一、配置本地端口镜像（1:1）

组网需求

如图1-1所示，某公司行政部通过DeviceA与外部Internet通信，监控设备Server与DeviceA直连。用户希望通过监控设备Server对行政部访问Internet的流量进行监控。

本例中interface1、interface2和interface3分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3。

图1-1 配置本地端口镜像组网图

操作步骤

在DeviceA上配置10GE1/0/2为本地观察端口。

<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] observe-port 1 interface 10ge 1/0/2

在DeviceA上配置10GE1/0/1为镜像端口，以监控行政部主机发送的报文。

[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] port-mirroring observe-port 1 inbound
[DeviceA-10GE1/0/1] quit

检查配置结果

# 查看镜像的配置信息。

[DeviceA] display port-mirroring
  Observe port mirroring:
  -----------------------------------------------------------------------------
  MirroringPort         Direction        ObservePort : Interface
  -----------------------------------------------------------------------------
  10GE1/0/1             Inbound                    1 : 10GE1/0/2
  -----------------------------------------------------------------------------

配置脚本

DeviceA

#
sysname DeviceA
#
observe-port 1 interface 10GE1/0/2
#
interface 10GE1/0/1
 port-mirroring observe-port 1 inbound
#
return

二、配置本地端口镜像（1:N，通过单个观察端口方式配置）

组网需求

如图2-1所示，网络内主机通过DeviceA与Internet互通，监控设备ServerA、ServerB和ServerC与DeviceA直连。现在希望将网络内主机访问Internet的流量镜像到不同Server上，对流量进行不同的监控分析。

本例中interface1、interface2、interface3、interface4分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3、10GE1/0/4。

图2-1 配置本地端口镜像组网图

操作步骤

在DeviceA上分别配置接口10GE1/0/2、10GE1/0/3和10GE1/0/4为观察端口。

<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] observe-port 1 interface 10ge 1/0/2
[DeviceA] observe-port 2 interface 10ge 1/0/3
[DeviceA] observe-port 3 interface 10ge 1/0/4

在DeviceA上配置10GE1/0/1为镜像端口，将镜像端口入方向流量分别镜像到观察端口1、2和3。

[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] port-mirroring observe-port 1 inbound
[DeviceA-10GE1/0/1] port-mirroring observe-port 2 inbound
[DeviceA-10GE1/0/1] port-mirroring observe-port 3 inbound
[DeviceA-10GE1/0/1] quit

检查配置结果

# 查看观察端口的配置情况。

[DeviceA] display observe-port
  -----------------------------------------------------------------------------
  Index    : 1
  Interface: 10GE1/0/2
  -----------------------------------------------------------------------------
  Index    : 2
  Interface: 10GE1/0/3
  -----------------------------------------------------------------------------
  Index    : 3
  Interface: 10GE1/0/4
  -----------------------------------------------------------------------------

# 查看镜像的配置信息。

[DeviceA] display port-mirroring
  Observe port mirroring:
  -----------------------------------------------------------------------------
  MirroringPort         Direction        ObservePort : Interface
  -----------------------------------------------------------------------------
  10GE1/0/1             Inbound                    1 : 10GE1/0/2
                        Inbound                    2 : 10GE1/0/3
                        Inbound                    3 : 10GE1/0/4
  -----------------------------------------------------------------------------

配置脚本

DeviceA

#
sysname DeviceA
#
observe-port 1 interface 10GE1/0/2
observe-port 2 interface 10GE1/0/3
observe-port 3 interface 10GE1/0/4
#
interface 10GE1/0/1
 port-mirroring observe-port 1 inbound
 port-mirroring observe-port 2 inbound
 port-mirroring observe-port 3 inbound
#
return

三、置本地端口镜像（1:N，通过观察端口组方式配置）

组网需求

如图3-1所示，网络内主机通过DeviceA与Internet互通，监控设备ServerA、ServerB和ServerC与DeviceA直连。现在希望将网络内主机访问Internet的流量镜像到不同Server上，对流量进行不同的监控分析。

本例中interface1、interface2、interface3、interface4分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3、10GE1/0/4。

图3-1 配置本地端口镜像组网图

操作步骤

在DeviceA上配置观察端口组，将接口10GE1/0/2、10GE1/0/3和10GE1/0/4加入观察端口组。

<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] observe-port group 1
[DeviceA-observe-port-group-1] group-member 10ge 1/0/2 to 10ge 1/0/4
[DeviceA-observe-port-group-1] quit

在DeviceA上配置10GE1/0/1为镜像端口，将镜像端口入方向流量镜像到观察端口组1。

[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] port-mirroring observe-port group 1 inbound
[DeviceA-10GE1/0/1] quit

检查配置结果

# 查看观察端口组的配置情况。

[DeviceA] display observe-port
  GroupId    MemberPorts
  -----------------------------------------------------------------------------
        1    10GE1/0/2            10GE1/0/3            10GE1/0/4
  -----------------------------------------------------------------------------

# 查看镜像的配置信息。

[DeviceA] display port-mirroring
  Observe port group mirroring:
  -----------------------------------------------------------------------------
  MirroringPort         Direction        ObserveGroup
  -----------------------------------------------------------------------------
  10GE1/0/1             Inbound                     1
  -----------------------------------------------------------------------------

配置脚本

DeviceA

#
sysname DeviceA
#
observe-port group 1
 group-member 10GE1/0/2
 group-member 10GE1/0/3
 group-member 10GE1/0/4
#
interface 10GE1/0/1
 port-mirroring observe-port group 1 inbound
#
return

四、置本地端口镜像（N:1）

组网需求

如图4-1所示，某公司市场部、研发部、行政部通过DeviceA与外部Internet通信，监控设备Server与DeviceA直连。用户希望通过Server对这三个部门访问Internet的流量进行监控。

图4-1 配置本地端口镜像组网图

本例中interface1、interface2、interface3、interface4、interface5分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3、10GE1/0/4、10GE1/0/5。

操作步骤

在DeviceA上配置10GE1/0/4为本地观察端口。

<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] observe-port 1 interface 10ge 1/0/4

在DeviceA上配置接口10GE1/0/1、10GE1/0/2和10GE1/0/3为镜像端口，将其入方向绑定到本地观察端口，即将镜像端口接收到的报文复制一份到本地观察端口。

[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] port-mirroring observe-port 1 inbound
[DeviceA-10GE1/0/1] quit
[DeviceA] interface 10ge 1/0/2
[DeviceA-10GE1/0/2] port-mirroring observe-port 1 inbound
[DeviceA-10GE1/0/2] quit
[DeviceA] interface 10ge 1/0/3
[DeviceA-10GE1/0/3] port-mirroring observe-port 1 inbound
[DeviceA-10GE1/0/3] quit

检查配置结果

# 查看镜像的配置信息。

[DeviceA] display port-mirroring
  Observe port mirroring:
  -----------------------------------------------------------------------------
  MirroringPort         Direction        ObservePort : Interface
  -----------------------------------------------------------------------------
  10GE1/0/1             Inbound                    1 : 10GE1/0/4
  10GE1/0/2             Inbound                    1 : 10GE1/0/4
  10GE1/0/3             Inbound                    1 : 10GE1/0/4
  -----------------------------------------------------------------------------

配置脚本

DeviceA

#
sysname DeviceA
#
observe-port 1 interface 10GE1/0/4
#
interface 10GE1/0/1
 port-mirroring observe-port 1 inbound
#
interface 10GE1/0/2
 port-mirroring observe-port 1 inbound
#
interface 10GE1/0/3
 port-mirroring observe-port 1 inbound
#
return

五、配置本地端口镜像（M:N）

组网需求

如图5-1所示，网络内主机通过DeviceA与Internet互通，监控设备ServerA和ServerB与DeviceA直连。现在希望将网络内主机访问Internet的流量镜像到服务器ServerA和ServerB上，对流量进行监控分析。

本例中interface1、interface2、interface3、interface4、interface5分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3、10GE1/0/4、10GE1/0/5。

图5-1 配置本地端口镜像组网图

操作步骤

在DeviceA上配置观察端口组，将接口10GE1/0/4和10GE1/0/5加入观察端口组。

<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] observe-port group 1
[DeviceA-observe-port-group-1] group-member 10ge 1/0/4 to 10ge 1/0/5
[DeviceA-observe-port-group-1] quit

在DeviceA上分别配置10GE1/0/1、10GE1/0/2和10GE1/0/3为镜像端口，将镜像端口入方向流量镜像到观察端口组1。

[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] port-mirroring observe-port group 1 inbound
[DeviceA-10GE1/0/1] quit
[DeviceA] interface 10ge 1/0/2
[DeviceA-10GE1/0/2] port-mirroring observe-port group 1 inbound
[DeviceA-10GE1/0/2] quit
[DeviceA] interface 10ge 1/0/3
[DeviceA-10GE1/0/3] port-mirroring observe-port group 1 inbound
[DeviceA-10GE1/0/3] quit

检查配置结果

# 查看观察端口组的配置情况。

[DeviceA] display observe-port
  -----------------------------------------------------------------------------
  GroupId    MemberPorts
  -----------------------------------------------------------------------------
        1    10GE1/0/4             10GE1/0/5
  -----------------------------------------------------------------------------

# 查看镜像的配置信息。

[DeviceA] display port-mirroring
  Observe port group mirroring:
  -----------------------------------------------------------------------------
  MirroringPort         Direction        ObserveGroup
  -----------------------------------------------------------------------------
  10GE1/0/1             Inbound                     1
  10GE1/0/2             Inbound                     1
  10GE1/0/3             Inbound                     1
  -----------------------------------------------------------------------------

配置脚本

DeviceA

#
sysname DeviceA
#
observe-port group 1
 group-member 10GE1/0/4
 group-member 10GE1/0/5
#
interface 10GE1/0/1
 port-mirroring observe-port group 1 inbound
#
interface 10GE1/0/2
 port-mirroring observe-port group 1 inbound
#
interface 10GE1/0/3
 port-mirroring observe-port group 1 inbound
#
return

六、配置本地VLAN镜像

组网需求

如图6-1所示，HostA和HostB同属于VLAN 10，通过DeviceA与外部Internet互通。监控设备Server与DeviceA直连。现在希望通过Server对VLAN 10内的主机访问Internet的流量进行监控。

本例中interface1、interface2和interface3分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3。

图6-1 配置本地VLAN镜像组网图

操作步骤

在DeviceA上创建VLAN 10并将接口10GE1/0/1和10GE1/0/2加入VLAN 10。

<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] vlan batch 10
[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] portswitch
[DeviceA-10GE1/0/1] port link-type access
[DeviceA-10GE1/0/1] port default vlan 10
[DeviceA-10GE1/0/1] quit
[DeviceA] interface 10ge 1/0/2
[DeviceA-10GE1/0/2] portswitch
[DeviceA-10GE1/0/2] port link-type access
[DeviceA-10GE1/0/2] port default vlan 10
[DeviceA-10GE1/0/2] quit

在DeviceA上配置10GE1/0/3为观察端口。
```
[DeviceA] observe-port 1 interface 10ge 1/0/3
```
在DeviceA上配置VLAN镜像，将VLAN 10内接口接收的报文镜像到观察端口。
```
[DeviceA] vlan 10
[DeviceA-vlan10] mirroring observe-port 1 inbound
[DeviceA-vlan10] quit
```

检查配置结果

# 查看镜像的配置信息。

[DeviceA] display port-mirroring
  VLAN mirroring:
  -----------------------------------------------------------------------------
  VLAN                  Direction        ObservePort : Interface
  -----------------------------------------------------------------------------
  VLAN 10               Inbound                    1 : 10GE1/0/3
  -----------------------------------------------------------------------------

配置脚本

DeviceA

#
sysname DeviceA
#
vlan batch 10
#
observe-port 1 interface 10GE1/0/3
#
vlan 10
 mirroring observe-port 1 inbound
#
interface 10GE1/0/1
 port link-type access
 port default vlan 10
#
interface 10GE1/0/2
 port default vlan 10
#
return

七、配置本地基于MQC的流镜像（1:1）

组网需求

如图7-1所示，某公司研发部和市场部分别使用192.168.1.0/24和192.168.2.0/24两个网段地址，通过DeviceA进行通信，监控设备Server与DeviceA直连。用户希望通过监控设备Server对研发部发往市场部的报文进行监控。

本例中interface1、interface2、interface3分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3。

图7-1 配置本地基于MQC的流镜像组网图

操作步骤

在DeviceA上配置10GE1/0/2为观察端口。

<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] observe-port 1 interface 10ge 1/0/2

在DeviceA上创建流分类c1，并配置流分类规则为匹配源地址为192.168.1.0/24，目的地址为192.168.2.0/24的报文。

[DeviceA] acl number 3000
[DeviceA-acl4-advance-3000] rule permit ip source 192.168.1.0 24 destination 192.168.2.0 24
[DeviceA-acl4-advance-3000] quit
[DeviceA] traffic classifier c1
[DeviceA-classifier-c1] if-match acl 3000
[DeviceA-classifier-c1] quit

在DeviceA上创建流行为b1，并配置流镜像动作。

[DeviceA] traffic behavior b1
[DeviceA-behavior-b1] mirroring observe-port 1
[DeviceA-behavior-b1] quit

在DeviceA上创建流策略p1，将流分类和对应的流行为进行绑定；并将流策略应用到接口10GE1/0/1的入方向上，对研发部访问市场部的报文进行监控。

[DeviceA] traffic policy p1
[DeviceA-trafficpolicy-p1] classifier c1 behavior b1
[DeviceA-trafficpolicy-p1] quit
[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] traffic-policy p1 inbound
[DeviceA-10GE1/0/1] quit

检查配置结果

# 查看流分类的配置信息。

[DeviceA] display traffic classifier c1
  Traffic Classifier Information:
    Classifier: c1
      Type: OR
      Rule(s):
        if-match acl 3000

# 查看流策略的配置信息。

[DeviceA] display traffic policy p1
  Traffic Policy Information:
    Policy: p1
      Classifier: c1
        Type: OR
      Behavior: b1
        Mirroring observe-port 1

# 查看镜像的配置信息。

[DeviceA] display port-mirroring
  Traffic mirroring:
  -----------------------------------------------------------------------------
  TrafficBehavior                        ObservePort : Interface
  -----------------------------------------------------------------------------
  b1                                               1 : 10GE1/0/2
  -----------------------------------------------------------------------------

配置脚本

DeviceA

#
sysname DeviceA
#
observe-port 1 interface 10GE1/0/2
#
acl number 3000
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 
traffic classifier c1 type or
 if-match acl 3000
#
traffic behavior b1
 mirroring observe-port 1
#
traffic policy p1
 classifier c1 behavior b1 precedence 5
#
interface 10GE1/0/1
 traffic-policy p1 inbound
#
return

八、配置本地基于MQC的流镜像（1:N）

组网需求

如图8-1所示，某公司研发部和市场部分别使用192.168.1.0/24和192.168.2.0/24两个网段地址，通过DeviceA进行通信，监控设备Server与DeviceA直连。用户希望通过监控设备Server对研发部发往市场部的报文进行监控。

本例中interface1、interface2、interface3、interface4、interface5分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3、10GE1/0/4、10GE1/0/5。

图8-1 配置本地基于MQC的流镜像组网图

操作步骤

在DeviceA上配置观察端口组。

<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] observe-port group 1
[DeviceA-observe-port-group-1] group-member 10ge 1/0/2 to 10ge 1/0/4
[DeviceA-observe-port-group-1] quit

在DeviceA上创建流分类c1，并配置流分类规则为匹配源地址为192.168.1.0/24，目的地址为192.168.2.0/24的报文。

[DeviceA] acl number 3000
[DeviceA-acl4-advance-3000] rule permit ip source 192.168.1.0 24 destination 192.168.2.0 24
[DeviceA-acl4-advance-3000] quit
[DeviceA] traffic classifier c1
[DeviceA-classifier-c1] if-match acl 3000
[DeviceA-classifier-c1] quit

在DeviceA上创建流行为b1，并配置流镜像动作。

[DeviceA] traffic behavior b1
[DeviceA-behavior-b1] mirroring observe-port group 1
[DeviceA-behavior-b1] quit

在DeviceA上创建流策略p1，将流分类和对应的流行为进行绑定；并将流策略应用到接口10GE1/0/1的入方向上，对研发部访问市场部的报文进行监控。

[DeviceA] traffic policy p1
[DeviceA-trafficpolicy-p1] classifier c1 behavior b1
[DeviceA-trafficpolicy-p1] quit
[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] traffic-policy p1 inbound
[DeviceA-10GE1/0/1] quit

检查配置结果

# 查看流分类的配置信息。

[DeviceA] display traffic classifier c1
  Traffic Classifier Information:
    Classifier: c1
      Type: OR
      Rule(s):
        if-match acl 3000

# 查看流策略的配置信息。

[DeviceA] display traffic policy p1
  Traffic Policy Information:
    Policy: p1
      Classifier: c1
        Type: OR
      Behavior: b1
        Mirroring observe-port group 1

# 查看镜像的配置信息。

[DeviceA] display port-mirroring
  Observe group traffic mirroring:
  -----------------------------------------------------------------------------
  TrafficBehavior                        ObserveGroup
  -----------------------------------------------------------------------------
  b1                                                1
  -----------------------------------------------------------------------------

配置脚本

DeviceA

#
sysname DeviceA
#
observe-port group 1 
 group-member 10GE1/0/2
 group-member 10GE1/0/3
 group-member 10GE1/0/4
#
acl number 3000
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 
traffic classifier c1 type or
 if-match acl 3000
#
traffic behavior b1
 mirroring observe-port group 1
#
traffic policy p1
 classifier c1 behavior b1 precedence 5
#
interface 10GE1/0/1
 traffic-policy p1 inbound
#
return

Menu

Share

【系统监控配置】镜像配置举例

一、配置本地端口镜像（1:1）

二、配置本地端口镜像（1:N，通过单个观察端口方式配置）

三、置本地端口镜像（1:N，通过观察端口组方式配置）

四、置本地端口镜像（N:1）

五、配置本地端口镜像（M:N）

六、配置本地VLAN镜像

七、配置本地基于MQC的流镜像（1:1）

八、配置本地基于MQC的流镜像（1:N）

Comment

《华为手机和平板升级后满屏“卓”字？卓易通到底是什么，一篇给你讲明白》

【被误解的名言】“亏妻者百财不入”，你只看到了半句话

华硕RT-AX82U下插件Merlin Clash 2使用教程

安卓上最好用的漫画阅读器：Kuro Reader 到底强在哪？

【数据备份解密】什么是 PMFX 格式？一文看懂 DiskGenius 导出的整机系统镜像

《Windows分屏终极指南：横屏、竖屏、副屏的全场景快捷操作全解析》

【被误解的名言】“不听老人言，吃亏在眼前”其实只对了一半

麒麟 V10 SP3 高级服务器操作系统防火墙配置详解——从 firewalld 到策略落地的最佳实践

从入门到精通：蓝牙协议全解析—— 带宽、协议差异与设备支持能力详解

家用 NAS 该选 SMB 还是 NFS？一文讲透协议差异，少踩坑、多看片