以下是华三（H3C）交换机配置流量镜像的详细操作步骤，结合不同场景需求和官方文档要点整理而成：

一、基础配置：本地端口镜像

适用场景：同一台交换机上的流量监控（如将多个端口的流量复制到单个监控端口）。

步骤1：创建本地镜像组

system-view mirroring-group [组号] local

组号为自定义的镜像组编号（如1、2等）。

步骤2：配置源端口

方法一（批量配置）：

mirroring-group [组号] mirroring-port [接口范围] [方向]

示例：将G1/0/1至G1/0/5的入方向流量加入镜像组1

mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/5 inbound

方向参数：inbound（入口流量）、outbound（出口流量）、both（双向流量）。

方法二（单端口配置）：

interface [接口名称] mirroring-group [组号] mirroring-port [方向]

步骤3：配置目的端口

mirroring-group [组号] monitor-port [接口名称]

示例：将G1/0/24设为目的端口

mirroring-group 1 monitor-port GigabitEthernet 1/0/24

注意事项

需关闭目的端口的生成树协议（STP），避免镜像失效：interface [目的端口名称] undo stp enable目的端口不能是聚合组成员或开启LACP/STP的端口。

步骤4：验证配置

display mirroring-group all

检查镜像组状态是否为Active，并确认源端口与目的端口绑定关系。

二、特殊场景配置

场景1：多镜像口映射到多观察口

需求：将不同部门的流量镜像到不同监控服务器（如研发部流量到G1/0/4，市场部到G1/0/5）。

批量配置观察端口

observe-port [组号] interface-range [接口范围]

示例：将G1/0/4和G1/0/5设为观察端口组1。

为不同源端口绑定观察组

interface [源端口名称] port-mirroring to observe-port [组号] [方向]

场景2：远程镜像（跨设备监控）

适用场景：源交换机与目的交换机位于不同物理位置。

配置远程镜像VLAN

在源、中间、目的交换机上创建相同的静态VLAN（如VLAN 100）并启用远程镜像功能：

vlan 100 remote-probe vlan enable

源交换机配置

指定反射端口和远程镜像VLAN：

mirroring-group [组号] remote-source mirroring-group [组号] reflector-port [反射端口] mirroring-group [组号] remote-probe vlan 100

目的交换机配置

绑定监控端口至远程镜像VLAN：

mirroring-group [组号] remote-destination mirroring-group [组号] monitor-port [目的端口]

确保中间交换机的Trunk端口允许VLAN 100通过。

三、注意事项与常见问题

性能影响镜像流量可能占用带宽，避免对核心业务端口进行双向镜像。型号差异低端型号（如S2000）可能仅支持monitor-port命令，不支持observe-port。批量配置技巧使用interface-range命令批量操作端口范围，提升效率。常见故障排查镜像不生效检查目的端口是否关闭STP，或镜像组状态是否为Active。流量遗漏确认镜像方向（如仅inbound可能漏掉出口流量）。

四、扩展功能：流镜像（基于ACL过滤）

适用场景：仅监控特定协议或IP的流量（如HTTP或指定IP段）。

定义ACL规则：acl advanced 3000 rule permit tcp destination-port eq 80绑定ACL至镜像组：mirroring-group [组号] mirroring-acl 3000需在支持流镜像的高端型号（如S9300）中配置。

验证工具建议：

使用tcpdump或Wireshark连接目的端口抓包，确认镜像流量完整性：tcpdump -i [网卡名称] -w capture.pcap

通过以上步骤，可灵活应对不同网络环境下的流量监控需求。具体命令可能因设备型号或系统版本略有差异，建议参考对应设备的官方配置手册。