b。DeviceA qos policy tech_pDeviceA-qospolicy-tech_p classifier tech_c behavior tech_bDeviceA-qospolicy-tech_p quit#将QoS策略tech_p应用到接口 Gigabit

41、Ethernet4/0/4的入方向上。DeviceA interface GigabitEthernet 4/0/4DeviceA-GigabitEthernet4/0/4 qos apply policy tech_p inboundDeviceA-GigabitEthernet4/0/4 quit3、二层远程端口镜像a) . 组网需求通过配置二层远程端口镜像，使Server可以监控所有进、出市场部 的报文。b) . 组网图源设筑中间设*H的设&AD&vic BDe vice CO营通枷I 源端I1 人反射端I J 口“的菊”c）.配置步骤（1） .配置 Device A# 创建远程源镜像组

42、1。 system-viewDeviceA mirroring-group 1 remote-source# 创建VLAN 2作为远程镜像VLANoDeviceA vlan 2# 关闭VLAN 2的MAC地址学习功能。DeviceA-vlan2 undo mac-address maclearning enableDeviceA-vlan2 quit# 配置远程源镜像组1的远程镜像 VLAN为VLAN 2,源端口为 GigabitEthernet4/0/1 （镜像源也可以是vlan,只是下面相应的命令 中 mirroring-port 要改为 mirroring-vlan ）, 反射 端口为

43、GigabitEthernet4/0/3（反射端口的作用相当于使用该端口的资源来 做远程镜像，反射端口要是没有使用的端口，且配置一定要清零， 否则会影响镜像功能的正常使用）DeviceA mirroring-group 1 remote-probe vlan 2DeviceA mirroring-group 1 mirroring-port GigabitEthernet 4/0/1 bothDeviceA mirroring-group 1 reflector-port GigabitEthernet 4/0/3(2) .配置Device C# 创建远程目的镜像组2。DeviceC mirr

44、oring-group 2 remote-destination# 创建VLAN 2作为远程镜像VLAN。DeviceC vlan 2# 关闭VLAN 2的MAC地址学习功能。DeviceC-vlan2 undo mac-address mac-learning enableDeviceC-vlan2 quit# 配置远程目的镜像组2的远程镜像VLAN为VLAN 2,目的端口为 GigabitEthernet4/0/2 ， 并将其加入VLAN 2(如果该端口开启了生成树协议需关闭) 。DeviceC mirroring-group 2 remote-probe vlan 2DeviceC in

45、terface GigabitEthernet 4/0/2DeviceC-GigabitEthernet4/0/2 mirroring -group 2 monitor-portDeviceC-GigabitEthernet4/0/2 quit(3) .验证配置DeviceC display mirroring-group all4、H3c的12510系列交换机目前不支持二层远程端口流镜像和三层远程端口镜像。总结端口镜像对于处理问题帮助是非常大，虽然原理是一样的，但不同厂商实现起来差异很大，而且同一厂商不同型号也有不同特性，所以一定要实际做测试，有没有镜像成功可以做端口统计或者直接看流量来判断。