华为端口镜像命令是网络管理员进行流量监控、故障排查和安全审计的重要工具,它允许将指定源端口的接收(Rx)、发送(Tx)或双向流量复制到目标端口,以便通过分析设备(如IDS/IPS、流量分析仪)进行实时或离线分析,华为设备支持本地镜像(源端口和目标端口在同一设备)和远程镜像(源端口和目标端口跨设备)两种模式,不同版本的VRP(Versatile Routing Platform)系统命令 syntax 可能略有差异,但核心功能一致,以下从基础概念、命令语法、配置步骤及注意事项等方面进行详细说明。
端口镜像基础概念
端口镜像主要涉及三类端口:
- 源端口(Source Port):需要被监控的端口,可以是单个端口、端口组或VIF(虚拟接口)。
- 目的端口(Destination Port):接收复制流量的端口,通常连接监控设备,需确保其速率不小于源端口总流量(避免丢包)。
- 镜像方向:包括接收(Rx,流入设备的流量)、发送(Tx,流出设备的流量)和双向(Both,默认)。
华为端口镜像命令语法
华为VRP系统中,端口镜像配置主要在系统视图下通过mirroring-group命令实现,具体语法如下:
创建镜像组并指定类型
mirroring-group group-id { local | remote }
group-id:镜像组ID,取值范围1-64,本地镜像和远程镜像需使用不同的组ID。local:本地镜像模式,源端口和目的端口在同一设备。remote:远程镜像模式,需结合VLAN或GRE隧道实现跨设备流量复制。
添加源端口
mirroring-group group-id mirroring-port interface interface-type interface-number [ { inbound | outbound | both } ]
mirroring-port:指定源端口。inbound/outbound/both:可选,默认both,若需单向监控需明确方向。
添加目的端口
mirroring-group group-id monitor-port interface interface-type interface-number
monitor-port:指定目的端口,一个镜像组仅支持一个目的端口,且目的端口不能再作为源端口或其他镜像组的目的端口。
配置远程镜像(跨设备场景)
若源端口和目的端口在不同设备,需在源设备配置远程镜像,并将复制流量通过VLAN或GRE隧道转发到目的设备。
# 在源设备上配置远程镜像VLAN vlan vlan-id remote-mirroring-vlan vlan-id # 在目的设备上接收远程镜像流量并映射到本地端口 interface interface-type interface-number port link-type access port default vlan vlan-id
端口镜像配置步骤(以本地镜像为例)
假设需要将GigabitEthernet0/0/1端口的双向流量镜像到GigabitEthernet0/0/2端口,具体步骤如下:
-
进入系统视图
system-view
-
创建本地镜像组(组ID为1)
mirroring-group 1 local
-
添加源端口并指定镜像方向
mirroring-group 1 mirroring-port GigabitEthernet 0/0/1 both
-
添加目的端口
mirroring-group 1 monitor-port GigabitEthernet 0/0/2
-
保存配置
save
配置完成后,GigabitEthernet0/0/2端口将实时复制GigabitEthernet0/0/1的双向流量,连接监控设备即可捕获数据包。
高级配置与注意事项
镜像多个源端口
若需监控多个端口,可在同一镜像组中重复添加源端口:
mirroring-group 1 mirroring-port GigabitEthernet 0/0/3 inbound mirroring-group 1 mirroring-port GigabitEthernet 0/0/4 outbound
基于VLAN的镜像
若需监控某个VLAN的所有流量,可配置VLAN镜像:
mirroring-group 1 local mirroring-group 1 mirroring-vlan 10 # 监控VLAN 10的双向流量 mirroring-group 1 monitor-port GigabitEthernet 0/0/2
注意事项
- 性能影响:镜像流量会占用设备带宽,若源端口流量过大(如万兆端口),可能导致设备CPU或转发性能下降,建议使用高性能监控设备或开启硬件镜像(设备需支持)。
- 端口状态:源端口和目的端口必须处于
up状态,且目的端口不能配置IP地址、VLAN成员等(仅作为纯镜像接收端口)。 - 远程镜像限制:远程镜像需确保源设备和目的设备之间的网络路径可达,且VLAN ID或GRE隧道配置一致,避免流量环路。
- 安全风险:目的端口流量可能包含敏感信息,需限制物理访问权限,防止未授权监控。
常见问题FAQs
Q1:端口镜像配置后,目的端口无法捕获流量,可能的原因有哪些?
A:可能原因及解决方法如下:
- 目的端口未正确配置:检查是否已将端口设置为
monitor-port,且未配置其他业务(如IP、VLAN)。 - 镜像方向错误:确认源端口的镜像方向(inbound/outbound/both)是否符合需求,例如仅配置
inbound则无法捕获发送流量。 - 端口状态异常:使用
display interface命令检查源端口和目的端口是否为up状态,若为down需排查链路或硬件故障。 - 镜像组配置冲突:确认源端口或目的端口是否已被其他镜像组占用,一个端口只能属于一个镜像组(作为源或目的)。
Q2:华为设备是否支持动态端口镜像(如基于ACL的流量镜像)?
A:部分高端华为设备(如CloudEngine系列交换机)支持基于ACL的动态镜像,可通过traffic-policy命令绑定ACL规则,将匹配流量的端口动态加入镜像组,配置示例:
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255
traffic-policy mirroring-policy
class-map match-all acl5
mirroring-group 1 mirroring-port GigabitEthernet 0/0/1 both
但低端设备(如S系列交换机)通常仅支持静态端口镜像,需手动指定源端口和目的端口,具体支持功能需参考设备型号对应的VRP版本手册。
