流镜像（华为S9306和S5700）

流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上，监控设备只对指定类型报文进行监测。

流镜像有基于ACL和基于MQC（即复杂流分类）两种配置方式。前者配置简便，但是没有后者支持匹配的报文类型多，而且只支持入方向（即接收报文方向）的流镜像；后者配置复杂，但是支持匹配的报文类型比前者多，而且入方向、出方向（即发送报文方向）的流镜像都支持。

配置基于 ACL的流镜像

1. 3.1 配置观察端口。例如：配置与监控设备直连的本地观察端口GE1/0/1。

<HUAWEI> system-view

[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1

2. 创建ACL。例如：创建二层ACL，配置的规则是匹配802.1p优先级为6的报文。

[HUAWEI] acl 4001

[HUAWEI-acl-L2-4001] rule permit 8021p 6

[HUAWEI-acl-L2-4001] quit

3. 配置流镜像。例如：

将整个设备所有端口入方向（即接收报文方向）802.1p优先级为6的报文复制到

观察端口GE1/0/1。

[HUAWEI] traffic-mirror inbound acl 4001 to observe-port 1

将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。

[HUAWEI] traffic-mirror vlan 10 inbound acl 4001 to observe-port 1

 将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。

[HUAWEI] interface gigabitethernet 2/0/1

[HUAWEI-GigabitEthernet2/0/1] traffic-mirror inbound acl 4001 to observe-port 1

4. 第1～3步可重复配置，能够实现：

将全局、多个VLAN或者端口指定类型报文复制到同一个观察端口。

将全局、单个VLAN或者端口指定类型报文复制到不同的观察端口。

配置基于 MQC 的流镜像

1. 3.1 配置观察端口。例如：配置与监控设备直连的本地观察端口GE1/0/1。

<HUAWEI> system-view

[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1

2. 创建流分类。例如：创建流分类c1，并配置流分类规则是匹配802.1p优先级为6的报

文。

[HUAWEI] traffic classifier c1

[HUAWEI-classifier-c1] if-match 8021p 6

[HUAWEI-classifier-c1] quit

3. 创建动作是镜像的流行为。例如：创建流行为b1，并配置动作为流镜像。

[HUAWEI] traffic behavior b1

[HUAWEI-behavior-b1] mirroring to observe-port 1

[HUAWEI-behavior-b1] quit

4. 创建流策略，并将流分类和流行为绑定到流策略上。例如：创建流策略p1，并将上

面配置的流分类和流行为绑定到流策略p1上。

[HUAWEI] traffic policy p1

[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1

[HUAWEI-trafficpolicy-p1] quit

5. 应用流策略。例如：

 将整个设备所有端口入方向（即接收报文方向）802.1p优先级为6的报文复制到

观察端口GE1/0/1。

[HUAWEI] traffic-policy p1 global inbound

将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。

[HUAWEI] vlan 10

[HUAWEI-vlan10] traffic-policy p1 inbound

 将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。

[HUAWEI] interface gigabitethernet 2/0/1

[HUAWEI-GigabitEthernet2/0/1] traffic-policy p1 inbound

6. 第1～5步可重复配置，能够实现：

 将全局、多个VLAN或者端口指定类型报文复制到同一个观察端口。

华为9306

acl number 3000
 rule 5 permit tcp destination-port eq www
 rule 10 permit udp destination-port eq 17788

observe-port 1 interface GigabitEthernet1/0/3
#
traffic classifier c1 operator or precedence 5
 if-match acl 3000
#
traffic behavior b1
  mirroring observing-port 1
#
traffic policy p1
 classifier c1 behavior b1
#
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk pvid vlan 2
 port trunk allow-pass vlan 2
 traffic-policy p1 inbound

 
 华为S5700

observe-port 1 interface GigabitEthernet0/0/23（设置观察口）
#
acl number 3000
rule 5 permit tcp destination-port eq www  （设置高级acl，匹配http的流量）

# 
traffic classifier http1 operator and     （设置流分类）
if-match acl 3000
#
traffic behavior http2          （设置流行为）
mirroring to observe-port 1
#
traffic policy http3       （设置流策略，将流分类与行为相关联）
]classifier http1 behavior http2
#

interface GigabitEthernet0/0/6   (将流策略应用于镜像口)
port link-type trunk
traffic-policy http3 outbound