交换机配置观察端口和端口镜像与流镜像之删除

配置单个观察端口

本地观察端口，即观察端口与监控设备直连

<HUAWEI> system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1

二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文
```
<HUAWEI> system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 vlan 10
```

配置批量观察端口（V200R005及后续版本支持）

本地观察端口，即观察端口与监控设备直连

<HUAWEI> system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3

二层远程观察端口，即观察端口通过二层网络向监控设备转发镜像报文

<HUAWEI> system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3 vlan 10

端口镜像是指设备复制从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控。根据观察端口的不同，端口镜像分为本地端口镜像和二层远程端口镜像。如何配置本地观察端口和二层远程观察端口，请参见配置观察端口，此处以配置本地端口镜像为例。详细的配置举例请参见《典型配置案例》网络管理与监控典型配置中的“镜像典型配置”。

配置1：1端口镜像

将一个镜像端口的报文复制到一个观察端口上。例如：将镜像端口GE0/0/2入方向的报文（即接收到的报文）复制到观察端口GE0/0/1上，GE0/0/1与监控设备直连。

<HUAWEI> system-view
[HUAWEI] observe-port 1 interface gigabitethernet 0/0/1
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] port-mirroring to observe-port 1 inbound

配置1：N端口镜像

将一个镜像端口的报文复制到N个不同的观察端口上。例如：将镜像端口GE2/0/1入方向的报文（即接收到的报文）复制到观察端口GE1/0/1～GE1/0/3上，GE1/0/1～GE1/0/3与监控设备直连。

观察端口逐个进行配置

<HUAWEI> system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] observe-port 2 interface gigabitethernet 1/0/2
[HUAWEI] observe-port 3 interface gigabitethernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 3 inbound

观察端口批量进行配置（V200R005及后续版本支持）

<HUAWEI> system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound

配置N：1端口镜像

将N个镜像端口的报文复制到一个观察端口上。例如：将镜像端口GE0/0/1～GE0/0/3入方向的报文（即接收到的报文）复制到观察端口GE0/0/10上，GE0/0/10与监控设备直连。

<HUAWEI> system-view
[HUAWEI] observe-port 1 interface gigabitethernet 0/0/10
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet0/0/2] quit
[HUAWEI] interface gigabitethernet 0/0/3
[HUAWEI-GigabitEthernet0/0/3] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet0/0/3] quit

流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上，监控设备只对指定类型报文进行监测。流镜像有基于ACL和基于MQC（即复杂流分类）两种配置方式。前者配置简便，但是没有后者支持匹配的报文类型多，而且只支持入方向（即接收报文方向）的流镜像；后者配置复杂，但是支持匹配的报文类型比前者多，而且入方向、出方向（即发送报文方向）的流镜像都支持。

根据观察端口的不同，流镜像分为本地流镜像和二层远程流镜像。如何配置本地观察端口和二层远程观察端口，请参见配置观察端口，此处以配置本地流镜像为例。详细的配置举例请参见《典型配置案例》网络管理与监控典型配置中的“镜像典型配置”。

配置基于ACL的流镜像

配置观察端口。例如：配置与监控设备直连的本地观察端口GE0/0/1。
```
<HUAWEI> system-view
[HUAWEI] observe-port 1 interface gigabitethernet 0/0/1
```
创建ACL。例如：创建二层ACL，配置的规则是匹配802.1p优先级为6的报文。
```
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit 8021p 6
[HUAWEI-acl-L2-4001] quit
```
配置流镜像。例如：
- 将整个设备所有端口入方向（即接收报文方向）802.1p优先级为6的报文复制到观察端口GE0/0/1。
```
[HUAWEI] traffic-mirror inbound acl 4001 to observe-port 1
```
- 将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE0/0/1。
```
[HUAWEI] traffic-mirror vlan 10 inbound acl 4001 to observe-port 1
```
- 将端口GE0/0/2入方向802.1p优先级为6的报文复制到观察端口GE0/0/1。
```
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] traffic-mirror inbound acl 4001 to observe-port 1
```

配置基于MQC的流镜像

配置观察端口。例如：配置与监控设备直连的本地观察端口GE0/0/1。
```
<HUAWEI> system-view
[HUAWEI] observe-port 1 interface gigabitethernet 0/0/1
```
创建流分类。例如：创建流分类c1，并配置流分类规则是匹配802.1p优先级为6的报文。
```
[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match 8021p 6
[HUAWEI-classifier-c1] quit
```

创建动作是镜像的流行为。例如：创建流行为b1，并配置动作为流镜像。

[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] mirroring to observe-port 1
[HUAWEI-behavior-b1] quit

创建流策略，并将流分类和流行为绑定到流策略上。例如：创建流策略p1，并将上面配置的流分类和流行为绑定到流策略p1上。
```
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] quit
```
应用流策略。例如：
- 将整个设备所有端口入方向（即接收报文方向）802.1p优先级为6的报文复制到观察端口GE0/0/1。
```
[HUAWEI] traffic-policy p1 global inbound
```
- 将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE0/0/1。
```
[HUAWEI] vlan 10
[HUAWEI-vlan10] traffic-policy p1 inbound
```
- 将端口GE0/0/2入方向802.1p优先级为6的报文复制到观察端口GE0/0/1。
```
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] traffic-policy p1 inbound
```

在使用完镜像功能后，如果希望将设备上的镜像配置删除，可按如下思路进行操作。

执行命令display current-configuration，查看设备当前镜像的配置。例如：在设备上查看到的当前配置如下。

<HUAWEI> display current-configuration
#
vlan batch 10 20 30
#
observe-port 2 interface GigabitEthernet0/0/1
             ...
             ...
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
             ...
             ...
#
interface GigabitEthernet0/0/10
  port-mirroring to observe-port 2 inbound
#
             ...
             ...

在镜像端口下执行命令undo port-mirroring，删除观察端口与镜像端口的绑定关系，恢复镜像端口为普通端口。例如：将第1步示例中的GE0/0/10恢复为普通端口。
```
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/10
[HUAWEI-GigabitEthernet0/0/10] undo port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet0/0/10] quit
```
在系统视图下执行命令undo observe-port，删除观察端口。例如：将第1步示例中的观察端口删除，将GE0/0/1恢复为普通端口。
```
[HUAWEI] undo observe-port 2
```
只有先执行第2步，即先删除观察端口与镜像端口的绑定关系，才能删除观察端口。

秒客网

交换机配置观察端口和端口镜像与流镜像之删除

相关文章