华为交换机怎么设置端口镜像？

华为交换机设置端口镜像，核心是通过创建本地镜像组并分别指定镜像端口与观察端口来实现流量复制。具体操作需依次进入系统视图、配置观察端口（如`observe-port 1 interface GigabitEthernet 0/0/10`）、在待监控接口下执行`port-mirroring to observe-port 1 both`命令以镜像双向流量，并通过`display mirroring-group all`或`display observe-port`验证配置状态。该机制支持N:1本地镜像及基于ACL的流镜像两种模式，适用于网络性能分析、安全审计与故障排查等典型场景；实际部署中建议选用带宽充裕且不承载业务流量的专用接口作为观察端口，同时注意镜像组编号唯一性与配置后及时保存，确保策略持久生效。

一、创建本地镜像组并明确编号规则

在系统视图下执行`mirroring-group 1 local`命令，即可创建编号为1的本地镜像组。华为S系列交换机支持最多配置32个本地镜像组（具体数量依设备型号与软件版本而定，如S5735-L V200R022C00支持32组），组号必须为1–32之间的整数且不可重复。若需多组独立监控任务（例如一组用于安全设备抓包、另一组供运维平台分析），应分别创建mirroring-group 2、mirroring-group 3等，并确保各组观察端口物理隔离，避免流量混叠。创建后无需额外激活，组即处于待配置状态。

二、精准配置观察端口并禁用业务转发

进入待设为观察端口的物理接口视图（如`interface GigabitEthernet 0/0/10`），执行`observe-port 1`命令将其绑定至镜像组1。关键一步是立即执行`undo portswitch`（针对三层接口）或确认该端口未加入任何VLAN，同时建议执行`shutdown`后再`undo shutdown`以清除原有MAC表项。根据华为官方配置指南，观察端口默认禁止转发用户数据，但为彻底规避环路风险与带宽争抢，务必在配置完成后通过`display interface GigabitEthernet 0/0/10`确认其“Line protocol current state”为UP，且“Input/output rate”长期趋近于零——这表明其已脱离业务路径，专用于接收镜像流量。

三、按需设定镜像端口流量方向与范围

对单个被监控端口（如GigabitEthernet 0/0/1），进入其接口视图后执行`port-mirroring to observe-port 1 both`；若仅需上行流量则改用`inbound`，下行则用`outbound`。批量配置时，先使用`interface range GigabitEthernet 0/0/1 to 0/0/4`进入接口范围视图，再统一下发`port-mirroring to observe-port 1 both`。特别注意：同一镜像组内，一个观察端口可关联多个镜像端口（N:1），但一个镜像端口不可同时属于多个镜像组，否则系统将报错提示“conflict”。

四、验证与保存必须同步执行

配置完毕后，依次运行`display observe-port`核验观察端口状态，`display port-mirroring`查看各镜像端口绑定关系，`display mirroring-group all`确认组内成员完整性。三项命令输出均需显示“Status: Active”且无“Error”字段。最后务必执行`save`命令将配置写入startup.cfg，否则设备重启后镜像策略将失效。建议在验证通过后，立即连接协议分析仪至观察端口，捕获ICMP或HTTP流量，实测镜像时延是否稳定在毫秒级以内。

综上，端口镜像不是简单命令堆砌，而是涉及组管理、端口角色隔离与流量路径校验的闭环操作。