华为USG防火墙: 配置镜像

华为USG防火墙: 配置镜像

开启端口镜像功能有助于定位网络问题，但是由于该功能可能在一定程度上影响设备性能，请谨慎使用。使用端口镜像功能时，请引用ACL配置流量镜像的范围，避免镜像的流量过大对其他业务造成影响。
在网络问题定位结束后，请关闭端口镜像功能。
为防止由于接口传输速率不同导致的无法全部接收镜像报文的情况发生，请确保观测端口和镜像端口传输速率一致。
镜像端口需要加入安全区域，配置安全策略，保证网络的基本通信正常，观测端口不需要加入安全区域和配置安全策略。
管理口、HA接口、Eth-Trunk接口及子接口不支持作为镜像端口或观测端口。

FW支持基于硬件芯片端口镜像和基于主控板CPU端口镜像两种方式。由于FW报文首先经过NP芯片然后再上送主控板CPU，且缺省开启硬件快转功能后，只有部分流量会上送CPU，因此基于硬件芯片的端口镜像方式获取到的报文会比较全面，还可以减少CPU使用率，推荐使用。


需求：
把G0/0/1和G0/0/2的所有流量镜像到G0/0/10接口上的分析设备。
配置：
 observing-port GigabitEthernet0/0/10
 port-mirroring GigabitEthernet0/0/1 both GigabitEthernet0/0/10
 port-mirroring GigabitEthernet0/0/2 both GigabitEthernet0/0/10

查看：
<cjh-fw-USG6307E>display observing-port
2024-06-13 17:43:57.760 +08:00
GigabitEthernet0/0/10
<cjh-fw-USG6307E>

<cjh-fw-USG6307E>display port-mirroring configuration
2024-06-13 17:44:35.760 +08:00
Observing port:
  GigabitEthernet0/0/10
Port-mirroring configuration:
  GigabitEthernet0/0/1 [Inbound][Outbound] is mirrored to GigabitEthernet0/0/10
  GigabitEthernet0/0/2 [Inbound][Outbound] is mirrored to GigabitEthernet0/0/10
<cjh-fw-USG6307E>

删除：

[cjh-fw-USG6307E]undo port-mirroring GigabitEthernet0/0/1 ?    
  inbound   Indicate the inbound mirroring mode
  outbound  Indicate the outbound mirroring mode
  <cr>     
[cjh-fw-USG6307E]undo port-mirroring GigabitEthernet0/0/1
[cjh-fw-USG6307E]undo port-mirroring GigabitEthernet0/0/2
[cjh-fw-USG6307E]

[cjh-fw-USG6307E]undo observing-port GigabitEthernet 0/0/10

定位网络问题结束后，请执行命令undo port-mirroring [ hardware ] [ mirroring-port [ inbound | outbound ] ]关闭端口镜像功能。


一、配置基于主控板CPU的端口镜像
执行命令system-view，进入系统视图。
执行命令observing-port observing-port，配置观测端口。
观测端口为非业务接口，用于传输镜像到该端口上的业务报文，可以通过观测端口观测通过对应镜像端口的报文。
执行命令port-mirroring packet-discard observing-port { interface-name | interface-type interface-num } [ acl-number { acl-number | ipv6 acl-number } ]，开启向观测端口发送丢包报文的功能。
执行命令port-mirroring mirroring-port { both | inbound | outbound } observing-port [ acl-number { acl-number | ipv6 acl-number } ]，启动端口镜像。
镜像端口为业务端口，用于发送和接收业务报文。启动端口镜像前，相应的观测端口必须已经使用observing-port命令配置。
只有以太网口支持作为镜像端口。

二、配置基于硬件芯片的端口镜像
执行命令system-view，进入系统视图。
执行命令observing-port hardware observing-port，配置观测端口。
观测端口为非业务接口，用于传输镜像到该端口上的业务报文，可以通过观测端口观测通过对应镜像端口的报文。
执行命令port-mirroring hardware mirroring-port { both | inbound | outbound } observing-port [ acl-number acl-number ]，启动端口镜像。
镜像端口为业务端口，用于发送和接收业务报文，支持镜像发送和接收方向的报文。启动端口镜像前，相应的观测端口必须已经使用observing-port命令配置。

镜像（列表、list、全）

http://www.zh-cjh.com/wenzhangguilei/1006.html

文章归类、所有文章列表、LISTLIST

http://www.zh-cjh.com/wangzhangonggao/2195.html