转载自： https://yingfeng.me/archives/1068

前言：某客户机房上架一台入侵检测设备，需要将核心交换机上的流量全部做镜像过来做分析。但是客户机房有网监设备，已经在核心交换机上做了流量镜像并配置好了观察口，且该接口已经被网监设备所使用。经测试，H3C交换机无法为一组流量镜像配置多个观察口，故无法正常部署设备。H3C交换机不支持配置多个流量镜像观察口，但是该场景入侵检测设备只能旁挂部署。如果要实现流量镜像需要接到多个设备分析，最简单的方法就是加一台TAP交换机，但是TAP交换机价值不菲，我要是提出这个方案估计会被销售砍死。经过查询资料，发现可以使用远程镜像VLAN实现本地镜像支持多个目的端口。

网络拓扑：
懒得画图了，就是一台核心交换机接了一堆设备，需要流量分析的设备也都接在该交换机上。

具体配置如下：

#创建远程镜像组1
[H3C] mirroring-group 1 remote-source

#将需要镜像的端口接入镜像组（这里将1-20口都加入镜像组）
[H3C] mirroring-group 1 mirroring-port g1/0/1 to g1/0/20

#将设备上未使用的端口配置为镜像组1的反射口（这里用了23口）
[H3C] mirroring-group 1 reflector-port g1/0/23
This operation may delete all settings made on the interface. Continue? [Y/N]:y

#关闭反射口生成树协议
[H3C]int g1/0/23
[H3C-GigabitEthernet1/0/23]undo stp enable

#创建vlan10，将其作为镜像组1的远程镜像vlan，并关闭vlan10的mac地址学习功能
[H3C]vlan 10
[H3C-vlan10]qu
[H3C]mirroring-group 1 remote-probe vlan 10
[H3C]vlan 10
[H3C-vlan10]undo mac-address mac-learning enable

#配置VLAN10作为镜像组1的远程镜像VLAN。
[H3C]mirroring-group 1 remote-probe vlan 10

配置完成后，配置的反射口（这里是23口）会长亮，需要做流量分析的设备接到远程镜像vlan（这里是vlan10）的接口上即可。不过需要注意的是，加入远程镜像vlan中的端口，要从镜像组中移除。