H3C路由器上配置远程端口镜像(3种配置方式之1)

对于IT的学习来说，把握“心法与招式”的平衡，是至关重要的！要想成为高手！“心法与招式”必须兼修！

所谓心法，就是理论基础知识，是底层的原理性知识，是那些跟特定的厂家无关的跨平台共性知识；

所谓招式，就是应用层面的技能，配置、操作和调试的步骤，跟具体的软件或者硬件紧密关联的特殊知识。

【拓扑】

【需求】

      公司所有网络的报文通过R1端口G0/1/1，而监控端口在R3,于是经由路由器R1和R2到R3的端口G0/1/0，BOSS想监控整个公司员工动态（用网路岗），而信息部想了解公司网络健康状态。

分析:

(1) 源端口为G0/1/1（被监控端口） ，目的端口是G0/1/0（监控端口）；

(2) 显然源端口G01/1 (R1)与目的端口G0/1/0 (R3)不在同一网络设备上。

远程端口镜像：除了可以实现本地端口镜像的功能外，它还突破了源端口和目的端口必须在同一台设备上的限制，使源端口和目的端口间可以跨越多个网络设备(如上图R2和R3)。目前，远程端口镜像功能可以穿越二层网络，但无法穿越三层网络!

【思路】

1. 在R1上配置远程源镜像组，定义VLAN 10为远程镜像VLAN，端口G0/1/1是镜像源端口；

2. 配置Trunk端口且允许VLAN 10的报文通过 ，在R1的端口G0/1/0、R2的端口G0/1/1和R3的端口 G0/1/1上；

3. 在R3上配置远程目的镜像组，定义VLAN 10远程镜像VLAN，端口G0/1/0为目的端口。

【步骤】

1. 在R1上配置远程源镜像组，定义VLAN 10为远程镜像VLAN，端口G0/1/1是镜像源端口；

//为远程源镜像组配置源端口有2种方法，如下面所示：

方法1：在系统视图下配置源端口

PS: 如果源端口为多个呢？eg: g0/1/1、g0/1/2、g0/1/3 ，如下图所示：

 方法2： 在接口视图下配置源端口

PS: 如果源端口为多个呢？eg: g0/1/1、g0/1/2、g0/1/3 ，如下图所示：

//为远程源镜像组配置VLAN 10为远程镜像VLAN 

 
 


  
  
2. 配置Trunk端口且允许VLAN 10的报文通过，如下图所示： 

  
  
 

  
  
//将R1上的端口G0/1/0配置成Trunk，并允许VLAN 10的报文通过 

  
  
 

  
  
[R1]int g0/1/0 

  
  
[R1-GigabitEthernet0/1/0]port link-mode bridge 

  
  
 

  
  
[R1-GigabitEthernet0/1/0]port link-type trunk 

  
  
[R1-GigabitEthernet0/1/0]port trunk permit vlan 10 

  
  
 

  
  
//将R2上的端口G0/1/0和G0/1/1配置成Trunk，并允许VLAN 10的报文通过 

  
  
 

  
  
[R2]int g0/1/0  

  
  
[R2-GigabitEthernet0/1/0]port link-mode bridge 

  
  
[R2-GigabitEthernet0/1/0]port link-type trunk 

  
  
[R2-GigabitEthernet0/1/0]port trunk permit vlan 10 

  
  
 

  
  
[R2]int g0/1/1 

  
  
 

  
  
[R2-GigabitEthernet0/1/1]port link-mode bridge 

  
  
 

  
  
[R2-GigabitEthernet0/1/1]port link-type trunk 

  
  
[R2-GigabitEthernet0/1/1]port trunk permit vlan 10 

  
  
 

  
  
//将R3上的端口G0/1/1配置成Trunk，并允许VLAN 10的报文通过 

  
  
 

  
  
[R3]int g0/1/1 

  
  
[R3-GigabitEthernet0/1/1]port link-mode bridge 

  
  
 

  
  
[R3-GigabitEthernet0/1/1]port link-type trunk 

  
  
[R3-GigabitEthernet0/1/1]port trunk permit vlan 10 

  
  
 

  
  
3. 在R3上配置远程目的镜像组，定义VLAN 10远程镜像VLAN，端口G0/1/0为目的端口 

  
  
 

  
  
[R3]mirroring-group 1 remote-destination //创建远程目的镜像组为1 

  
  
[R3]vlan 10  //创建VLAN 10 

  
  
[R3-vlan10]quit 

  
  
[R3]mirroring-group 1 remote-probe vlan 10 

  
  
[R3]int g0/1/0 

  
  
[R3-GigabitEthernet0/1/0]mirroring-group 1 monitor-port 

  
  
 

  
  
[R3-GigabitEthernet0/1/0]port link-mode bridge 

  
  
[R3-GigabitEthernet0/1/0]port access vlan 10 

  
  
 

  
  
配置至此，与R3的端口g0/1/0相连的PC（安装了网路岗或sniffer等软件），就可以监控源端口为G0/1/1（被监控端口）处的所有报文！ 
 
 

 本文转自beyondhedefang 51CTO博客，原文链接：http://blog.51cto.com/beyondhdf/1178122 ，如需转载请自行联系原作者