华三交换机流量镜像配置攻略,高效监控网络流量

我们来详细说明一下华三（H3C）交换机上的流量镜像（Flow Mirroring / SPAN）配置。
流量镜像（也称为端口镜像、SPAN - Switched Port Analyzer 或 sFlow 的功能之一）是一种网络监控技术，它允许你复制（镜像）从交换机的一个或多个源端口（或端口组）流出的流量，并将这些复制的流量转发到一个指定的目的端口（称为监控端口或镜像端口），连接到网络分析器（如 Snort、Wireshark、Nagios、H3C 的 NetStream 分析器等）。
这样，网络管理员可以在不影响网络正常通信的情况下，对感兴趣的流量进行分析、监控和故障排查。
"基本概念"
"源端口 (Source Ports):" 指流量来源的端口或端口组。可以是物理端口、VLAN、Port-Channel 等。 "目的端口 (Destination Port / Monitor Port):" 指接收复制流量的端口。通常是连接监控设备的端口。 "镜像类型 (Mirroring Type):" "入方向 (Inbound):" 镜像从源端口 接收 的流量。 "出方向 (Outbound):" 镜像从源端口 发送 的流量。 "双向 (Bidirectional):" 同时镜像入方向和出方向的流量。 "镜像比例 (Mirror Ratio):

相关内容：

lass="xiangguan" id="content">以下是华三（H3C）交换机配置流量镜像的详细操作步骤，结合不同场景需求和官方文档要点整理而成：

一、基础配置：本地端口镜像

适用场景：同一台交换机上的流量监控（如将多个端口的流量复制到单个监控端口）。

步骤1：创建本地镜像组

system-view mirroring-group local

• 组号
• 为自定义的镜像组编号（如1、2等）。

步骤2：配置源端口

方法一（批量配置）：

mirroring-group mirroring-port

示例：将G1/0/1至G1/0/5的入方向流量加入镜像组1

mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/5 inbound

方向参数：inbound（入口流量）、outbound（出口流量）、both（双向流量）。

方法二（单端口配置）：

interface mirroring-group mirroring-port

步骤3：配置目的端口

mirroring-group monitor-port

示例：将G1/0/24设为目的端口

mirroring-group 1 monitor-port GigabitEthernet 1/0/24

注意事项

• 需关闭目的端口的生成树协议（STP），避免镜像失效：
• interface undo stp enable
• 目的端口不能是聚合组成员或开启LACP/STP的端口。

步骤4：验证配置

display mirroring-group all

检查镜像组状态是否为Active，并确认源端口与目的端口绑定关系。

二、特殊场景配置

场景1：多镜像口映射到多观察口

需求：将不同部门的流量镜像到不同监控服务器（如研发部流量到G1/0/4，市场部到G1/0/5）。

批量配置观察端口

observe-port interface-range

示例：将G1/0/4和G1/0/5设为观察端口组1。

为不同源端口绑定观察组

interface port-mirroring to observe-port

场景2：远程镜像（跨设备监控）

适用场景：源交换机与目的交换机位于不同物理位置。

配置远程镜像VLAN

在源、中间、目的交换机上创建相同的静态VLAN（如VLAN 100）并启用远程镜像功能：

vlan 100 remote-probe vlan enable

源交换机配置

指定反射端口和远程镜像VLAN：

mirroring-group remote-source mirroring-group reflector-port mirroring-group remote-probe vlan 100

目的交换机配置

绑定监控端口至远程镜像VLAN：

mirroring-group remote-destination mirroring-group monitor-port

确保中间交换机的Trunk端口允许VLAN 100通过。

三、注意事项与常见问题

1. 性能影响

• 镜像流量可能占用带宽，避免对核心业务端口进行双向镜像。

1. 型号差异

• 低端型号（如S2000）可能仅支持monitor-port命令，不支持observe-port。

1. 批量配置技巧

• 使用interface-range命令批量操作端口范围，提升效率。

1. 
   
2. 常见故障排查

• 镜像不生效
• 检查目的端口是否关闭STP，或镜像组状态是否为Active。
• 流量遗漏
• 确认镜像方向（如仅inbound可能漏掉出口流量）。

四、扩展功能：流镜像（基于ACL过滤）

适用场景：仅监控特定协议或IP的流量（如HTTP或指定IP段）。

1. 定义ACL规则：
2. acl advanced 3000 rule permit tcp destination-port eq 80
3. 绑定ACL至镜像组：
4. mirroring-group mirroring-acl 3000

• 需在支持流镜像的高端型号（如S9300）中配置。

验证工具建议：

• 使用tcpdump或Wireshark连接目的端口抓包，确认镜像流量完整性：
• tcpdump -i -w capture.pcap

通过以上步骤，可灵活应对不同网络环境下的流量监控需求。具体命令可能因设备型号或系统版本略有差异，建议参考对应设备的官方配置手册。