华三H3C、华为与中兴交换机远程镜像配置详解

本文主要介绍了华三（H3C）、华为和中兴交换机的常见远程镜像和流镜像配置方法，包括本地端口镜像、二层远程端口镜像（RSPAN）、三层远程端口镜像（ERSPAN）以及流镜像的应用。 在城域网环境中，交换机的端口镜像功能对于网络监控和故障排查至关重要。镜像技术能够将一个端口的流量复制到另一个端口，以便通过抓包工具进行分析。通常，镜像分为三种类型： 1. 本地端口镜像：在同一台交换机内部，将一个端口的流量复制到另一个端口。配置时，需要指定观察端口和镜像端口。 2. 二层远程端口镜像（Remote Span, RSPAN）：利用VLAN将镜像流量转发到网络中的其他位置。由于未知单播会被广播处理，任何加入该VLAN的端口都能捕获镜像流量。 3. 三层远程端口镜像（Enhanced Remote Span, ERSPAN）：允许跨越多个子网或路由器，将流量镜像到远程的三层接口。这需要设备之间存在到达镜像端口的路由。 4. 流镜像：根据特定规则（如源IP、目的IP、端口号等）选择性地复制流量到观察端口，实现对特定业务流的监控。 以华为S9312交换机为例，配置本地镜像的步骤如下： - 配置观察端口：使用`observe-port`命令，如`observe-port1interface-range gigabitethernet1/0/4 gigabitethernet1/0/5`创建观察端口。 - 配置镜像端口：使用`port-mirroring`命令，如`port-mirroring to observe-port1 inbound`将镜像端口的入方向流量绑定到观察端口。 - 查看配置：使用`display observe-port`和`display port-mirroring`命令确认配置。 本地流镜像配置涉及ACL（访问控制列表）和流分类器： - 创建观察端口：`observe-port1interface gigabitethernet1/0/2` - 定义ACL规则：如`acl number 3000`，`rule permit tcp source 10.1.1.0 0.0.0.255 destination-port eq 80`，允许TCP源地址为10.1.1.0/24且目的端口为80的流量。 - 创建流分类器：`traffic classifier c1 operator or`，并关联定义的ACL。 中兴和H3C的配置过程类似，但命令语法可能有所不同。在实际操作中，应参考对应设备的官方文档以获取准确的配置步骤。 理解并熟练掌握这些镜像技术对于网络管理员来说非常重要，它可以帮助他们有效地监控网络性能，诊断问题，并确保网络的稳定运行。在企业网络环境中，正确配置和使用端口镜像和流镜像可以极大地提升网络管理和维护的效率。