中兴ZXR10-3928A端口镜像实战：从零配置到流量捕获

1. 认识中兴ZXR10-3928A端口镜像功能

刚接触网络设备的朋友可能对"端口镜像"这个词感到陌生。简单来说，它就像给交换机装了个监控摄像头——把指定端口的网络流量复制一份，发送到另一个端口供分析设备抓取。我在第一次配置ZXR10-3928A时就靠这个功能成功定位了网络环路问题。

中兴ZXR10-3928A是企业级三层交换机，端口镜像功能常用于：

• 故障排查：当某个端口频繁丢包时，通过镜像流量分析具体问题
• 安全审计：监控敏感端口的异常流量，比如财务部门的网络出口
• 流量分析：统计特定业务的带宽占用情况

实际项目中，我常用fei_1/1到fei_1/24的千兆电口做源端口，高速光口如gei_1/25做目的端口。因为镜像流量可能很大，建议用支持线速转发的端口作为监控口。有一次客户网络出现广播风暴，就是通过镜像核心交换机端口，用Wireshark抓包发现是某台工控机网卡故障导致的。

2. 登录设备与基础准备

拿到一台全新的ZXR10-3928A，首先需要通过Console线连接。我习惯用SecureCRT这类终端工具，波特率设为9600。接好线后你会看到这样的登录界面：

ZXR10>

输入enable进入特权模式，这时需要输入Console密码（新设备默认可能是admin/admin）。记得第一次使用时我忘了密码，最后只能通过复位按钮恢复出厂设置。进入后建议先做三件事：

1. 检查固件版本：show version确认系统版本，老版本可能存在镜像功能缺陷
2. 备份配置：show running-config查看当前配置，write保存配置
3. 规划端口：明确哪个端口需要监控（源端口），哪个端口接分析设备（目的端口）

有个容易忽略的细节：中兴交换机的端口命名规则。fei_1/1表示第一个业务板卡的1号电口，gei_1/25则是1号板卡的25号光口。有次我给客户配置时写成了fe1/0/1这种华为风格的命名，导致命令无法识别。

3. 详细配置步骤解析

3.1 进入配置模式

在ZXR10#提示符下输入configure terminal进入全局配置模式。这里有个实用技巧：按Tab键可以自动补全命令，比如输入conf后按Tab会自动补全为configure。我刚开始时不熟悉命令，全靠这个功能避免输错。

ZXR10#configure terminal ZXR10(config)#

3.2 设置源端口

假设要监控连接服务器的fei_1/1端口，配置步骤如下：

ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#monitor session 1 source

关键点说明：

• session 1是镜像会话编号，同一台设备可以配置多个镜像会话
• source表示设置为被监控的源端口
• 默认镜像双向流量，如需单独监控入向或出向流量，可以加rx或tx参数

实测中发现个坑：如果源端口是Trunk口，镜像流量会包含所有VLAN标签。有次分析防火墙日志时，就因为没注意这点导致漏掉了关键攻击流量。

3.3 设置目的端口

选择fei_1/16作为监控口，接装有Wireshark的笔记本：

ZXR10(config)#interface fei_1/16 ZXR10(config-fei_1/16)#monitor session 1 destination

重要注意事项：

1. 目的端口不能作为普通网络端口使用
2. 建议关闭该端口的STP协议，避免因BPDU报文导致端口阻塞
3. 高性能场景下，光口比电口更适合作为目的端口

曾经遇到个典型案例：客户反映镜像端口抓不到包，排查发现是网卡工作在100M模式，而镜像流量超过200M，导致大量丢包。后来换成千兆光口问题解决。

4. 验证与排错技巧

配置完成后，建议通过以下命令检查：

ZXR10#show monitor session 1

正常输出应包含源端口、目的端口和会话状态信息。常见问题处理经验：

1. 镜像不生效：

   • 检查物理连接是否正常
   • 确认目的端口未配置IP地址
   • 使用show interface counters查看端口是否有流量

2. 抓包不完整：

   • 可能是镜像端口带宽不足
   • 检查分析设备的网卡是否工作在混杂模式
   • 大型网络建议配置流量过滤，只镜像关键协议

3. 配置丢失：

   • 中兴设备必须执行write命令保存配置
   • 重要变更前建议copy running-config startup-config

有次深夜割接后镜像失效，后来发现是同事不小心把目的端口划进了VLAN。所以现在我的检查清单里一定会加上VLAN配置验证这一项。

5. 高级应用场景

5.1 远程流量镜像

对于分布式网络，可以通过ERSPAN实现跨设备镜像：

ZXR10(config)#monitor session 2 type erspan-source ZXR10(config-mon-erspan-src)#source interface fei_1/2 ZXR10(config-mon-erspan-src)#destination ip 192.168.1.100

这种配置适合安全运维中心集中分析多个分支机构的流量。不过要注意，IP网络本身的延迟和丢包会影响分析准确性。

5.2 流量过滤镜像

如果只想监控HTTP流量，可以结合ACL：

ZXR10(config)#access-list 100 permit tcp any any eq 80 ZXR10(config)#interface fei_1/3 ZXR10(config-fei_1/3)#monitor session 3 source acl 100

这样能大幅减少镜像流量，特别在监控核心交换机时非常有用。去年某电商大促期间，就是靠这个功能在10G链路上精准抓取了支付接口的异常报文。

6. 日常维护建议

根据多年运维经验，分享几个实用技巧：

1. 标签管理：给镜像端口贴上醒目标签，避免被误用
2. 带宽监控：定期检查目的端口流量是否超限
3. 配置归档：每次变更后备份配置到TFTP服务器
4. 安全审计：限制能访问镜像流量的设备和人员

曾经有客户的镜像端口被黑客利用来窃取数据，后来我们加了端口安全策略：

ZXR10(config)#interface fei_1/16 ZXR10(config-fei_1/16)#port-security max-mac-num 1 ZXR10(config-fei_1/16)#port-security action shutdown

端口镜像看似简单，但要真正用好需要结合具体业务场景。刚开始可以多练习抓取ping、HTTP等简单流量，熟悉后再逐步应用到复杂环境。遇到问题时，记住先检查物理层，再验证配置，最后分析流量特征，这套方法论能解决大部分镜像异常情况。