华为交换机怎么配置镜像口？

华为交换机配置镜像口的核心方法是通过创建镜像组并分别指定镜像端口与观察端口，实现流量的精准复制与监控。具体操作需进入系统视图，执行`mirroring-group local`创建本地镜像组，再在对应接口下使用`port-mirroring group mirroring-port {both|inbound|outbound}`绑定源端口，同时在另一物理接口下配置`port-mirroring group monitor-port`作为接收镜像流量的目的端口；不同系列设备（如S3000、S5600、S6500等）在命令语法和功能支持上略有差异，例如部分老型号仍沿用`monitor-port`/`mirroring-port`传统命令，而较新平台普遍支持ACL流镜像与多对一、一对多组合模式，所有配置均可通过`display mirroring-group all`实时验证生效状态。

一、明确镜像类型与设备系列匹配关系

配置前务必确认交换机具体型号及软件版本，因华为不同系列对端口镜像的支持能力存在结构性差异。S2000系列（如S2026）仅支持基础端口镜像，需使用`monitor-port`和`mirroring-port`命令，且镜像端口与观察端口必须位于同一ASIC芯片；S3000/S5000系列开始支持本地镜像组模型，可灵活配置inbound、outbound或both方向流量；S5600及以上平台则全面兼容ACL流镜像，允许按源IP、协议类型等条件精细化筛选被镜像报文，并支持单镜像组绑定多个镜像端口或多个观察端口。实际操作中，应优先查阅该设备版本的《配置指南》中“网络监控”章节，避免因命令不兼容导致配置失败。

二、执行标准本地端口镜像配置流程

以主流S5735-L系列为例，首先进入系统视图执行`system-view`，键入`mirroring-group 1 local`创建编号为1的本地镜像组；随后进入待监控的源接口，例如`interface gigabitethernet 0/0/5`，输入`port-mirroring group 1 mirroring-port inbound`仅捕获入向流量；再进入指定的观察端口，如`interface gigabitethernet 0/0/24`，执行`port-mirroring group 1 monitor-port`完成绑定。注意观察端口不能再承载业务流量，建议关闭STP并禁用MAC地址学习，命令为`stp disable`和`mac-address learning disable`，防止镜像流量干扰转发行为。

三、验证与故障排查关键步骤

配置完成后，立即执行`display mirroring-group all`查看镜像组状态，确认“Mirroring Port”与“Monitor Port”字段均显示有效接口且状态为Up；若出现“Invalid port”提示，需检查端口是否处于shutdown状态或已被其他功能（如堆叠、Eth-Trunk）占用。进一步可使用`display interface gigabitethernet 0/0/24`观察接收计数器是否随源端口流量增长而同步上升。若无增量，需核查物理连接是否正常、镜像方向是否与监控需求一致，并确认未启用QoS策略对镜像报文进行限速或丢弃。

四、进阶应用：ACL流镜像配置要点

当需监控特定业务流量（如仅HTTP访问或某子网间通信）时，应在系统视图下先创建二层或三层ACL，例如`acl number 3000`后添加`rule 5 permit tcp destination-port eq 80`；再在镜像端口视图下执行`traffic-mirror inbound acl 3000`关联规则。此方式不依赖镜像组模型，但要求设备版本支持V200R019及以上，且ACL匹配精度直接影响监控有效性。

综上，华为交换机镜像口配置重在型号适配、命令精准与状态闭环验证，每一步均有明确技术依据与可落地的操作指令。