F5000-M-G2端口镜像

相关限制，参考：

1.4.4  配置镜像源

1. 配置限制和指导

配置源端口时，需要注意的是：

·     一个镜像组内可以配置多个源端口。

·     一个端口只能被一个镜像组用作源端口。

·     源端口不能用作目的端口。

1.4.5  配置镜像目的

1. 配置限制和指导

不能在目的端口上开启生成树协议，否则会影响镜像功能的正常使用。

一个本地镜像组中仅可以配置一个目的端口。

从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析，请将目的端口只用于端口镜像，不作其他用途。

一、先明确当前版本硬件芯片限制
本地端口镜像硬限制
该版本 F5000-M-G2 芯片仅支持2 个本地 local 镜像组，mirroring-group X local最多创建 2 组，无法新建第 3 组本地镜像。
远程镜像不可用原因
防火墙该固件分支不支持 remote-source/remote-destination 远程镜像 RSPAN，输入mirroring-group X ?仅显示 local 选项，无远程镜像关键字，无法用二层远程镜像 VLAN 方案。
流行为 mirror-to 接口找不到命令根因
低版本 P2705 流镜像mirror-to interface仅支持流镜像到 CPU，缺失镜像到物理接口的功能，高版本 P3000 + 才开放mirror-to interface参数，因此当前版本流行为里无该配置。
二、4 套落地解决方案（按推荐优先级排序）
方案 1：QoS 流分类镜像（最优，不占用本地镜像组，实现 3 路独立业务镜像）
原理：通过 ACL 区分 3 套业务流量，分别配置 3 套流策略，匹配对应业务后镜像至 3 个独立观察口，完全绕过 2 组本地镜像上限限制，每个业务独立采集互不干扰。
完整配置示例
bash
运行
system-view
# 1. 分别创建3套业务ACL，区分不同业务网段/端口
acl advanced 3001 # 业务A流量
rule permit ip source 10.1.0.0 0.0.255.255 destination any
acl advanced 3002 # 业务B流量
rule permit ip source 10.2.0.0 0.0.255.255 destination any
acl advanced 3003 # 业务C流量
rule permit ip source 10.3.0.0 0.0.255.255 destination any

# 2. 创建3套流分类，绑定对应业务ACL
traffic classifier cls_a operator or
if-match acl 3001
traffic classifier cls_b operator or
if-match acl 3002
traffic classifier cls_c operator or
if-match acl 3003

# 3. 创建3套流行为，分别镜像到3个独立监控口（G0/24、G0/25、G0/26）
traffic behavior beh_a
mirror-to interface GigabitEthernet 0/24
traffic behavior beh_b
mirror-to interface GigabitEthernet 0/25
traffic behavior beh_c
mirror-to interface GigabitEthernet 0/26

# 4. 创建流策略，绑定分类+行为
traffic policy mirror_policy
classifier cls_a behavior beh_a
classifier cls_b behavior beh_b
classifier cls_c behavior beh_c

# 5. 在所有业务入接口应用流策略（双向监控可inbound+outbound双方向调用）
interface range GigabitEthernet 0/0 to GigabitEthernet 0/10
ip apply traffic-policy mirror_policy inbound
ip apply traffic-policy mirror_policy outbound
约束与优势
✅ 优势：3 路业务完全隔离，各输出独立监控口，不占用本地镜像组资源，完美匹配客户 3 业务独立采集需求；
⚠️ 约束：依赖 ACL 区分业务，若业务端口 / 网段重叠，需细化五元组规则；大流量场景会轻微占用芯片 ACL 资源。
方案 2：合并 2 组本地镜像 + 第 3 组复用反射 VLAN（无 ACL 区分业务时使用）
利用远程镜像 VLAN 广播特性，把第 3 路业务流量放入 1 个本地镜像组，通过反射 VLAN 同时输出至 3 个监控口，实现 3 业务采集。
bash
运行
system-view
# 创建专用镜像VLAN，禁止业务转发
vlan 4090
remote-probe vlan enable
# 创建远程源镜像组（不受2组本地镜像限制）
mirroring-group 3 remote-source
# 配置第3套业务源端口
mirroring-group 3 mirroring-port GigabitEthernet 0/15 both
# 配置反射口（闲置空端口，不接网线）
mirroring-group 3 reflector-port GigabitEthernet 0/30
# 绑定镜像VLAN
mirroring-group 3 remote-probe vlan 4090
# 将3个监控观察口加入镜像VLAN，自动泛洪镜像流量
interface range GigabitEthernet 0/24 to GigabitEthernet 0/26
port link-mode bridge
port access vlan 4090
undo stp enable
缺陷：
3 路监控口会同时收到第 3 套业务全量流量，无法单独隔离单业务，仅适合三套监控设备都需要采集同一套业务流量场景，不适合客户每套业务对应独立采集设备需求。
方案 3：升级防火墙固件至 Release9900P3000 及以上版本（根治底层限制）
新版本开放能力：
本地镜像组上限提升至 4 组；
完整支持mirror-to interface流镜像到物理接口；
原生支持 RSPAN 远程镜像，可跨设备扩展镜像采集；
操作步骤：
备份整机配置、安全策略、特征库；
上传 P3000 配套 BIN 固件，整机升级重启；
升级后可直接创建 3 组mirroring-group X local本地镜像，无需流策略绕路。
方案 4：外接交换机分流镜像（硬件旁路兜底方案）
若防火墙 ACL 资源不足、无法配置流镜像：
防火墙仅配置 2 组本地镜像，把 3 套业务流量全部镜像至同一个中间交换机上行口；
接入交换机配置端口镜像分流，交换机侧拆分 3 路独立镜像输出至 3 台审计设备；
缺点：多一层转发，镜像流量存在延迟，交换机需额外维护镜像配置。
三、当前版本流镜像命令缺失补充说明
P2705 版本traffic behavior下仅支持mirror-to cpu，无mirror-to interface，不是输入错误，是固件版本裁剪功能：
低版本防火墙为控制芯片性能，屏蔽流镜像到物理口；
执行display version确认固件，升级至 P3000 + 即可解锁完整流镜像功能。
四、验证排错命令
bash
运行
# 查看流策略镜像匹配计数，确认流量正常镜像
display traffic policy statistics mirror_policy
# 查看本地镜像组上限（仅能创建1、2组）
display mirroring-group all
# 查看流行为镜像配置
display traffic behavior beh_a
五、落地推荐优先级
短期不改固件：方案 1 QoS 流分类镜像（完全满足 3 业务独立采集，无版本升级风险）；
长期稳定运维：方案 3 升级至 P3000 版本（原生支持 3 组本地镜像，配置最简）；
无 ACL 区分业务、临时过渡：方案 2 反射 VLAN 镜像；
资源不足兜底：方案 4 外接交换机分流。