在日常的网络运维与故障排查中端口镜像Port Mirroring是我们网络工程师最常用的“透视镜”。无论是抓包分析、排查网络异常还是对接安全审计设备都离不开它。今天这篇笔记我将结合一线实战经验带大家从最基础的本地端口镜像SPAN入手再进阶到利用“远程镜像VLAN”实现多目的端口监控的进阶玩法。全程干货建议收藏备用一、 基础实战本地端口镜像SPAN配置这是最经典的场景我们需要把某几个端口的流量原封不动地复制一份给同一台交换机上的监控服务器。1. 组网需求假设 Device 交换机的Ten-GigabitEthernet1/0/1和1/0/2分别连接着市场部和研发部而Ten-GigabitEthernet1/0/3连接着抓包分析服务器Server。目标让 Server 能够监控这两个部门端口所有进、出方向的双向报文。2. 核心配置步骤# 进入系统视图创建本地镜像组 1 Device system-view [Device] mirroring-group 1 local # 配置源端口与目的端口 # 将市场部和研发部的端口设为源端口both 表示双向监控目的端口为连接 Server 的端口 [Device] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 ten-gigabitethernet 1/0/2 both [Device] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/3 # 【关键避坑】在目的端口上关闭生成树协议STP # 目的端口仅用于接收镜像数据开启 STP 可能会导致端口阻塞或报文转发异常 [Device] interface ten-gigabitethernet 1/0/3 [Device-Ten-GigabitEthernet1/0/3] undo stp enable [Device-Ten-GigabitEthernet1/0/3] quit3. 验证配置配置完成后使用以下命令检查镜像组状态是否为Active1[Device] display mirroring-group all预期输出1Mirroring group 1: 2 Type: Local 3 Status: Active 4 Mirroring port: 5 Ten-GigabitEthernet1/0/1 Both 6 Ten-GigabitEthernet1/0/2 Both 7 Monitor port: Ten-GigabitEthernet1/0/3避坑提示目的端口Monitor Port必须专口专用千万不要在目的端口上接入其他业务终端或开启生成树协议否则会导致镜像数据丢失或网络环路。二、 进阶玩法利用远程镜像 VLAN 实现“多目的端口”在实际机房中我们经常会遇到一个痛点一个本地镜像组只能配置一个目的端口。如果安全审计服务器ServerA和性能分析服务器ServerB都需要监控相同的流量怎么办这时候就可以利用“远程镜像 VLANRemote Probe VLAN”来破局1. 组网需求部门 A、B、C 分别接入1/0/1到1/0/3端口。现在要求 ServerA接在1/0/4和 ServerB接在1/0/5同时监控这三个部门的双向报文。2. 核心配置步骤# 创建“远程源镜像组” Device system-view [Device] mirroring-group 1 remote-source # 批量配置源端口部门A/B/C [Device] mirroring-group 1 mirroring-port Ten-GigabitEthernet 1/0/1 to Ten-GigabitEthernet 1/0/3 both # 配置反射端口Reflector Port # 将任意一个空闲端口作为反射口用于将镜像报文反射到镜像 VLAN 中 [Device] mirroring-group 1 reflector-port Ten-GigabitEthernet 1/0/6# 系统提示该操作会清除接口原有配置输入 y 确认即可 Thisoperation may delete all settings made on the interface. Continue? [Y/N]:y # 创建专用的镜像 VLAN并加入目的端口 # 强烈建议创建一个专门的 VLAN如 VLAN 10用于传输镜像流量不要与业务 VLAN 混用 [Device] vlan 10 [Device-vlan10] port Ten-GigabitEthernet 1/0/4 to Ten-GigabitEthernet 1/0/5 [Device-vlan10] quit # 将 VLAN 10 绑定为远程镜像 VLAN [Device] mirroring-group 1 remote-probe vlan 10避坑提示反射端口Reflector Port是远程镜像的核心枢纽它负责把源端口的报文“反射”到镜像 VLAN 中。配置后该端口会被接管请勿用于其他业务。镜像 VLAN是一个逻辑通道只负责搬运镜像报文。接入监控服务器的物理端口如1/0/4和1/0/5必须加入该 VLAN否则服务器收不到数据。三、 总结与排错思路端口镜像的配置逻辑其实非常清晰基础监控local镜像组 mirroring-portmonitor-port记得关 STP。多点监控remote-source镜像组 reflector-portremote-probe vlan。如果配置后服务器抓不到包请按以下三步排查display mirroring-group all检查状态是否为Active。检查目的端口是否加入了正确的 VLAN或者是否误开了 STP。检查监控服务器上的抓包网卡是否开启了“混杂模式Promiscuous Mode”。