H3C交换机镜像功能是网络监控和故障排查的重要工具,通过将指定端口的流量复制到镜像端口,管理员可以实时分析网络数据包,实现安全审计、性能优化等目标,H3C交换机支持本地镜像和远程镜像(基于SPAN/RSPAN),配置时需明确源端口(被监控端口)、镜像端口(监控输出端口)以及镜像方向( inbound、outbound 或 both),以下从命令基础、配置步骤、高级功能及注意事项等方面详细说明。
基础镜像命令
H3C交换机的镜像配置主要通过系统视图和接口视图下的命令完成,核心命令包括:
- 开启镜像功能:
在系统视图下使用mirroring-group命令创建镜像组并指定类型(本地镜像为local,远程镜像为remote)。system-view mirroring-group 1 local // 创建本地镜像组1,类型为local
- 配置源端口:
使用mirroring-group 1 mirroring-port <端口列表>添加源端口,或通过mirroring-group 1 mirroring-port <端口列表> inbound|outbound|both指定流量方向。mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 inbound // 仅镜像入向流量 mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both // 镜像双向流量
- 配置镜像端口:
使用mirroring-group 1 monitor-port <端口>指定镜像输出端口。mirroring-group 1 monitor-port GigabitEthernet 1/0/24
注意:镜像端口需为独立端口,不能与源端口重叠,且建议配置为混杂模式(默认支持)。
远程镜像配置(RSPAN)
跨交换机的镜像需通过远程镜像(RSPAN)实现,需在核心交换机上配置镜像VLAN,并在接入交换机上配置源端口和远程镜像目的端口,步骤如下:
- 创建镜像VLAN:
在核心交换机上划分专用VLAN(如VLAN 100)用于传输镜像流量:vlan 100 remote-mirroring-vlan 100 // 将VLAN 100设为远程镜像VLAN
- 配置核心交换机:
将镜像VLAN作为输出端口:mirroring-group 1 remote mirroring-group 1 mirroring-port <核心端口> remote-vlan 100
- 配置接入交换机:
源端口和远程目的端口配置:mirroring-group 1 local mirroring-group 1 mirroring-port <接入端口> both mirroring-group 1 monitor-port <远程目的端口> remote-vlan 100
高级功能与参数
- 基于VLAN的镜像:
可通过mirroring-group 1 mirroring-vlan <VLAN列表>实现对特定VLAN流量的镜像,减少无关数据干扰。 - 端口聚合支持:
源端口可为Eth-Trunk(端口聚合),需确保聚合端口内所有成员端口均被镜像。 - 流量过滤:
通过mirroring-group 1 filter命令结合ACL,仅镜像符合条件(如特定IP或协议)的流量。
注意事项
- 端口性能:镜像端口流量可能为源端口的2倍(双向镜像),需确保镜像端口带宽充足,避免拥塞。
- CPU占用:高流量场景下,镜像可能增加交换机CPU负载,建议在非业务高峰期启用。
- 安全性:镜像端口数据可能包含敏感信息,需限制物理访问权限。
- 版本差异:部分H3C Comware版本命令可能略有不同(如
mirroring-portvsport-mirror),需参考对应版本文档。
配置示例(本地镜像)
以下为典型本地镜像配置流程:
| 步骤 | 命令 | 说明 |
|------|------|------|
| 1. 创建镜像组 | mirroring-group 1 local | 创建本地镜像组1 |
| 2. 添加源端口 | mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both | 镜像GE1/0/1双向流量 |
| 3. 指定镜像端口 | mirroring-group 1 monitor-port GigabitEthernet 1/0/24 | 输出至GE1/0/24 |
| 4. 保存配置 | save | 保存当前配置 |
FAQs
Q1: 如何删除已配置的镜像组?
A1: 在系统视图下使用命令 undo mirroring-group <镜像组ID>,undo mirroring-group 1,可删除整个镜像组及其所有配置。
Q2: 镜像端口无法接收镜像数据,如何排查?
A2: 首先检查镜像端口是否被其他功能占用(如堆叠、级联),确认镜像组配置正确性(源端口与镜像端口是否属于同一VLAN),以及镜像端口连接的设备是否正常工作,可通过 display mirroring-group 查看镜像组状态信息。
