交换机做流量镜像怎么做

在交换机上配置流量镜像（也称为端口镜像或SPAN）的主要步骤如下，适用于大多数厂商设备（如Cisco、华为、H3C等）：

1. 基本原理

流量镜像是将指定端口（源端口）或VLAN的流量复制到监控端口（目的端口），用于安全分析、流量监测或故障排查。镜像过程不影响原始流量转发。

2. 配置步骤

确定源与目的端口

源端口可以是单个物理端口、多个端口或整个VLAN，目的端口通常是连接分析工具（如IDS、抓包设备）的专用端口。

例如：将Gig1/0/1的流量镜像到Gig1/0/24。

Cisco交换机示例

bash

monitor session 1 source interface Gig1/0/1 both # both表示双向流量，rx/tx可单独指定

monitor session 1 destination interface Gig1/0/24

若镜像整个VLAN：

bash

monitor session 2 source vlan 100

monitor session 2 destination interface Gig1/0/24

华为/H3C交换机示例

bash

observe-port 1 interface GigabitEthernet0/0/24 # 先定义观察端口

interface GigabitEthernet0/0/1

port-mirroring to observe-port 1 inbound # 仅入方向，outbound为出方向

3. 远程镜像（RSPAN/ERSPAN）

跨交换机镜像需配置RSPAN VLAN（Cisco）或GRE隧道（ERSPAN）：

- RSPAN：通过中间VLAN承载镜像流量，需所有交换机支持该VLAN。

- ERSPAN：三层镜像，支持IP网络传输，适合远距离场景（如Cisco Nexus设备）。

4. 注意事项

性能影响：镜像可能增加CPU负载，建议过滤无关流量（如使用ACL限定镜像范围）。

目的端口限制：目的端口不能用于正常数据传输，部分设备要求关闭STP/CDP等协议。

带宽匹配：确保目的端口带宽≥源端口，避免丢包。

法律合规：镜像可能涉及隐私，需符合当地数据保护法规。

5. 进阶技巧

流量过滤：仅镜像特定协议（如HTTP）或IP地址的流量。

bash

monitor session 1 filter ip access-group MIRROR-ACL # Cisco ACL过滤

时间采样：部分设备支持周期镜像（如每10秒采样1秒），降低负载。

堆叠交换机：需在Master设备上配置，并指定堆叠成员端口。

6. 常见故障排查

目的端口无流量：检查端口状态、镜像会话是否激活，确认目的端口未加入其他VLAN。

数据不完整：检查源端口是否配置了`both`方向，或ACL是否过滤过多流量。

7. 厂商差异

Juniper：使用`port-mirror`配置，镜像流量需绑定到分析模块。

Arista：支持`session`配置，可定义多对多镜像关系。

配置完成后，可通过`show monitor session`（Cisco）或`display mirror`（华为）验证状态，建议在非高峰期操作以避免影响业务。