1 配置本地端口镜像2 1.2.1 配置任务简介本地端口镜像的配置需要在同一台设备上进行。

首先创建一个本地镜像组，然后为该镜像组配置源端口和目的端口。

表1-1 本地端口镜像配置任务简介●一个端口只能加入到一个镜像组。

●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。

3 1.2.2 创建本地镜像组表1-2 创建本地镜像组配置源端口目的端口后，本地镜像组才能生效。

4 1.2.3 配置源端口可以在系统视图下为指定镜像组配置一个或多个源端口，也可以在端口视图下将当前端口配置为指定镜像组的源端口，二者的配置效果相同。

1. 在系统视图下配置源端口表1-3 在系统视图下配置源端口2. 在端口视图下配置源端口表1-4 在端口视图下配置源端口一个镜像组内可以配置多个源端口。

5 1.2.4 配置源CPU表1-5 配置源CPU一个镜像组内可以配置多个源CPU。

6 1.2.5 配置目的端口可以在系统视图下为指定镜像组配置目的端口，也可以在端口视图下将当前端口配置为指定镜像组的目的端口，二者的配置效果相同。

1. 在系统视图下配置目的端口表1-6 在系统视图下配置目的端口2. 在端口视图下配置目的端口表1-7 在端口视图下配置目的端口●一个镜像组内只能配置一个目的端口。

●请不要在目的端口上使能STP、MSTP和RSTP，否则会影响镜像功能的正常使用。

●目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。

为了保证数据监测设备只对源端口的报文进行分析，请将目的端口只用于端口镜像，不作其它用途。

●镜像组的目的端口不能配置为已经接入RRPP环的端口。

7 1.3 配置二层远程端口镜像8 1.3.1 配置任务简介二层远程端口镜像的配置需要分别在源设备和目的设备上进行。

●一个端口只能加入到一个镜像组。

●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。

●如果用户在设备上启用了GVRP（GARP VLAN Registration Protocol，GARPVLAN注册协议）功能，GVRP可能将远程镜像VLAN注册到不希望的端口上，此时在目的端口就会收到很多不必要的报文。

有关GVRP的详细介绍，请参见“配置指导/03-接入/GVRP配置”。

首先在源设备上为远程源镜像组配置源端口、出端口和远程镜像VLAN，然后在目的设备上为远程目的镜像组配置远程镜像VLAN和目的端口。

表1-8 二层远程端口镜像配置任务简介9 1.3.2 配置准备在配置二层远程端口镜像之前，需完成以下任务：配置远程镜像VLAN所使用的静态VLAN源设备上的远程源镜像组和目的设备上的远程目的镜像组必须使用相同的远程镜像VLAN。

10 1.3.3 配置远程源镜像组请在源设备上进行如下配置。

1. 创建远程源镜像组表1-9 创建远程源镜像组2. 配置源端口可以在系统视图下为指定镜像组配置一个或多个源端口，也可以在端口视图下将当前端口配置为指定镜像组的源端口，二者的配置效果相同。

(1)在系统视图下配置源端口表1-10 在系统视图下配置源端口(2)在端口视图下配置源端口表1-11 在端口视图下配置源端口●一个镜像组内可以配置多个源端口。

●请不要将源端口加入到远程镜像VLAN中，否则会影响镜像功能的正常使用。

3. 配置源CPU表1-12 配置源CPU一个镜像组内可以配置多个源CPU。

4. 配置出端口可以在系统视图下为指定镜像组配置出端口，也可以在端口视图下将当前端口配置为指定镜像组的出端口，二者的配置效果相同。

(1)在系统视图下配置出端口表1-13 在系统视图下配置出端口(2)在端口视图下配置出端口表1-14 在端口视图下配置出端口●一个镜像组内只能配置一个出端口。

●出端口不能是现有镜像组的成员端口。

●请不要在出端口上配置下列功能：STP、MSTP、RSTP、802.1X、IGMP Snooping、静态ARP和MAC地址学习，否则会影响镜像功能的正常使用。

5. 配置远程镜像VLAN表1-15 配置远程镜像VLAN●一个VLAN只能被一个镜像组使用。

●请将远程镜像VLAN只用于端口镜像，不作其它用途。

●被配置成远程镜像VLAN后，该VLAN不能直接删除，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。

●如果镜像组生效后，远程镜像VLAN被取消，那么该镜像组将失效。

11 1.3.4 配置远程目的镜像组请在目的设备上进行如下配置。

1. 创建远程目的镜像组表1-16 创建远程目的镜像组2. 配置目的端口可以在系统视图下为指定镜像组配置目的端口，也可以在端口视图下将当前端口配置为指定镜像组的目的端口，二者的配置效果相同。

(1)在系统视图下配置目的端口表1-17 在系统视图下配置目的端口(2)在端口视图下配置目的端口表1-18 在端口视图下配置目的端口●一个镜像组内只能配置一个目的端口。

●请不要在目的端口上使能STP、MSTP和RSTP，否则会影响镜像功能的正常使用。

●目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。

为了保证数据监测设备只对源端口的报文进行分析，请将目的端口只用于端口镜像，不作其它用途。

●镜像组的目的端口不能配置为已经接入RRPP环的端口。

3. 配置远程镜像VLAN表1-19 配置远程镜像VLAN●一个VLAN只能被一个镜像组使用。

●请将远程镜像VLAN只用于端口镜像，不作其它用途。

●被配置成远程镜像VLAN后，该VLAN不能直接删除，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。

●如果镜像组生效后，远程镜像VLAN被取消，那么该镜像组将失效。

4. 将目的端口加入远程镜像VLAN表1-20 将目的端口加入远程镜像VLAN有关port access vlan、port trunk permit vlan和port hybrid vlan命令的详细介绍，请参见“命令参考/03-接入/VLAN配置命令”。

12 1.4 配置三层远程端口镜像13 1.4.1 配置任务简介三层远程端口镜像的配置需要分别在源设备和目的设备上进行。

分别在源设备和目的设备上先创建一个本地镜像组，然后为该镜像组配置源端口/源CPU和目的端口，不同的是：●在源设备上，需要将源端口/源CPU指定为待监控的端口/CPU，目的端口指定为Tunnel接口；●在目的设备上，需要将源端口指定为Tunnel接口对应的物理端口，目的端口指定为连接数据监测设备的端口。

表1-21 三层远程端口镜像配置任务简介●一个端口只能加入到一个镜像组。

●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。

14 1.4.2 配置准备在配置三层远程端口镜像之前，需完成以下任务：●配置GRE隧道15 1.4.3 创建本地镜像组请分别在源设备和目的设备上进行如下配置。

表1-22 创建本地镜像组16 1.4.4 配置源端口在源设备上，请将源端口指定为待监控的端口；而在目的设备上，请将源端口指定为Tunnel接口对应的物理端口。

可以在系统视图下为指定镜像组配置一个或多个源端口，也可以在端口视图下将当前端口配置为指定镜像组的源端口，二者的配置效果相同。

1. 在系统视图下配置源端口表1-23 在系统视图下配置源端口2. 在端口视图下配置源端口表1-24 在端口视图下配置源端口一个镜像组内可以配置多个源端口。

17 1.4.5 配置源CPU表1-25 配置源CPU一个镜像组内可以配置多个源CPU。

18 1.4.6 配置目的端口在源设备上，请将目的端口指定为Tunnel接口；而在目的设备上，请将目的端口指定为连接数据监测设备的端口。

可以在系统视图下为指定镜像组配置目的端口，也可以在端口/Tunnel接口视图下将当前端口/Tunnel接口配置为指定镜像组的目的端口，二者的配置效果相同。

1. 在系统视图下配置目的端口表1-26 在系统视图下配置目的端口2. 在端口视图下配置目的端口表1-27 在端口视图下配置目的端口●一个镜像组内只能配置一个目的端口。

●请不要在目的端口上使能STP、MSTP和RSTP，否则会影响镜像功能的正常使用。

●目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。

为了保证数据监测设备只对源端口的报文进行分析，请将目的端口只用于端口镜像，不作其它用途。

●镜像组的目的端口不能配置为已经接入RRPP环的端口。

19 1.5 端口镜像显示和维护在完成上述配置后，在任意视图下执行display命令可以显示配置后镜像组的运行情况，通过查看显示信息验证配置的效果。

表1-28 端口镜像显示和维护20 1.6 端口镜像典型配置举例21 1.6.1 本地端口镜像配置举例1. 组网需求●Device A通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别连接市场部和技术部，并通过端口GigabitEthernet1/0/3连接Server。

●通过配置源端口方式的本地端口镜像，使Server可以监控所有进、出市场部和技术部的报文。

2. 组网图图1-4 本地端口镜像配置组网图3. 配置步骤(1)配置本地镜像组# 创建本地镜像组1。

<DeviceA> system-view[DeviceA] mirroring-group 1 local# 配置本地镜像组1的源端口为GigabitEthernet1/0/1和GigabitEthernet1/0/2，目的端口为GigabitEthernet1/0/3。

[DeviceA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 gigabitethernet 1/0/2 both[DeviceA] mirroring-group 1 monitor-port gigabitethernet 1/0/3(2)检验配置效果# 显示所有镜像组的配置信息。

[DeviceA] display mirroring-group allmirroring-group 1:type: localstatus: activemirroring port:GigabitEthernet1/0/1 bothGigabitEthernet1/0/2 bothmirroring CPU:monitor port: GigabitEthernet1/0/3配置完成后，用户可以通过Server监控所有进、出市场部和技术部的报文。

22 1.6.2 二层远程端口镜像配置举例1. 组网需求●在一个二层网络中，Device A通过端口GigabitEthernet1/0/1连接市场部，并通过Trunk端口GigabitEthernet1/0/2与Device B的Trunk端口GigabitEthernet1/0/1相连；Device C通过端口GigabitEthernet1/0/2连接Server，并通过Trunk端口GigabitEthernet1/0/1与Device B的Trunk端口GigabitEthernet1/0/2相连。