sys

[H3C]sysname SW1

[SW1]mirroring-group 1 local //创建本地镜像组、组号为1

[SW1]mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both //指定镜像口，监控进出流量

[SW1]mirroring-group 1 monitor-port GigabitEthernet 1/0/1 //指定监控口

[SW1]dis mirroring-group all //查看镜像组信息

Mirroring group 1:

Type: Local  //本地镜像

Status: Active  //镜像状态为激活

Mirroring port:

    GigabitEthernet1/0/2  Both

Monitor port: GigabitEthernet1/0/1

或者使用交换机上的抓包功能：

1.10 Packet Capture典型配置举例
1.10.1 远程报文捕获配置举例

1. 组网需求
   在Switch的GigabitEthernet1/0/1接口上开启远程报文捕获功能，将捕获的报文上送到Wireshark软件上解析。
2. 组网图
   图1-2 远程报文捕获组网图
3. 配置步骤
   (1) 配置Switch

在接口GigabitEthernet1/0/1的入方向上应用QoS策略，用来限制只捕获去往Network（假设IP地址为20.1.1.0/16网段）的硬件转发报文。

创建IPv4高级ACL 3000，用来匹配目的地址为20.1.1.0/16网段的报文。

system-view

[Switch] acl advanced 3000

[Switch-acl-ipv4-adv-3000] rule permit ip destination 20.1.1.0 255.255.0.0

[Switch-acl-ipv4-adv-3000] quit

定义流行为behavior1，配置流量镜向到CPU。

[Switch] traffic behavior behavior1

[Switch-behavior-behavior1] mirror-to cpu

[Switch-behavior-behavior1] quit

定义类classifier1，匹配ACL3000。

[Switch] traffic classifier classifier1

[Switch-classifier-class1] if-match acl 3000

[Switch-classifier-class1] quit

定义一个名为user1的策略，并在策略user1中为类classifier1指定采用流行为behavior1。

[Switch] qos policy user1

[Switch-qospolicy-user1] classifier classifier1 behavior behavior1

[Switch-qospolicy-user1] quit

将策略user1应用到接口GigabitEthernet1/0/1的入方向上。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] qos apply policy user1 inbound

[Switch-GigabitEthernet1/0/1] quit

[Switch] quit

在GigabitEthernet1/0/1上开启远程报文捕获功能，指定RPCAP服务端口号为2014。

packet-capture remote interface gigabitethernet 1/0/1 port 2014

(2) 配置Wireshark

a. 在PC上打开Wireshark软件，选择“Capture > Options”。

b. 选择“Interface > Remote”。

c. 输入Switch的IP地址（该地址必须和Wireshark路由可达）和绑定的RPCAP服务端口号2014。

d. 点击按钮，再点击按钮启动捕获。此时在报文捕获窗口可看到捕获到的报文。