概要
このドキュメントではローカルの Switched Port Analyzer(SPAN)をアグリゲーション サービス ルータ(ASR)1000 に簡単に設定する方法を説明します。このタイプの SPAN は Encapsulated Remote SPAN(ERSPAN)と呼ばれます。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、3.4.6S を実行する ASR1002 ルータに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
調整可能な箇所が多数あります。詳細については 「LAN スイッチ設定ガイド、Cisco IOS XE Release 3S」を参照してください。
設定
ネットワーク図
トラフィックはG0/0/0を出入りします。スニファアプリケーションはG0/0/2にあります。
G0/0/0 --- ASR1002 ----G0/0/2
コンフィギュレーション
- トラフィックをモニタするためのセッションと、ローカル インターフェイスからトラフィックを送出するための別のセッションを定義します。
- 両方のセッション定義の IP アドレスと発信元 IP が完全に一致していることを確認します。これは必須です。ルータに対してローカルのアドレスを使用します。未使用のループバックが推奨されます。
- ERSPAN-ID も同じであることを確認します。
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
negotiation auto
!
interface GigabitEthernet0/0/2
no ip address
negotiation auto
!
interface Loopback1
ip address 10.1.1.1 255.255.255.255
!
monitor session 10 type erspan-source
source interface Gi0/0/0
destination
erspan-id 10
ip address 10.1.1.1
origin ip address 10.1.1.1
monitor session 20 type erspan-destination
destination interface Gi0/0/2
source
erspan-id 10
ip address 10.1.1.1
もう 1 つの一般的な ERSPAN 設定は、送信元インターフェイスがトランクである場合のローカル SPAN です。
- この設定では、ERSPAN の送信元として物理インターフェイスを設定します。
- ERSPAN 接続先では、plim ethernet vlan filter disable コマンドを使用して、VLAN フィルタを無効にします。フィルタが無効になっていない場合、SPAN セッションは複製されたトラフィックを送信しません。
G0/0/0 --dot1q-- ASR1002 ----G0/0/2
interface GigabitEthernet0/0/0
no ip address
negotiation auto
!
interface GigabitEthernet0/0/0.2
encapsulation dot1Q 2
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/0/2
no ip address
negotiation auto
plim ethernet vlan filter disable
!
interface Loopback1
ip address 10.1.1.1 255.255.255.255
!
monitor session 10 type erspan-source
source interface Gi0/0/0
destination
erspan-id 10
ip address 10.1.1.1
origin ip address 10.1.1.1
monitor session 20 type erspan-destination
destination interface Gi0/0/2
source
erspan-id 10
ip address 10.1.1.1
確認
ここでは、設定が正常に機能しているかどうかを確認します。
一番簡単な確認方法は、ERSPAN の宛先インターフェイスで出力パケット数が増加することを確認することです。このインターフェイスには設定がないため、他のトラフィックはありません。
ASR1002#show int gig 0/0/2 | i packets out
2073 packets output, 242097 bytes, 0 underruns
Quantum Flow Processor(QFP)でセッション情報を確認することもできます。 これらの例では、パケットがコピーされるに伴い、[Statistics] が増加します。
ASR2#show platform hardware qfp active feature erspan session 10
ERSPAN Session: 10
Type : SRC
Config Valid : Yes
User On/Off : On
DP Debug Cfg : 0x00000000
Statistics:
Src session transmit : 4165 / 634836
Configuration:
VRF ID : 0
Dest IP addr : 10.1.1.1
Orig IP addr : 10.1.1.1
Flow ID : 10
GRE protocol : 0x88BE
MTU : 1464
IP TOS : 0
IP TTL : 255
COS : 0
Encapsulation:
00000000 4500 0000 0000 4000 ff2f 0000 0a01 0101
00000010 0a01 0101 1000 88be 0000 0000 1001 000a
00000020 0000 0000 0000 0000 0000 0000 0000 0000
Port Configurations:
VF Interface Name Flag Status
-----------------------------------------------------------------------
No GigabitEthernet0/0/0 BOTH Enable
ASR2#show platform hardware qfp active feature erspan session 20
ERSPAN Session: 20
Type : TERM
Config Valid : Yes
User On/Off : On
DP Debug Cfg : 0x00000000
Statistics:
Term session receive : 4167 / 635644
Configuration:
VRF ID : 0
Dest IP addr : 10.1.1.1
Flow ID : 10
Port Configurations:
VF Interface Name Flag Status
-----------------------------------------------------------------------
No GigabitEthernet0/0/2 TX Enable
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
- モニタ セッションの最初の設定が終わるとシャットダウンします。セッションは、no shutdown コマンドを使用して有効にする必要があります。
- ERSPAN はレイヤ 3 インターフェイスでのみ動作します。ブリッジ ドメイン インターフェイスやサービス インスタンスのようなレイヤ 2 のイーサネットインターフェイスでは機能しません。
- モニタされる送信元のいずれかが Dot1q のトランクの一部である場合は、SPAN で分析したトラフィックは発信インターフェイスにより破棄されます。この問題を修正するには、物理 ERSPAN の宛先インターフェイスに plim ethernet vlan filter disable コマンドを追加します。
- ERSPAN の宛先インターフェイスにはリンクをオンラインにするために必要な設定以外、一切の設定をしてはなりません。IP アドレスは不要です。インターフェイスは ERSPAN のトラフィックのみに使用されます。
フィードバック