交换机端口镜像的数据抓包配置

在网络运维和故障排查工作中，经常需要捕获网络流量进行分析。交换机端口镜像（Port Mirroring）是一种将指定端口的流量复制到观察端口的技术，允许我们在不影响正常业务的情况下抓取数据包进行诊断。本文将详细介绍主流品牌交换机的端口镜像配置方法。

什么是端口镜像

端口镜像的工作原理是将一个或多个源端口的完整流量（包括 ingress 入口流量和 egress 出口流量）复制到目的端口。这个目的端口通常连接安装了抓包软件的工作站，用于分析网络流量。

典型的应用场景包括：

• 故障排查：定位网络延迟、丢包或协议交互问题
• 安全审计：监控异常流量，检测潜在攻击
• 流量分析：统计带宽使用情况，优化网络性能
• 协议调试：验证特定协议（如 Modbus、Profinet）的通信行为

配置前的准备工作

在进行端口镜像配置之前，需要完成以下准备工作：

1. 确认交换机品牌型号：不同厂商的命令行语法存在差异，本文涵盖华为、思科、华三、锐捷四大主流厂商。
2. 确定源端口和目的端口：源端口是要监控的业务端口，目的端口连接抓包主机。
3. 准备抓包主机：确保该主机已安装 Wireshark 等抓包软件，并通过网线连接到目的端口。
4. 检查端口状态：确认源端口和目的端口均为正常UP状态。

华为交换机配置

基本配置步骤

1. 进入系统视图

system-view

2. 创建镜像组并指定观察端口

observe-port 1 interface GigabitEthernet0/0/24

上述命令创建镜像组1，并将 GigabitEthernet0/0/24（24口）设置为观察端口。

3. 将源端口添加到镜像组

interface GigabitEthernet0/0/1
port-mirroring to observe-port 1 both

both 关键字表示同时监控进口（inbound）和出口（ outbound）流量。如果只需监控单向流量，可改为 inbound 或 outbound。

4. 退出接口视图

quit

5. 验证配置

display port-mirroring

该命令显示当前的端口镜像配置，包括镜像组编号、观察端口、源端口及流量方向。

多个源端口配置

如果需要同时监控多个端口，可以重复执行端口添加命令：

interface GigabitEthernet0/0/2
port-mirroring to observe-port 1 both
quit

interface GigabitEthernet0/0/3
port-mirroring to observe-port 1 both
quit

思科交换机配置

基于 VLAN 的镜像（SPAN）

思科交换机使用 SPAN（Switched Port Analyzer）技术实现端口镜像。

1. 进入全局配置模式

configure terminal

2. 配置 SPAN 源端口和目的端口

monitor session 1 source interface GigabitEthernet1/0/1 both
monitor session 1 destination interface GigabitEthernet1/0/24

上述命令将1口设置为源端口，24口设置为观察端口，both 表示双向流量。

3. 退出配置模式

end

4. 验证配置

show monitor session 1

远程镜像（RSPAN）

对于跨交换机的镜像需求，可使用 Remote SPAN（RSPAN）：

vlan 100
remote-span
exit

monitor session 1 source interface GigabitEthernet1/0/1 both
monitor session 1 destination remote vlan 100

华三交换机配置

基础镜像配置

1. 进入系统视图

system-view

2. 配置观察端口

mirroring-group 1 local

3. 将端口设置为观察端口

interface GigabitEthernet1/0/24
mirroring-group 1 monitor-port
quit

4. 将源端口添加到镜像组

interface GigabitEthernet1/0/1
mirroring-group 1 mirroring-port both
quit

5. 查看配置

display mirroring-group 1

批量添加源端口

华三支持批量将多个端口添加到镜像组：

port-mirroring-group 1 mirroring-port GigabitEthernet1/0/1 to GigabitEthernet1/0/10 both

该命令将1到10口全部设为源端口，同时监控双向流量。

锐捷交换机配置

本地端口镜像

1. 进入全局配置模式

configure terminal

2. 配置源端口和观察端口

monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 destination interface gigabitethernet 0/24

3. 验证配置

show monitor session 1

多源端口镜像

monitor session 1 source interface gigabitethernet 0/1 - 10 both

该命令将1至10口全部设为源端口。

验证与排错

配置完成后，需要在抓包主机上验证数据是否正常捕获。

在抓包主机上操作

1. 打开 Wireshark，选择对应的网络适配器。
2. 点击 开始捕获 按钮。
3. 观察是否有数据包滚动出现。
4. 使用过滤器验证特定流量，例如 tcp.port == 502 筛选 Modbus TCP 流量。

常见问题排查

配置还原

完成抓包任务后，建议及时删除镜像配置，避免对交换机性能造成持续影响。

华为还原命令

undo observe-port 1
undo port-mirroring

思科还原命令

no monitor session 1

华三还原命令

undo mirroring-group 1

锐捷还原命令

no monitor session 1

总结要点

• 端口镜像通过将源端口流量复制到观察端口，实现无干扰抓包
• 主流厂商配置均围绕 源端口、观察端口、流量方向 三个要素展开
• 务必在抓包完成后 删除镜像配置，恢复交换机正常状态
• 抓包时选择合适过滤器，避免数据量过大导致分析困难