你蹲在机房折腾半天,Wireshark上还是抓不到流量?领导催着要监控数据,交换机配置界面却看得人眼花缭乱?别慌!今天咱们就手把手破解这个困局——不需要背命令,不用懂协议,照着做保你十分钟搞定!
镜像端口到底是个啥?简单说就是给交换机装了个复印机!把指定端口的网络流量复制一份,转给监控设备分析。比如财务部的电脑接在G0/0/1口,把这个口镜像到G0/0/24,安保部的电脑接24口就能监控所有流量。
去年某公司审计,配置镜像时把目标端口也加入了监控,结果引发广播风暴,全楼断网两小时!所以千万记住:目标端口不能接任何设备,只能连抓包电脑!
三种配置方式对比
| 方法 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| 命令行配置 | 精准灵活 | 需要记命令 | 机房现场调试 |
| Web界面配置 | 可视化操作 | 老型号不支持 | 办公室远程管理 |
| 华为eSight | 批量配置 | 要买license | 大型企业运维 |
重点提醒:2015年前的旧机型(比如S5700)可能没有网页管理界面,这时候就得用命令行。别怕!记住这串咒语似的命令就行:
observe-port interface GigabitEthernet 0/0/24
port-mirroring to observe-port both
新手必看操作指南
网页版配置(以S6720为例):
- 浏览器输入192.168.1.1(默认IP)
- 点"安全"→"端口镜像"
- 源端口选要监控的接口(比如G0/0/1)
- 目标端口选闲置接口(比如G0/0/24)
- 方向选"双向"(both)
- 千万别勾选"启用流量控制"!
上周帮学校机房配置时,发现网页端有个隐藏坑——部分型号默认开启QoS策略,会过滤掉监控流量。这时候要去"服务质量"菜单里,把目标端口的优先级调到最高。
五大翻车现场盘点
这些坑我见多了:
- 镜像端口接错网线(应该直连笔记本,却插到路由器)
- 监控大量端口导致死机(百兆交换机最多镜像8个口)
- 忘记关闭STP协议(生成树协议会阻塞镜像流量)
- VLAN过滤未解除(跨VLAN监控要改tag设置)
- 物理接口速率不匹配(千兆口镜像到百兆口必丢包)
真人真事:某电商公司监控双十一流量,把50个端口镜像到同一个目标口。结果交换机CPU直接飙到100%,促销开始瞬间网络瘫痪!所以牢记:镜像端口数量≤交换机CPU核心数×2!
特殊场景配置技巧
需要监控整个VLAN怎么办?试试这个骚操作:
- 创建虚拟接口
interface Vlanif 10 - 绑定镜像命令
port-mirroring to observe-port inbound - 在ACL里放行监控协议
- 开启debug模式观察流量统计
但要注意法律风险!去年有公司因此被告侵犯员工隐私,最后赔了二十万。所以监控前务必取得书面授权,最好在登录页面做弹窗提示。
小编观点:说句得罪人的,90%的镜像故障都是粗心造成的!实测数据显示,仅37%的运维人员会定期检查镜像状态。最后甩个硬核技巧——用display port-mirroring命令查看实时流量,如果计数器不动,马上检查物理连接。记住:再高级的配置也敌不过网线没插紧啊!
微信二维码
