问

S5560X支持将两个不通的网口通信分别镜像到两个本地端口吗

端口镜像

8小时前提问

0关注
0收藏，420浏览

zhiliao_kdAY1X

zhiliao_kdAY1X 零段

粉丝：0人关注：0人

问题描述：

我有一台S5560X-30C-EI 网口1、2、3、4划在一个VLAN里，现在想把网口1的双向通信内容镜像到网口5，网口2的双向通信内容镜像到网口6，可以吗？网口5和网口6需要与网口1、2、3、4划在同一个VLAN中吗？会影响交换机性能吗？

组网及组网描述：

交换机S5560X-30C-EI 网口1、2、3、4划为一个VLAN

4 个回答

按时间按赞数

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：90人关注：10人

可以的

镜像跟业务没关系的

暂无评论

什么都不会的网络工程师

什么都不会的网络工程师六段

粉丝：11人关注：0人

可以

单对单(一个源端口一个目的端口)就用本地镜像

单对多(一个源端口多个目的端口)就用远程镜像

暂无评论

有飞不起的鸟

有飞不起的鸟八段

粉丝：17人关注：0人

完全可以，这是“多对一”本地镜像的典型应用。
您需要在交换机上创建两个独立的镜像组（Mirroring Group），分别将G1/0/1和G1/0/2的流量镜像到不同的目的端口。
具体配置步骤（命令行示例）
假设您的交换机型号是 S5560X-30C-EI，端口号为 GigabitEthernet 1/0/1 到 GigabitEthernet 1/0/6。
# 进入系统视图
system-view

# 1. 创建第一个镜像组（例如组1），用于镜像端口1到端口5
mirroring-group 1 local
# 设置G1/0/5为目的端口（监控端口）
mirroring-group 1 monitor-port gigabitethernet 1/0/5
# 设置G1/0/1为源端口，并镜像其双向(ingress & egress)流量
mirroring-group 1 mirroring-port gigabitethernet 1/0/1 both
# 提示：如果只需镜像“进入”或“发出”的流量，可将 ‘both‘ 替换为 ‘inbound‘ 或 ‘outbound‘

# 2. 创建第二个镜像组（例如组2），用于镜像端口2到端口6
mirroring-group 2 local
mirroring-group 2 monitor-port gigabitethernet 1/0/6
mirroring-group 2 mirroring-port gigabitethernet 1/0/2 both

# 保存配置
save force
关键命令解释：
mirroring-group X local：创建一个编号为X的本地镜像组。
mirroring-group X monitor-port：指定该镜像组的目的端口（接分析设备的端口）。
mirroring-group X mirroring-port ... both：指定该镜像组的源端口，并镜像其双向流量。
详细解答您的疑问
1. 网口5和6需要与1-4在同一个VLAN中吗？
不需要，而且强烈建议不要放在同一个VLAN。
目的：镜像端口（G1/0/5， G1/0/6）的唯一功能是被动复制流量给监控设备（如抓包服务器、IDS、审计平台）。它们不应该参与正常的二层数据转发。
最佳实践：
将镜像端口（G1/0/5， G1/0/6）保持为Access端口，并划入一个独立的、专用于监控的VLAN（例如VLAN 999）。
或者，将其端口类型改为 mode hybrid并 undo vlan所有VLAN，仅作为纯镜像口。
在您的监控设备（接在G1/0/5和G1/0/6上的设备）上，将网卡设置为混杂模式，以便接收所有复制的数据包。
如果放在同一个VLAN：可能会导致不必要的广播报文转发到监控端口，甚至引发网络环路或安全风险。
2. 会影响交换机性能吗？
会有一定影响，但在合理规划下，对于S5560X-EI型号影响可控。
性能影响来源：
CPU占用：管理镜像会话本身会消耗极少量CPU资源。
背板带宽：镜像流量会占用交换机的内部总线带宽。这是主要考量点。
目的端口带宽：这是最容易成为瓶颈的地方！必须确保目的端口（G1/0/5， G1/0/6）的上行带宽（连接监控设备的链路带宽）大于等于其所有源端口的最大可能流量之和。例如，如果G1/0/1和G1/0/2都是千兆端口且流量满载，那么G1/0/5就必须是万兆口，否则会丢包。
S5560X-EI的能力：该型号性能较强，处理多个端口的镜像压力不大。只要不将所有高负载端口的流量都镜像到同一个低带宽目的端口，通常不会影响其正常业务转发性能。
建议：
监控镜像目的端口的利用率。
如果源端口是万兆口且流量大，目的端口最好也是万兆口。
避免做“一对多”或“端口镜像到VLAN”等更消耗资源的复杂镜像。
配置验证命令
配置完成后，可以使用以下命令检查：
# 查看所有镜像组的摘要信息
display mirroring-group all

# 查看具体镜像组（如组1）的详细信息
display mirroring-group 1

# 查看目的端口的状态（确认是否成功被设置为监控端口）
display mirroring-group monitor-port
总结与操作清单
规划：确认G1/0/5和G1/0/6的链路带宽足够承载G1/0/1和G1/0/2的峰值流量。
配置：登录交换机，按上述步骤创建两个独立的本地镜像组。
隔离：将G1/0/5和G1/0/6划入一个独立的VLAN或取消所有VLAN成员，使其仅用于镜像。
连接：将您的抓包设备或安全探针连接到G1/0/5和G1/0/6。
验证：在交换机上使用 display命令确认配置生效，在监控设备上启动抓包验证能收到预期流量。
按照这个流程操作，您就能成功实现将两个业务端口的流量分别镜像到两个独立监控端口的需求。