华为eNSP模拟器综合实验之- 端口镜像(Port Mirroring)配置解析

一、端口镜像基本概念

端口镜像（Port Mirroring） 是将网络设备指定端口接收或发送的报文复制到观察端口的技术 ，用于流量监控和故障诊断，且不严重影响源端口的正常吞吐流量。在华为设备中，这项技术也被称为镜像功能。

• 镜像端口（源端口）：被监控的端口，流量从此端口流出/流入
• 观察端口（目的端口/监控端口）：接收镜像流量的端口，通常连接分析设备
• 镜像方向 ：入方向(ingress)、出方向(egress)或双向(both)

二、端口镜像的主要作用

1. 网络故障诊断：在网络出现故障时快速定位问题
2. 流量监控分析：对特定端口的流量进行实时监控
3. 安全审计：配合IDS/IPS等安全设备进行流量分析
4. 性能优化：分析网络瓶颈，优化网络架构
5. 合规性检查：企业可以监控内部网络数据，确保符合安全策略

三、华为eNSP端口镜像配置

案例场景

假设在一个企业网络中，我们需要监控连接到服务器的交换机端口(G0/0/1)的流量，用于安全分析。我们将流量镜像到连接分析设备的端口(G0/0/24)。

详细配置步骤

1. 本地端口镜像配置（同一台交换机）

# 进入系统视图
system-view

# 配置观察端口(监控端口)
observe-port 1 interface GigabitEthernet0/0/24

# 配置镜像源端口
interface GigabitEthernet0/0/1
port-mirroring to observe-port 1 both
# both表示镜像入向和出向流量
# 也可使用inbound(仅入向)或outbound(仅出向)

# 退出接口视图
quit

# 保存配置
save

2. 验证配置

# 查看观察端口配置
display observe-port

# 查看端口镜像配置
display port-mirroring

# 查看特定接口的镜像配置
display interface GigabitEthernet0/0/1

配置命令详解

1. observe-port 1 interface GigabitEthernet0/0/24
   • 创建1号观察端口，指定物理接口为G0/0/24
   • 在华为设备中，先定义观察端口，再将其与镜像端口关联
2. port-mirroring to observe-port 1 both
   • 将当前接口的流量镜像到1号观察端口
   • both参数表示镜像双向流量(入向和出向)
   • 可替换为inbound(仅镜像入向流量)或outbound(仅镜像出向流量)
3. 观察端口特性
   • 通常只能接收镜像流量，不能正常转发业务数据
   • 一个观察端口可关联多个镜像端口
   • 镜像功能会消耗设备资源，使用完毕应及时关闭

3. 实战验证方法

1. 使用Wireshark抓包验证
   • 在eNSP中，右键点击观察端口连接的链路
   • 选择"Start Capture"开始抓包
   • 生成测试流量后，查看抓包结果是否包含镜像流量
2. 通过网络分析设备验证
   • 将监控服务器连接到观察端口
   • 在服务器上使用网络分析工具(如Wireshark)捕获流量
   • 验证捕获的流量是否与源端口流量一致

四、注意事项

1. 资源消耗 ：端口镜像会占用设备CPU和内存资源，应避免在高负载设备上大量配置
2. eNSP限制：如知识库所述，"ensp上无法体现该实验"的情况可能存在，某些高级镜像功能在模拟器中可能受限
3. 配置清理：监控任务完成后应及时删除镜像配置，释放系统资源
4. 观察端口选择：应选择专用端口作为观察端口，避免影响正常业务
5. 镜像流量过大：当源端口流量较大时，可能导致观察端口丢包，影响监控效果

五、进阶应用场景

1. VRP版本差异 ：不同VRP版本的命令语法存在差异：VRP V5版本：使用mirror to observe-port 1 inbound。VRP V8版本：使用mirroring to observe-port 1 inbound。

2. 在eNSP中，端口镜像功能比VLAN镜像更稳定，建议为VLAN 10中的每个端口单独配置镜像：

   system-view
   # 配置观察端口
   observe-port 1 interface GigabitEthernet0/0/24
   
   # 为VLAN 10中的每个端口配置镜像
   interface GigabitEthernet0/0/1
    port-mirroring to observe-port 1 inbound
    quit
    
   interface GigabitEthernet0/0/2
    port-mirroring to observe-port 1 inbound
    quit
    
   # 保存配置
   save

3. 流镜像 ：根据ACL规则镜像特定流量

   system-view
   # 创建ACL
   acl number 3000
   rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
   
   # 配置流镜像
   traffic classifier mirror-classifier
   if-match acl 3000
   
   traffic behavior mirror-behavior
   mirroring to observe-port 1
   
   traffic policy mirror-policy
   classifier mirror-classifier behavior mirror-behavior
   
   interface GigabitEthernet0/0/1
   traffic-policy mirror-policy inbound

通过端口镜像功能，可以在不中断业务的情况下，对网络流量进行深度分析，快速定位问题，提升网络的可靠性和安全性。