H3C路由器上配置遠端端口鏡像(3種配置方式之1)

<b>對于</b><b>IT</b><b>的學習來說，把握</b><b>“</b><b>心法與招式</b><b>”</b><b>的平衡，是至關重要的！要想成為高手！</b><b>“</b><b>心法與招式</b><b>”</b><b>必須兼修！</b>

<b>所謂心法，就是理論基礎知識，是底層的原理性知識，是那些跟特定的廠家無關的跨平台共性知識；</b>

<b>所謂招式，就是應用層面的技能，配置、操作和調試的步驟，跟具體的軟體或者硬體緊密關聯的特殊知識。</b>

【拓撲】

<a href="http://beyondhdf.blog.51cto.com/attachment/201304/14/229452_1365944707adCj.png"></a>

【需求】

      公司所有網絡的封包通過R1端口G0/1/1，而監控端口在R3,于是經由路由器R1和R2到R3的端口G0/1/0，BOSS想監控整個公司員工動态（用網路崗），而資訊部想了解公司網絡健康狀态。

分析:

(1) 源端口為G0/1/1（被監控端口） ，目的端口是G0/1/0（監控端口）；

(2) 顯然源端口G01/1 (R1)與目的端口G0/1/0 (R3)不在同一網絡裝置上。

遠端端口鏡像：除了可以實作本地端口鏡像的功能外，它還突破了源端口和目的端口必須在同一台裝置上的限制，使源端口和目的端口間可以跨越多個網絡裝置(如上圖R2和R3)。目前，遠端端口鏡像功能可以穿越二層網絡，但無法穿越三層網絡!

【思路】

1. 在R1上配置遠端源鏡像組，定義VLAN 10為遠端鏡像VLAN，端口G0/1/1是鏡像源端口；

2. 配置Trunk端口且允許VLAN 10的封包通過 ，在R1的端口G0/1/0、R2的端口G0/1/1和R3的端口 G0/1/1上；

3. 在R3上配置遠端目的鏡像組，定義VLAN 10遠端鏡像VLAN，端口G0/1/0為目的端口。

【步驟】

//為遠端源鏡像組配置源端口有2種方法，如下面所示：

方法1：在系統視圖下配置源端口

<a href="http://beyondhdf.blog.51cto.com/attachment/201304/14/229452_1365944709drPl.png"></a>

2. 配置Trunk端口且允許VLAN 10的封包通過，如下圖所示： 

//将R1上的端口G0/1/0配置成Trunk，并允許VLAN 10的封包通過 

[R1]int g0/1/0 

[R1-GigabitEthernet0/1/0]port link-mode bridge 

[R1-GigabitEthernet0/1/0]port link-type trunk 

[R1-GigabitEthernet0/1/0]port trunk permit vlan 10 

//将R2上的端口G0/1/0和G0/1/1配置成Trunk，并允許VLAN 10的封包通過 

[R2]int g0/1/0  

[R2-GigabitEthernet0/1/0]port link-mode bridge 

[R2-GigabitEthernet0/1/0]port link-type trunk 

[R2-GigabitEthernet0/1/0]port trunk permit vlan 10 

[R2]int g0/1/1 

[R2-GigabitEthernet0/1/1]port link-mode bridge 

[R2-GigabitEthernet0/1/1]port link-type trunk 

[R2-GigabitEthernet0/1/1]port trunk permit vlan 10 

//将R3上的端口G0/1/1配置成Trunk，并允許VLAN 10的封包通過 

[R3]int g0/1/1 

[R3-GigabitEthernet0/1/1]port link-mode bridge 

[R3-GigabitEthernet0/1/1]port link-type trunk 

[R3-GigabitEthernet0/1/1]port trunk permit vlan 10 

3. 在R3上配置遠端目的鏡像組，定義VLAN 10遠端鏡像VLAN，端口G0/1/0為目的端口 

[R3]mirroring-group 1 remote-destination //建立遠端目的鏡像組為1 

[R3]vlan 10  //建立VLAN 10 

[R3-vlan10]quit 

[R3]mirroring-group 1 remote-probe vlan 10 

[R3]int g0/1/0 

[R3-GigabitEthernet0/1/0]mirroring-group 1 monitor-port 

[R3-GigabitEthernet0/1/0]port link-mode bridge 

[R3-GigabitEthernet0/1/0]port access vlan 10 

配置至此，與R3的端口g0/1/0相連的PC（安裝了網路崗或sniffer等軟體），就可以監控源端口為G0/1/1（被監控端口）處的所有封包！