华三交换机端口镜像抓包实战

1.端口镜像的使用场景

2.华三交换机配置端口镜像（web + 命令行）

3.wireshark分析配置端口镜像前后抓包的数据区别

1.端口镜像的使用场景

端口镜像（Mirror Port）功能通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听，指定端口称之为“镜像端口”（Monitor Port）或“目的端口”，在不严重影响源端口正常吞吐流量的情况下，可以通过镜像端口对网络的流量进行监控分析。在企业中用镜像功能，可以很好地对企业内部的网络数据进行监控管理，在网络出故障的时候，可以快速地定位故障。

2.华三交换机配置端口镜像（web + 命令行）

先简单描述一下实验环境：

华三路由器：Vlan1 192.168.1..1 /24 Vlan10 192.168.2.1 /24 都开启DHCP

华三交换机：端口5划入Vlan 10 ,端口1和端口3使用默认Vlan 1

抓包主机：连接在端口5下 ip:192.168.2.101 /24

其余主机所在网段：192.168.1.0 /24

华三交换机配置端口镜像：

web配置如下：

命令行配置如下：

创建本地镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口。
[Sysname] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/3 both
[Sysname] mirroring-group 1 monitor-port GigabitEthernet 1/0/5

查看配置：

配置完成，此时可以在端口5下通过wireshark来抓包，从而分析一些网络问题

3.wireshark分析配置端口镜像前后抓包的数据区别

3.1 未配置端口镜像前抓包情况：

查看arp

此时的arp数据包只有本机和网关之间的

查路由器vlan1和vlan10网关的所有数据包

在端口5下抓不到任何vlan1下网络设备与网关通讯的数据包。

3.2 配置端口镜像后抓包情况：

查看arp

此时的arp数据包就很丰富了，既有vlan10下的arp又有vlan1下的arp

查看所有通过https协议访问网页的数据包

此时在端口5下可以同时抓到vlan1和vlan10的数据包。

这个实验也就证明了，即使端口是配置了vlan隔离。我们依然可以通过端口镜像的方法，将端口1和端口3经过的流量复制一份转发到端口5下。平常的一些离奇的网络故障，我们都可以通过配置端口镜像来对经过的流量通过wireshark抓包分析,有利于快速定位网络故障。抓包学的好，牢饭吃到饱，期待您的点赞收藏。