我有一台t1060入侵检测,旁挂在核心，怎么把从核心镜像过来的流量，做分析，详细一点谢谢，最好有案例

需要在核心上做镜像配置，将流量镜像过来，参考核心设备的配置指导。

T1060侧的配置做bridge 黑洞转发进行检测即可

核心配置端口镜像.

利用远程镜像VLAN实现本地镜像支持多目的端口配置举例（非固定反射端口方式）

1. 组网需求

三个部门A、B、C分别使用GigabitEthernet1/0/1～GigabitEthernet1/0/3端口接入Device，现要求通过镜像功能，使数据检测设备ServerA和ServerB都能够对三个部门发送和接收的报文进行镜像。

2. 组网图

图1-9 利用远程镜像VLAN实现本地镜像支持多目的端口组网图

3. 配置步骤

# 创建远程源镜像组1。

<Device> system-view

[Device] mirroring-group 1 remote-source

# 将接入部门A、B、C的三个端口配置为远程源镜像组1的源端口。

[Device] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 to gigabitethernet 1/0/3 both

# 将设备上任意未使用的端口（此处以GigabitEthernet1/0/6为例）配置为镜像组1的反射口。

[Device] mirroring-group 1 reflector-port gigabitethernet 1/0/6

This operation may delete all settings made on the interface. Continue? [Y/N]:y

# 创建VLAN10作为镜像组1的远程镜像VLAN，并将接入数据检测设备的端口加入VLAN10。

[Device] vlan 10

[Device-vlan10] port gigabitethernet 1/0/4 to gigabitethernet 1/0/5

[Device-vlan10] quit

# 配置VLAN10作为镜像组1的远程镜像VLAN。

[Device] mirroring-group 1 remote-probe vlan 10

4. 验证配置

# 显示Device上所有镜像组的配置信息。

[Device] display mirroring-group all

Mirroring group 1:

    Type: Remote source

    Status: Active

    Mirroring port:

        GigabitEthernet1/0/1  Both

        GigabitEthernet1/0/2  Both

        GigabitEthernet1/0/3  Both

    Reflector port: GigabitEthernet1/0/6

    Remote probe VLAN: 10

配置完成后，用户可以通过ServerA和ServerB监控三个部门发送和接收的报文。

IPS:

# 创建Bridge 1，配置其转发模式为黑洞模式。

<Sysname> system-view

[Sysname]  interface rang GigabitEthernet1/0/1 to GigabitEthernet1/0/2

[Sysname] port link-mode bridge 

[Sysname] bridge 1 blackhole

[Sysname-bridge1-blackhole]add interface G1/0/1

[Sysname-bridge1-blackhole]add interface G1/0/2

创建全通安全策略，将IPS，AV策略引用即可。
security-policy ip
rule 0 name 0
action pass