一、h3c路由器端口鏡像怎么配置

〖基于三層流的鏡像〗

1.定義一條擴展訪問控制列表ACL

[SwitchA]acl num 100

2.定義一條規則報文源地址為1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3.定義一條規則報文源地址為所有源地址目的地址為1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4.將符合上述ACL規則的報文鏡像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

二、如何給交換機和路由器做端口鏡像

先解釋一下端口鏡像：端口鏡像簡單的說，就是把交換機一個（數個）端口（源端口）的流量完全拷貝一份，從另外一個端口（目的端口）發

出去，以便網絡管理人員從目的端口通過分析源端口的流量來找出網絡存在問題的原因。

cisco的端口鏡像叫做SWITCHED PORT ANALYZER，簡稱SPAN（僅在IOS系統中，下同），因此，端口鏡像僅適用于以太網交換端口。

Cisco的SPAN

分成三種，SPAN、RSPAN和VSPAN，簡單的說，SPAN是指源和目的端口都在同一臺機器上、RSPAN指目的和源不在同一交換機上，VSPAN可以鏡像

整個或數個VLAN到一個目的端口。

配置方法：

1. SPAN

(1) 創建SPAN源端口

monitor session [i]session_number[/i] source interface interface-id [, | -] [both | rx | tx]

**[i]session_number[/i],SPAN會話號，我記得3550支持的最多本地SPAN是2個，即1或者2.

**interface-id [, | -]源端口接口號，即被鏡像的端口，交換機會把這個端口的流量拷貝一份，可以輸入多個端口，多個用“,”隔開，

連續的用“-”連接。

**[both | rx | tx]，可選項，是指拷貝源端口雙向的(both)、僅進入(rx)還是僅發出(tx)的流量，默認是both。

(2)創建SPAN目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL

[ingress]} | ingress vlan vlan id]

**一樣的我就不說了。

**session_number要和上面的一致。

**interface-id目的端口，在源端口被拷貝的流量會從這個端口發出去，端口號不能被包含在源端口的范圍內。

**[encapsulation {dot1q | isl}]，可選，指被從目的端口發出去時是否使用802.1q和isl封裝，當使用802.1q時，對于本地VLAN不進行封

裝，其他VLAN封裝，ISL則全部封裝。

2.VSPAN

(1)創建VSPAN源VLAN

monitor session session_number source vlan vlan-id [, | -] rx

**一樣的也不說了，基本和SPAN相同，只是接口號變成了VLAN號，而且只能鏡像接收的流量。

(2)創建VSPAN目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]

**和SPAN的一樣。

3.RSPAN

RSPAN的配置較為復雜，其流程可以這樣來看，交換機把要鏡像的端口流量復制一份，然后發到本機的一個反射端口上（reflector-port ）

，在由反射端口將其通過網絡轉發到目的交換機中的VLAN上（一般情況下，這個VLAN是專為鏡像而設的，不要作為客戶端接入所用），再在目

的交換機中配置VSPAN，將該VLAN的流量鏡像到目的端口，要注意的是，一旦這種RSPAN被使用，該鏡像專用VLAN的信息會被轉發到所有的VLAN

主干上，造成網絡帶寬的浪費，因此要配置VLAN修剪(pruning)，另外RSPAN也可以鏡像VLAN。

(1)在源交換機上創建RSPAN源端口

**同SPAN或VSPAN

(2)在源交換機上創建VSPAN反射端口和目的VLAN

monitor session session_number destination remote vlan vlan-id reflector-port interface

**vlan-id 目的交換機上轉為鏡像而設的VLAN

**reflector-port interface源交換機上的鏡像端口

(3)在目的交換機上創建VSPAN源VLAN

monitor session session_number source remote vlan vlan-id

**vlan-id就是上面的鏡像專用VLAN

(4)在目的交換機上創建VSPAN目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]

**同SPAN

4.其他

(1)端口鏡像的過濾，端口鏡像是可以做Filter的。

monitor session session_number filter vlan vlan-id [, | -]

**指定源端口進入的流量中，屬于哪些VLAN的可以從目的端口發出去。

(2)刪除鏡像

no monitor session {session_number | all | local | remote}

**session_number指定會話號，all是所有鏡像，local是本地鏡像，remote是遠程鏡像。

(3)鏡像的目的端口不能正常收發數據，因此不能再作為普通端口使用，可以連接一些網絡分析和安全設備，例如裝有sniifer的計算機或者Cisco IDS設備。

三、在路由器上可以做鏡像端口嗎

可以的，但是要看你的路由器是否支持。

端口鏡像（port Mirroring）功能通過在交換機或路由器上，將一個或多個源端口的數據流量轉發到某一個指定端口來實現對網絡的監聽，指定端口稱之為“鏡像端口”或“目的端口”，在不嚴重影響源端口正常吞吐流量的情況下，可以通過鏡像端口對網絡的流量進行監控分析。

在企業中用鏡像功能，可以很好地對企業內部的網絡數據進行監控管理，在網絡出故障的時候，可以快速地定位故障。

一般情況下，家用路由器是不支持端口鏡像的，企業級的路由器大部分都支持。

我用過D-Link的DIR-8000系列的上網行為認證路由器就支持端口鏡像功能。