SPAN の設定

この章では、Cisco NX-OS デバイス上のポート間のトラフィックを分析するようにイーサネット スイッチド ポート アナライザ(SPAN)を設定する方法について説明します。

SPAN の概要

SPAN は、外付けアナライザが接続された宛先ポートに SPAN セッション トラフィックを送ることで、送信元ポート間のすべてのトラフィックを分析します。

ローカル デバイス上で、SPAN セッションでモニタする送信元と宛先を定義できます。

SPAN ソース

トラフィックを監視できる監視元インターフェイスのことを SPAN 送信元と呼びます。送信元では、監視するトラフィックを指定し、さらに入力(Rx)、出力(Tx)、または両方向のトラフィックをコピーするかどうかを指定します。SPAN 送信元には次のものが含まれます。

  • イーサネット ポート(ただしサブインターフェイスではない)

  • コントロール プレーン CPU への帯域内インターフェイス。


    Note

    SPAN 送信元としてスーパーバイザ インバンド インターフェイスを指定すると、デバイスはスーパーバイザ CPU により送信されたすべてのパケットをモニタします。

  • VLAN

    • VLAN を SPAN 送信元として指定する場合は、VLAN 内でサポートされているすべてのインターフェイスが SPAN ソースになります。

    • VLAN は、入力方向にのみ SPAN 送信元となることができます。


      Note

      これは、Cisco Nexus 9300-EX/-FX/-FX2/-FX3/-GX プラットフォームスイッチ、および -EX/-FX ライン カードを搭載する Cisco Nexus 9500 シリーズ プラットフォームスイッチを除くすべてのスイッチに適用されます。

  • Cisco Nexus 2000 シリーズ ファブリック エクステンダ(FEX)のサテライト ポートおよびホスト インターフェイス ポート チャネル

    • これらのインターフェイスは、レイヤ 2 アクセス モードおよびレイヤ 2 トランク モードでサポートされます。レイヤ 3 モードではサポートされず、レイヤ 3 サブインターフェイスはサポートされません。

    • Cisco Nexus 9300 および 9500 プラットフォーム スイッチは、FEX ポートを SPAN 送信元としてサポートします。この場合、入力方向については、すべてのトラフィックを対象としますが、出力方向については、スイッチと FEX を通る既知のレイヤ 2 ユニキャスト トラフィック フローに限られます。ルーティングされたトラフィックは FEX HIF 出力 SPAN で表示されないことがあります。


Note

1 つの SPAN セッションに、上述の送信元を組み合わせて使用できます。

送信元ポートの特性

SPAN 送信元ポートには、次の特性があります。

  • 送信元ポートとして設定されたポートを宛先ポートとしても設定することはできません。

  • スーパーバイザ インバンド インターフェイスを SPAN 送信元として使用する場合、スーパーバイザ ハードウェア(出力)によって生成されたすべてのパケットがモニタされます。


    Note

    Rx は ASIC の観点から見たものです(トラフィックはインバンドを介してスーパーバイザから出力され、ASIC / SPAN で受信されます)。

SPAN 宛先

SPAN 宛先とは、送信元ポートを監視するインターフェイスを指します。宛先ポートは SPAN 送信元からコピーされたトラフィックを受信します。SPAN 宛先には、次のものが含まれます。

  • アクセス モードまたはトランク モードのイーサネット ポート

  • アクセス モードまたはトランク モードのポート チャネル

  • 宛先ポートとしての CPU

  • Cisco Nexus 9300 シリーズ スイッチのアップリンク ポート


Note

FEX ポートは SPAN 宛先ポートとしてサポートされません。

宛先ポートの特性

SPAN 宛先元ポートには、次の特性があります。

  • 宛先ポートとして設定されたポートは、送信元ポートとして設定できません。

  • 同じ宛先インターフェイスを、複数の SPAN セッションに使用することはできません。ただし、インターフェイスは SPAN および ERSPAN セッションの宛先として機能できます。

  • 宛先ポートはスパニングツリー インスタンスに関与しません。SPAN 出力には、ブリッジ プロトコル データ ユニット(BPDU)スパニング ツリー プロトコル hello パケットを含みます。

SPAN セッション

SPAN セッションを作成し、送信元と宛先をモニタに指定できます。

サポートされる SPAN セッション数に関する情報については、『Cisco Nexus 9000 シリーズ NX-OS 検証済みスケーラビリティ ガイド』を参照してください。

この図では、SPAN 設定を示します。3 つのイーサネット ポート上のパケットが宛先ポートのイーサネット 2/5 にコピーされます。コピーされるのは、指定した方向のトラフィックだけです。

図 1. SPAN の設定

ローカライズされた SPAN セッション

すべての送信元インターフェイスが同じライン カード上にある場合、SPAN セッションはローカライズされます。セッション宛先インターフェイスは、任意のライン カードに配置できます。


(注)  

VLAN 送信元との SPAN セッションはローカライズされません。

SPAN 切り捨て

Cisco NX-OS Release 7.0(3)I7(1) 以降では、MTU のサイズに基づいて各 SPAN セッションの送信元パケットの切り捨てを設定できます。切り捨てにより、モニタするパケットのサイズを減らすことで、SPAN の帯域幅を効果的に軽減できます。設定された MTU サイズよりも大きい SPAN パケットはすべて、設定されたサイズに切り捨てられます。たとえば、MTU を 300 バイトに設定すると、300 バイトを超えるパケットは 300 バイトに切り捨てられます。

SPAN 切り捨てはデフォルトでディセーブルです。切り捨てを使用するには、個々の SPANセッションで有効にしておく必要があります。

ACL TCAM リージョン

ハードウェアの ACL Ternary Content Addressable Memory(TCAM)リージョンのサイズを変更できます。SPAN セッションで使用される TCAM リージョンの詳細については、『Cisco Nexus 9000 シリーズ NX-OS セキュリティ設定ガイド』の「IP ACL の設定」のセクションを参照してください。

SPAN の前提条件

SPAN の前提条件は、次のとおりです。

  • 各デバイス上で、まず所定の SPAN 設定をサポートするポートを設定する必要があります。詳細については、『Cisco Nexus 9000 シリーズ NX-OS インターフェイス設定ガイド』を参照してください。

SPAN の注意事項および制約事項


(注)  

スケールの情報については、リリース特定の『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。

SPAN に関する設定時の注意事項および制約事項は、次のとおりです。

  • SPAN セッション(Rx および Tx、Rx、または Tx)ごとに最大 48 の送信元インターフェイスがサポートされます。

  • ACL によって拒否されたトラフィックは、SPAN 宛先ポートに到達する可能性があります。これは、SPAN 複製が ACL の適用(ACL ドロップ トラフィック)の前に入力側で実行されるためです。

  • SPAN セッションの制限については、『Cisco Nexus 9000 シリーズ NX-OS 検証スケーラビリティ ガイド』を参照してください。

  • SPAN セッションの構成時に、最大 32 の送信元 VLAN を構成できます。

  • すべての SPAN のレプリケーションはハードウェアで行われます。スーパーバイザ CPU は関与しません。

  • SPAN セッションを設定できるのはローカル デバイス上だけです。

  • 同じ送信元インターフェイスで 2 つの SPAN または ERSPAN セッションを 1 つのフィルタだけで設定することはできません。同じ送信元が複数の SPAN または ERSPAN セッションで使用されている場合は、すべてのセッションに異なるフィルタを設定するか、セッションにフィルタを設定しないでください。

  • FCS エラーがあるパケットは、SPAN セッションでミラーリングされません。

  • アクセス ポート dot1q ヘッダーの SPAN コピーには、次のガイドラインが適用されます。

    • トラフィックがトランクポート もしくはルーテッド ポート から入力され、アクセス ポートに出力された場合、スイッチ インターフェイス上のアクセス ポートの出力 SPAN コピーには常に dot1q ヘッダーが含まれます。

    • トラフィックがアクセス ポートから入り、トランクポート もしくはルーテッド ポート に出た場合、スイッチ インターフェイスのアクセス ポートの入力 SPAN コピーには dot1q ヘッダーが含まれません。

    • トラフィックがアクセス ポートから入力され、アクセス ポートに出力される場合、スイッチ インターフェイス上のアクセス ポートの入力/出力 SPAN コピーには dot1q ヘッダーがありません。

    • この動作は、9700-EX、9700-FX、9700-GX ラインカードを備えた Cisco Nexus 9300-EX、9300-FX、9300-FX2、9300-FX3、9300-GX、9300-GX2、9500 プラットフォーム スイッチに適用されます。

  • SAPN セッションで 1 つの宛先ポートはのみ設定できます。

  • ポートを送信元ポートと宛先ポートの両方として設定することはできません。

  • SPAN 送信元ポートと宛先ポートでの単方向リンク検出(UDLD)の同時イネーブル化はサポートされていません。UDLD フレームがこのような SPAN セッションの送信元ポートでキャプチャされることが予想される場合は、SPAN セッションの宛先ポートで UDLD をディセーブルにします。

  • SPAN は、管理ポートではサポートされません。

  • フィルタ アクセス グループの統計情報はサポートされていません。

  • 単一のトラフィック フローがCPU(Rx SPAN)とイーサネット ポート(Tx SPAN)にスパンされる場合、両方の SPAN コピーがポリシングされます。hardware rate-limiter span コマンドによって設定されたポリサー値は、CPU に向かう SPAN コピーとイーサネットインターフェイスに向かう SPAN コピーの両方に適用されます。この制限は、次のスイッチに適用されます。

    • Cisco Nexus 92348GC-X、Cisco Nexus 9332C、および Cisco Nexus 9364C スイッチ

    • Cisco Nexus 9300 EX、 FX、FX2、FX3、GX プラットフォーム スイッチ

    • EX および FX ライン カードを備えた Cisco Nexus 9504、9508 および 9516 プラットフォーム スイッチ

  • SPAN はレイヤ 3モ ードでサポートされます。ただし、SPAN はレイヤ 3 サブインターフェイスまたはレイヤ 3 ポートチャネル サブインターフェイスではサポートされません。

  • SPAN セッションに、送信方向または送信および受信方向でモニタされている送信元ポートが含まれている場合、パケットが実際にはその送信元ポートで送信されなくても、これらのポートを受け取るパケットが SPAN の宛先ポートに複製される可能性があります。送信元 ポート上でのこの動作の例を、次に示します。

    • フラッディングから発生するトラフィック

    • ブロードキャストおよびマルチキャスト トラフィック

  • SPAN セッションは、セッションの送信元がスーパーバイザのイーサネット インバンド インターフェイスの場合、ARP 要求および Open Shortest Path First(OSPF)プロトコル hello パケットのようなスーパーバイザに到達するブロードキャストまたはマルチキャスト MAC アドレスを持つパケットをキャプチャできません。これらのパケットをキャプチャするには、SPAN セッションの送信元として物理インターフェイスを使用する必要があります。

  • VLAN SPAN がモニタするのは、VLAN のレイヤ 2 ポートを出入りするトラフィックだけです。

  • VLAN は、SPAN 送信元またはフィルタとして使用される場合、属することができるのは 1 つのセッションだけです。

  • SPAN 宛先ポートへの VLAN ACL リダイレクトはサポートされません。

  • VLAN ACL を使用して SPAN をフィルタリングする場合、action forward のみがサポートされます。action drop および action redirect はサポートされていません。

  • VLAN 送信元セッションおよびポート送信元セッションの組み合わせはサポートされていません。トラフィック ストリームが VLAN 送信元セッションとポート送信元セッションと一致する場合、2 つの宛先ポートで 2 つのコピーが必要です。ハードウェアの制限により、VLAN 送信元 SPAN と特定の宛先ポートのみが SPAN パケットを受信します。この制限は、次のシスコ デバイスにのみ適用されます。

    表 1. Cisco Nexus 9000 シリーズ スイッチ

    Cisco Nexus 93120TX

    Cisco Nexus 93128TX

    Cisco Nexus 9332PQ

    Cisco Nexus 9372PX

    Cisco Nexus 9372PX-E

    Cisco Nexus 9372TX

    Cisco Nexus 9396PX

    Cisco Nexus 9372TX-E

    Cisco Nexus 9396TX
    表 2. Cisco Nexus 9000 シリーズ ラインカード、ファブリック モジュールおよび GEM モジュール

    N9K-X9408PC-CFP2

    N9K-X9536PQ

    N9K-C9504-FM

    N9K-X9432PQ

    N9K-X9464TX

  • モニター セッションをフィルタリングする場合は、指定されたアクセス グループが、フィルタリング目的の通常の ACL ではなく、VACL または VLAN アクセス マップでなければならないことを確認してください。このガイドラインは、9636C-R および 9636Q-R ライン カードを搭載した Cisco Nexus 9508 スイッチには適用されません。

  • SPAN セッションのアクセス グループ フィルタは、vlan-accessmap として設定する必要があります。このガイドラインは、9636C-R および 9636Q-R ライン カードを搭載した Cisco Nexus 9508 スイッチには適用されません。

  • スーパーバイザ生成の Stream Of Bytes Module Header(SOBMH)パケットには、インターフェイスから出力されるための情報がすべて含まれており、SPAN および ERSPAN を含めた、ハードウェア内部でのフォワーディング ルックアップはすべてバイパス可能です。レイヤ 3 インターフェイスの CPU 生成フレームおよびパケットのブリッジ プロトコル データ ユニット(BPDU)クラスは、SOBMH を使用して送信されます。このガイドラインは、9636C-R および 9636Q-R ライン カードを搭載した Cisco Nexus 9508 スイッチには適用されません。Cisco Nexus 9636C-R と 9636Q-R は両方とも、インバンド SPAN とローカル SPAN をサポートします。

  • Cisco NX-OS は、送信元インターフェイスがホスト インターフェイス ポート チャネルでないときは、リンク層検出プロトコル(LLDP)またはリンク集約制御プロトコル(LACP)パケットをスパンしません。

  • マルチキャスト パケットの SPAN コピーは、書き換え前に作成されます。したがって、TTL、VLAN ID、出力ポリシーによる再マーキングなどは、SPAN コピーにキャプチャされません。

  • SPAN が ASIC インスタンスのインターフェイスに入力され、別の ASIC インスタンスのレイヤ 3 インターフェイス(SPAN 送信元)に出力されるトラフィックをミラーリングしている場合、Tx ミラーリング パケットは Cisco Nexus 9300 プラットフォーム スイッチ( EX、FX、または -FX2 を除く)および Cisco Nexus 9500 プラットフォーム モジュラー スイッチで 4095 の VLAN 識別子 をもちます。

  • スイッチ インターフェイスのアクセス ポートの出力 SPAN コピーには、常に dot1q ヘッダーがあります。このガイドラインは、9636C-R および 9636Q-R ライン カードを搭載した Cisco Nexus 9508 プラットフォーム スイッチには適用されません。

  • 不明ユニキャストでフラッディングされたパケットのルーティング後のフローは SPAN セッションに置かれますが、これはフローが転送されるポートをモニタしないよう SPAN セッションが設定されている場合であっても同様です。この制限は、ネットワーク フォワーディング エンジン(NFE)と NFE2 対応 EOR スイッチおよび SPAN セッションで Tx ポートの送信元を持つものに適用されます。

  • VLAN 送信元は、Rx 方向にのみスパンされます。この制限は、両方向の VLAN スパニングをサポートする次のスイッチ プラットフォームには適用されません

    • Cisco Nexus 9300-EX プラットフォーム スイッチ

    • Cisco Nexus 9300-FX プラットフォーム スイッチ

    • Cisco Nexus 9300-FX2 プラットフォーム スイッチ

    • Cisco Nexus 9300-FX3 プラットフォーム スイッチ

    • Cisco Nexus 9300-GX プラットフォーム スイッチ

    • 97160YC-EX ライン カードを搭載した Cisco Nexus 9504、9508 および 9516 スイッチ。

    • 9636C-R および 9636Q-R ライン カードを搭載した Cisco Nexus 9508 スイッチ。

  • VLAN 送信元が 1 つのセッションで両方向として設定され、物理インターフェイス送信元が他の 2 つのセッションで設定されている場合、物理インターフェイス送信元セッションでは Rx SPAN はサポートされません。この制限は、Cisco Nexus 97160YC-EX ライン カードに適用されます。

  • セッション フィルタリング機能に関しては、ACL フィルタは Rx ソースでのみサポートされ、VLAN フィルタは Tx および Rx ソースの両方でサポートされます。このガイドラインは、9636C-R および 9636Q-R ライン カードを搭載した Cisco Nexus 9508 スイッチには適用されません。

  • VLAN フィルタが構成されている場合、複数のスパン セッションで同じソースを構成することはできません。

  • FEX NIF インターフェイスまたはポート チャネルは、SPAN 送信元または SPAN 宛先として使用できません。FEX NIF インターフェイスまたはポート チャネルが SPAN 送信元または SPAN 宛先として指定されている場合、ソフトウェアではサポートされていないエラーが表示されます。

  • SPAN / ERSPAN を使用して FEX HIF ポートで Rx トラフィックをキャプチャすると、キャプチャされたトラフィックに追加の VNTAG および 802.1Q タグが存在します。

  • VLAN および ACL フィルタは FEX ポートではサポートされません。

  • 双方向 SPAN セッションで使用される送信元が同じ FEX からのものである場合、ハードウェア リソースは 2 つの SPAN セッションに制限されます。

  • 切り捨てはローカルおよび ERSPAN 送信元セッションでのみサポートされます。それは、ERSPAN 宛先セッションではサポートされません。

  • sFlow が N9K-X9716D-GX ライン カードを使用して N9K-C9508-FM-G で設定されている場合は、SPAN セッションを設定する前に sFlow を無効にします。

  • SPAN セッションで MTU を設定すると、(そのセッションの)SPAN 宛先で出力されるすべてのパケットが、指定した MTU 値に切り捨てられます。

    • 切り捨てられたパケットの巡回冗長検査(CRC)が再計算されます。

    • 指定されたバイトは、パケットのヘッダーから保持されます。パケットが MTU より長い場合、残りは切り捨てられます。

  • Cisco NX-OS リリース 10.1(2) 以降、SPAN は Cisco Nexus N9K-X9624D-R2 ライン カードでサポートされます。

  • Cisco NX-OS リリース 10.2(1q)F 以降、SPAN は N9K-C9332D-GX2B プラットフォーム スイッチでサポートされます。

  • MTU トランケーションは、Cisco Nexus 9504/9508 モジュラ シャーシ(N9K-X9636C-R、N9K-X9636Q-R、N9K-X9636C-RX、および N9K-X96136YC-R ライン カードを搭載)ではサポートされません。

  • Cisco NX-OS リリース 10.2(2)F 以降では、マルチキャスト SPAN Txが Cisco Nexus 9300-GX、9300-GX2、および 9300-GX3 プラットフォーム スイッチでサポートされます。

  • Cisco NX-OS リリース 10.3(1)F 以降、Cisco Nexus 9808 プラットフォーム スイッチで SPAN のサポートが提供されます。

Cisco Nexus 3000 プラットフォーム スイッチの SPAN の制限

次の注意事項と制約事項は、Cisco Nexus 9000 コードを実行する Nexus 3000 シリーズ スイッチにのみ適用されます。

  • Cisco Nexus 3232C および 3264Q スイッチは、宛先として CPU で SPAN をサポートしていません。

Cisco Nexus 9200 プラットフォーム スイッチの SPAN の制限事項(9232E-B1 を除く)


(注)  

スケールの情報については、リリース特定の『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。

次の注意事項と制約事項は、Cisco Nexus 9200 プラットフォーム スイッチにのみ適用されます。

  • Cisco Nexus 9200 プラットフォーム スイッチの場合、Rx SPAN は、SPAN 宛先ポートと同じスライス上に転送インターフェイスがないマルチキャストではサポートされません。

  • Cisco Nexus 9200 プラットフォーム スイッチでは、マルチキャスト、未知のマルチキャスト、およびブロードキャスト トラフィックに対する Tx SPAN はサポートされません。

  • CPU 生成パケットの Tx SPAN は、Cisco Nexus 9200 プラットフォーム スイッチではサポートされません。

  • UDF ベースの SPAN は、Cisco Nexus 9200 プラットフォーム スイッチでサポートされます。

  • Cisco Nexus 9200 プラットフォーム スイッチは、同じ送信元での複数の ACL フィルタをサポートしていません。

  • VLAN Tx SPAN は、Cisco Nexus 9200 プラットフォーム スイッチでサポートされます。

  • 同じスライスにある複数の出力ポートで、出力 SPAN トラフィックのために輻輳が発生すると、Cisco Nexus 9200 プラットフォーム スイッチ上のこれらの出力ポートでは、ライン レートを取得できません。

  • ACL フィルタを使用した、親インターフェイスでのサブインターフェイス トラフィックのスパンは、Cisco Nexus 9200 プラットフォーム スイッチではサポートされません。

  • Cisco Nexus 9200 プラットフォーム スイッチでは、CPU SPAN ソースはRx 方向(CPU からの SPAN パケット)でのみ追加できます。

  • Cisco Nexus 9200 プラットフォーム スイッチでは、CPU への SPAN パケットはレート制限され、インバンド パスでドロップされます。レート制限の変更は、 hardware rate-limiter span コマンドで行えます。スーパーバイザの SPAN コピーの分析は、 ethanalyzer local interface inband mirror detail コマンドで行えます。

Cisco Nexus 9300 プラットフォーム スイッチの SPAN の制限事項


(注)  

スケールの情報については、リリース特定の『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。

次の注意事項と制約事項は、Cisco Nexus 9300 プラットフォーム スイッチにのみ適用されます。

  • SPAN は、Cisco Nexus 9300-GX プラットフォーム スイッチの送信元での ECMP ハッシュ/ロード バランシングをサポートしません。

  • 次のフィルタリング制限は、すべての Cisco Nexus 9300-EX/FX/FX2/FX3/GX プラットフォーム スイッチの出力(Tx)SPANに適用されます。

    • ACL フィルタリングはサポートされていません(ユニキャストおよびブロードキャスト、不明なユニキャストおよびマルチキャスト(BUM)トラフィックの両方に適用されます)

    • VLAN フィルタリングはサポートされますが、ユニキャスト トラフィックのみ

    • VLAN フィルタリングは BUM トラフィックではサポートされません。

  • Cisco Nexus 9300-EX/FX プラットフォーム スイッチでは、SPAN とsFlow の両方を同時に有効にすることはできません。一方がアクティブな場合、もう一方は有効にできません。ただし、Cisco Nexus 9300-EX/FX/FX2 プラットフォーム スイッチでは、NetFlow と SPAN を同時に有効にすることができるので、sFlow と SPAN を併用する代わりに使用できます。


    (注)  

    Cisco Nexus 9300-FX2 スイッチは、sFlow と SPAN の共存をサポートします。

  • VLAN Tx SPAN は、Cisco Nexus 9300-EX および FX プラットフォーム スイッチでサポートされます。

  • Cisco Nexus 9300 プラットフォーム スイッチは、同じソースに対する複数の ACL フィルタをサポートします。

  • 1 つのフォワーディング エンジン インスタンスで 4 つの SPAN セッションがサポートされます。Cisco Nexus 9300 シリーズ スイッチの場合は、最初の 3 つのセッションに双方向のソースが含まれていると、4 番目のセッションのハードウェア リソースは Rx ソース専用になります。

  • Cisco Nexus 9300-EX/FX/FX2/FX3/FXP プラットフォーム スイッチは、入力方向の SPAN ソースとしてのみ FEX ポートをサポートします。

  • Cisco Nexus 9300 プラットフォーム スイッチ(Cisco Nexus 9300-EX/FX/FX2/FX3/FXP スイッチを除く)は、FEX ポートを SPAN ソースとしてサポートします。この場合、入力方向については、すべてのトラフィックを対象としますが、出力方向については、スイッチと FEX を通る既知のレイヤ 2 ユニキャスト トラフィック フローに限られます。ルーティングされたトラフィックは FEX HIF 出力 SPAN で表示されないことがあります。

  • Cisco Nexus 9300 シリーズ スイッチは、Tx SPAN を 40G アップリンク ポートでサポートしません


    (注)  

    この制限は、100G インターフェイスを持つ Nexus 9300-EX/FX/FX2 スイッチには適用されません

  • CPU 生成パケットの Tx SPAN は、Cisco Nexus 9200、9300-EX/FX/FXP/FX2/FX3/GX/GX2、9300C、C9516-FM-E2 および C9508-FM-E2 スイッチではサポートされません。

  • 異なるスライス間でマルチキャスト Tx トラフィックの SPAN をサポートするのは、Cisco Nexus 9300-EX プラットフォーム スイッチだけです。スライスは同じリーフ スパイン エンジン(LSE)上にある必要があります。

  • Cisco Nexus 9300-EX/FX/FX2/FX3/GX プラットフォーム スイッチのレイヤ 2 スイッチ ポートおよびポートチャネル ソースを使用する Tx インターフェイス SPAN の場合、同じ VLAN でストリームを受信しているレイヤ 2 メンバーの数に関係なく、レシーバ ユニットごとに 1 つのコピーのみが作成されます。たとえば、e1/1 ~ 8がすべて Tx 方向の SPAN ソースであり、すべてが同じグループに参加している場合、SPAN ディスティネーション ポートは、8 つのコピーではなく、書き換え前のストリームの 1 つのコピーを認識します。さらに、何らかの理由で、これらのポートの 1 つ以上が出力でパケットをドロップした場合でも(輻輳など)、パケットは SPAN ディスティネーション ポートに到達できます。Cisco Nexus 9732C-EX ライン カードの場合、メンバーを持つユニットごとに 1 つのコピーが作成されます。ポートチャネル ソースの場合、SPAN を実行するレイヤ 2 メンバーが最初のポートチャネル メンバーになります。

  • SPAN Tx ブロードキャストおよび SPAN Tx マルチキャストは、Cisco Nexus 9300-EX/FX/FX2/FX3/GX プラットフォーム スイッチおよびCisco Nexus 9732C-EX ライン カードのスライス全体のレイヤ 2 ポートおよびポートチャネル ソースでサポートされます。ただし IGMP スヌーピングがディセーブルの場合に限られます。(それ以外の場合は、スライスの制限が適用されます)。これらの機能は、レイヤ 3 ポート ソース、FEX ポート(ユニキャストまたはマルチキャスト トラフィック)、および VLAN ソースではサポートされません。

  • レイヤ 2 の SPAN Tx マルチキャストの場合、マルチキャストのレプリケーションとは無関係に SPAN コピーが作成されます。このため、マルチキャストと SPAN パケットでは、VLAN タグ(入力インターフェイス VLAN ID)の値が異なります。

  • Cisco Nexus 9300 シリーズ スイッチ 40G アップリンク インターフェイスの SPAN コピーは、Rx 方向にスパンする際に、dot1q 情報を取り逃がします。


    (注)  

    この制限は、100G インターフェイスを持つ Nexus 9300-EX/FX/FX2 プラットフォーム スイッチには適用されません

  • UDF ベースの SPAN は、Cisco Nexus 9300-EX/-FX/-FX2/FX3/GX プラットフォーム スイッチでサポートされます。

  • UDF-SPAN の ACL フィルタリングはソース インターフェイス rx のみをサポートします。この制限は、次のスイッチに適用されます。

    • Cisco Nexus 9332PQ

    • Cisco Nexus 9372PX

    • Cisco Nexus 9372PX-E

    • Cisco Nexus 9372TX

    • Cisco Nexus 9372TX-E

    • Cisco Nexus 93120TX

  • Cisco Nexus 9300-EX/FX/FX2/FX3/GX プラットフォーム スイッチは、同じソースの複数の ACL フィルタをサポートしていません。

  • 同じスライスにある複数の出力ポートで、出力 SPAN トラフィックのために輻輳が発生すると、Cisco Nexus 9300-EX/FX/FX2/FX3/GX プラットフォーム スイッチ上のこれらの出力ポートでは、ライン レートを取得できません。

  • ACL フィルタを使用した、親インターフェイスでのサブインターフェイス トラフィックのスパンは、Cisco Nexus 9300-EX/FX/FX2/FX3/GX プラットフォーム スイッチではサポートされません。

  • Cisco Nexus 9300-EX/FX/FX2/FX3/GX プラットフォーム スイッチでは、CPU SPAN ソースは Rx 方向(CPU からの SPAN パケット)でのみ追加できます。

  • Cisco Nexus 9300-EX/FX/FX2/FX3/GX プラットフォームスイッチでは、CPU への SPAN パケットはレート制限され、インバンド パスでドロップされます。レート制限の変更は、 hardware rate-limiter span コマンドで行えます。スーパーバイザの SPAN コピーの分析は、 ethanalyzer local interface inband mirror detail コマンドで行えます。

  • 次の Cisco Nexus スイッチは、sFlow と SPAN を同時にサポートします。

    • Cisco Nexus 9336C-FX2

    • Cisco Nexus 93240YC-FX2

    • Cisco Nexus 93360YC-FX2

  • Cisco NX-OS リリース 9.3(3) 以降、Cisco Nexus 9300-GX プラットフォーム スイッチは、sFlow と SPAN の両方をサポートしています。

  • Cisco NX-OS リリース 9.3(5) 以降、 Cisco Nexus 9300-GX プラットフォーム スイッチは SPAN 切り捨てをサポートしています。

  • Cisco NX-OS リリース 10.2(3)F 以降、FC スパン 機能は、Cisco Nexus C93180YC-FX、C9336C-FX2-E、および C93360YC-FX2 プラットフォームスイッチの NPV および SAN スイッチングモードの両方で、FC ポート、SAN ポートチャネル、および VSAN のパケットキャプチャサポートを提供します。

  • FC ポート、SAN ポート チャネル、およびソースとしての VSAN は、ERSPAN ではサポートされていません。

  • FC ポート、SAN ポート チャネル、および VSAN は、複数のスパン セッションでソースとして追加できません。

  • ガイドライン — 単一の転送エンジン インスタンスは 4 つのアクティブな SPAN セッションをサポートします — は、FC スパン機能にも適用できます。

  • FC スパン機能の SNMP サポートは、Cisco NX-OS リリース 10.2(3)F では使用できません。

Cisco Nexus 9500 プラットフォーム スイッチの SPAN の制限事項


(注)  

スケールの情報については、リリース特定の『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。

次の注意事項と制約事項は、Cisco Nexus 9500 プラットフォーム スイッチにのみ適用されます。

  • 次のフィルタリング制限は、EX または FX ライン カードを搭載した 9500 プラットフォーム スイッチの出力(Tx)SPANに適用されます。

    • ACL フィルタリングはサポートされていません(ユニキャストおよびブロードキャスト、不明なユニキャストおよびマルチキャスト(BUM)トラフィックの両方に適用されます)

    • VLAN フィルタリングはサポートされますが、ユニキャスト トラフィックのみ

    • VLAN フィルタリングは BUM トラフィックではサポートされません。

  • FEX および SPAN ポート チャネルの宛先は、EX または FX ライン カードを備えた Cisco Nexus 9500 プラットフォーム スイッチではサポートされません。

  • EX/FX モジュールを搭載した Cisco Nexus 9500 プラットフォーム スイッチでは、SPAN と sFlow の両方を同時に有効にすることはできません。一方がアクティブな場合、もう一方は有効にできません。ただし、EX または FX ライン カードを備えた Cisco Nexus 9500 プラットフォーム スイッチでは、NetFlow と SPAN の両方を同時に有効にすることができ、sFlow と SPAN を使用する代わりに実行可能です。

  • Cisco Nexus 9500 プラットフォーム スイッチは、次のライン カードを備えた VLAN Tx SPAN をサポートします。

    • Cisco Nexus 97160YC-EX

    • Cisco Nexus 9732C-EX

    • Cisco Nexus 9732C-FX

    • Cisco Nexus 9736C-EX

    • Cisco Nexus 9736C-FX

    • Cisco Nexus 9736Q-FX

    • Cisco Nexus 9788TC-FX

  • Cisco Nexus 9500 プラットフォーム スイッチは、同じソースに対する複数の ACL フィルタをサポートします。

  • CPU で生成されたパケットの Tx SPAN は、EX ベースのライン カードを搭載した Cisco Nexus 9500 プラットフォーム スイッチではサポートされません。

  • TCAM カービングは、次のライン カードの SPAN/ERSPAN には必要ありません。

    • Cisco Nexus 9636C-R

    • Cisco Nexus 9636Q-R

    • Cisco Nexus 9636C-RX

    • Cisco Nexus 96136YC-R

    • Cisco Nexus 9624D-R2


    (注)  

    SPAN/ERSPAN をサポートする他のすべてのスイッチは、TCAM カービングを使用する必要があります。

  • Cisco Nexus 9500 プラットフォーム スイッチでは、SPAN 送信元の転送エンジン インスタンス マッピングに応じて、単一の転送エンジンインスタンスが 4 つの SPAN セッションをサポートする場合があります。このガイドラインは、9636C-R および 9636Q-R ライン カードを搭載した Cisco Nexus 9508 スイッチには適用されません。

  • N9K-X96136YC-R ライン カードの複数の SPAN セッションで同じ送信元インターフェイスを構成することはできません。

  • 複数の ACL フィルタは、同じ送信元ではサポートされません。

  • Cisco Nexus 9500 プラットフォーム スイッチは、スイッチと FEX を通過する既知のレイヤ 2 ユニキャスト トラフィック フローに対してのみ、すべてのトラフィックの入力方向と出力方向の SPAN 送信元として FEX ポートをサポートします。ルーティングされたトラフィックが FEX HIF 出力 SPAN で表示されないことがあります。

  • SPAN は、Cisco Nexus 9408PC-CFP2 ライン カード ポートの宛先をサポートしません。

  • 切り捨ては、9700-EX または 9700-FX ライン カードを搭載した Cisco Nexus 9500 プラットフォーム スイッチでサポートされます。

  • VLAN は、9636C-R および 9636Q-R ライン カードを備えた Cisco Nexus 9508 スイッチの入力および出力方向の SPAN 送信元にできます。

  • UDF-SPAN acl-filtering は送信元インターフェイス rx のみをサポートします。この制限は、次のライン カードに適用されます。

    • Cisco Nexus 9564PX

    • Cisco Nexus 9464TX2

    • Cisco Nexus 9464TX

    • Cisco Nexus 9464TX2

    • Cisco Nexus 9564TX

    • Cisco Nexus 9464PX

    • Cisco Nexus 9536PQ

    • Cisco Nexus 9636PQ

    • Cisco Nexus 9432PQ

Cisco Nexus 9800 プラットフォーム スイッチの SPAN の注意事項と制限事項


(注)  

スケールの情報については、Cisco.comにあるリリース特定の『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。

次の注意事項と制約事項は、Cisco Nexus 9800 プラットフォーム スイッチにのみ適用されます。

  • RX のみが CPU への SPAN でサポートされます。

  • セッション間での同じ送信元ポートまたはインターフェイスの共有はサポートされていません。

  • 最大10台のモニタ セッションがサポートされます。

  • モニタの統計は、SPAN から CPU については表示されません。

  • SPAN は、L2 ポート、ポート チャネル、およびトンネル ポートではサポートされていません。

  • VLAN 送信元での SPAN はサポートされていません。

  • MTU の切り捨ては、343 バイトでのみサポートされます。

  • MTU の切り捨ては RX でのみサポートされ、TX ではサポートされません。

  • UDF フィルタはサポートされていません。

  • SPAN は、サブインターフェイスではサポートされていません。

SPAN のデフォルト設定

次の表に、SPAN パラメータのデフォルト設定を示します。

パラメータ デフォルト
SPAN セッション シャット ステートで作成されます

SPAN の設定


(注)  
この機能の Cisco NX-OS コマンドは、Cisco IOS のコマンドと異なる場合があります。

SPAN セッションの設定

SPAN セッションを設定できるのはローカル デバイス上だけです。デフォルトでは、SPAN セッションはシャット ステートで作成されます。


Note
双方向性の従来のセッションでは、トラフィックの方向を指定せずにセッションを設定できます。

Before you begin

アクセス モードまたはトランク モードで宛先ポートを設定する必要があります。詳細については、『Cisco Nexus 9000 シリーズ NX-OS インターフェイス設定ガイド』を参照してください。

Procedure

  Command or Action Purpose

Step 1

configure terminal

Example:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します

Step 2

interface ethernet slot/port

Example:

switch(config)# interface ethernet 2/5
switch(config-if)#

選択したスロットおよびポート上でインターフェイス コンフィギュレーション モードを開始します。

Step 3

switchport

Example:

switch(config-if)# switchport

選択したスロットおよびポートまたはポート範囲でスイッチポート パラメータを設定します。

Step 4

switchport monitor

Example:

switch(config-if)# switchport monitor

SPAN 宛先としてスイッチポート インターフェイスを設定します。

Step 5

(Optional) ステップ 2 ~ 4 を繰り返して、追加の SPAN 宛先でモニタリングを設定します。

(Optional)

Step 6

no monitor session session-number

Example:

switch(config)# no monitor session 3

指定した SPAN セッションのコンフィギュレーションを消去します。新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。

Step 7

monitor session session-number[rx | tx] [shut]

Example:

switch(config)# monitor session 3 rx
switch(config-monitor)#

Example:

switch(config)# monitor session 3 tx
switch(config-monitor)#

Example:

switch(config)# monitor session 3 shut
switch(config-monitor)#

モニタ コンフィギュレーション モードを開始します。新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。デフォルトでは、セッションが shut ステートで作成されます。このセッションは、ローカル SPAN セッションです。オプションの shut キーワードは、選択したセッションに対して shut ステートを指定します。

Step 8

description description

Example:

switch(config-monitor)# description my_span_session_3

セッションの説明を設定します。デフォルトでは、説明は定義されません。説明には最大 32 の英数字を使用できます。

Step 9

source {interface type [rx | tx | both] | [vlan {number | range}[rx]} | [vsan {number | range}[rx]}

Example:

switch(config-monitor)# source interface ethernet 2/1-3, ethernet 3/1 rx

Example:

switch(config-monitor)# source interface fc1/1 both

Example:

switch(config-monitor)# source interface port-channel 2

Example:

switch(config-monitor)# source interface san-port-channel201 both

Example:

switch(config-monitor)# source interface sup-eth
0 rx

Example:

switch(config-monitor)# source vlan 3, 6-8 rx

Example:

switch(config-monitor)# source vsan 500 rx

Example:

switch(config-monitor)# source interface ethernet 101/1/1-3

送信元およびパケットをコピーするトラフィックの方向を設定します。一定範囲のイーサネット ポート、FC ポート、ポート チャネル、SAN ポート チャネル、インバンド インターフェイス、一定範囲の VLAN、一定範囲の VSAN または Cisco Nexus 2000 シリーズ ファブリック エクステンダ(FEX)上のサテライト ポートまたはホスト インターフェイス ポート チャネルを入力できます。

送信元は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。

コピーするトラフィックの方向は、受信(rx)、送信(tx)、または両方(both)を設定できます。

Note

 

送信元 VLAN は、入力方向でのみサポートされます。送信元 FEX ポートは、すべてのトラフィックに対して入力方向でサポートされ、既知のレイヤ 2 ユニキャスト トラフィックには出力方向のみがサポートされます。

この注意事項は、Cisco Nexus EX/-FX/-FX2/-FX3/-GX シリーズ プラットフォーム スイッチ、および -EX/-FX ライン カードを備えた Cisco Nexus 9500 シリーズ プラットフォーム スイッチには適用されません。

送信元としてのスーパーバイザは、Rx 方向でのみサポートされます。

単一方向のセッションには、送信元の方向はセッションで指定された方向に一致する必要があります。

Note

 

送信元 VSAN もまた、入力方向でのみサポートされます。

Step 10

(Optional) ステップ 9 を繰り返して、すべての SPAN 送信元を設定します。

 (Optional)

Step 11

filter vlan {number | range}

Example:

switch(config-monitor)# filter vlan 3-5, 7

設定された送信元から選択する VLAN を設定します。VLAN は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。

Note

 

SPAN 送信元として設定された FEX ポートは VLAN フィルタをサポートしません。

Note

 

送信元が FC インターフェイスまたは VSAN の場合、フィルタはサポートされません。

Step 12

(Optional) ステップ 11 を繰り返して、すべての送信元 VLAN のフィルタリングを設定します。

 (Optional)

Step 13

(Optional) filter access-group acl-filter

Example:

switch(config-monitor)# filter access-group ACL1
(Optional)

ACL を SPAN セッションにアソシエートします。

Note

 

送信元が FC インターフェイスまたは VSAN の場合、フィルタはサポートされません。

Step 14

destination interface type slot/port

Example:

switch(config-monitor)# destination interface ethernet 2/5

コピーする送信元パケットの宛先を設定します。

Note

 

FC ポートは接続先インターフェイスとしてサポートされていません。

Note

 
SPAN 宛先ポートは、アクセス ポートまたはトランク ポートのどちらかにする必要があります。

Note

 
宛先ポートでモニタ モードを有効にする必要があります。

次のプラットフォーム スイッチの SPAN 宛先として CPU を設定できます。

  • Cisco Nexus 9200 シリーズ スイッチ(Cisco NX-OS リリース 7.0(3)I4(1) 以降)

  • Cisco Nexus 9300-EX シリーズ スイッチ(Cisco NX-OS リリース 7.0(3)I4(2) 以降)

  • Cisco Nexus 9300-FX シリーズ スイッチ(Cisco NX-OSリリース 7.0(3)I7(1) 以降)

  • Cisco Nexus 9300-FX2 シリーズ スイッチ(Cisco NX-OSリリース 7.0(3)I7(3) 以降)

  • Cisco Nexus 9300-FX3 シリーズ スイッチ(Cisco NX-OSリリース 9.3(5) 以降)

  • Cisco Nexus 9300-GXシリーズスイッチ(Cisco NX-OSリリース 9.3(3) 以降)

  • -EX/FX ライン カード搭載の Cisco Nexus 9500-EX シリーズ スイッチ

これを行うには、インターフェイス タイプに sup-eth 0 を入力します。

Step 15

no shut

Example:

switch(config-monitor)# no shut

SPAN セッションをイネーブルにします。デフォルトでは、セッションはシャット ステートで作成されます。

Step 16

(Optional) show monitor session {all | session-number | range session-range} [brief]

Example:

switch(config-monitor)# show monitor session 3
(Optional)

SPAN 設定を表示します。

Step 17

(Optional) copy running-config startup-config

Example:

switch(config)# copy running-config startup-config
(Optional)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

UDF ベース SPAN の設定

外部または内部パケット フィールド(ヘッダまたはペイロード)のユーザ定義フィールド(UDF)で照合し、一致するパケットを SPAN 宛先に送信するようにデバイスを設定できます。そのように設定することで、ネットワークのパケット ドロップを分析して、分離することができます。

始める前に

UDF ベース SPAN をイネーブルにするのに十分な空き領域を確保するために、hardware access-list tcam region コマンドを使用して適切な TCAM リージョン(racl、ifacl、または vacl)が設定されていることを確認します。詳細については『Cisco Nexus 9000 Series NX-OS Security Configuration Guide』の「Configuring ACL TCAM Region Sizes」の項を参照してください。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します

ステップ 2

udf udf-name offset-base offset length

例:

switch(config)# udf udf-x packet-start 12 1
switch(config)# udf udf-y header outer l3 20 2

次のように UDF を定義します。

  • udf-name:UDF の名前を指定します。名前には最大 16 文字の英数字を入力できます。

  • offset-base:UDF オフセット ベースを以下のように指定します。ここで header は、オフセットのために考慮に入れるべきパケット ヘッダーです: packet-start | header {outer | inner {l3 | l4}} .

  • オフセット:オフセット ベースからのオフセット バイト数を指定します。オフセット ベース(レイヤ 3 /レイヤ 4 ヘッダー)の最初のバイトを照合するには、オフセットを 0 に設定します。

  • 長さ:オフセット からバイトの数を指定します。1 または 2 バイトのみがサポートされています。追加のバイトに一致させるためには、複数の UDF を定義する必要があります。

複数の UDF を定義できますが、シスコは必要な UDF のみ定義することを推奨します。

ステップ 3

hardware access-list tcam region {racl | ifacl | vacl } qualify qualifier-name

例:

switch(config)# hardware access-list tcam region
racl qualify ing-l3-span-filter

次のいずれかの TCAM リージョンに UDF を付加します。

  • racl:レイヤ 3 ポートに適用されます。

  • ifacl:レイヤ 2 ポートに適用します。

  • vacl:送信元 VLAN に適用します。

UDF は TCAM リージョンに最大 8 個まで付加できます。

(注)  

 

UDF 修飾子が追加されると、TCAM リージョンはシングル幅から倍幅に拡大します。十分な空きスペースがあることを確認してください。 それ以外の場合このコマンドは拒否されます。必要な場合、未使用のリージョンから TCAM スペースが減りますので、このコマンドを再入力します。詳細については『Cisco Nexus 9000 Series NX-OS Security Configuration Guide』の「Configuring ACL TCAM Region Sizes」の項を参照してください。

(注)  

 

このコマンドの no 形式は、UDF を TCAM リージョンから切り離し、リージョンをシングル幅に戻します。

ステップ 4

copy running-config startup-config

例:

switch(config)# copy running-config startup-config

リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

ステップ 5

reload

例:

switch(config)# reload

デバイスがリロードされます。

(注)  

 

UDF 設定は copy running-config startup-config + reload を入力した後のみ有効になります。

ステップ 6

ip access-list span-acl

例:

switch(config)# ip access-list span-acl-udf-only
switch(config-acl)#

IPv4 アクセス コントロール リスト(ACL)を作成して、IP アクセス リスト コンフィギュレーション モードを開始します。

ステップ 7

次のいずれかのコマンドを入力します。

  • permit udf udf-name value mask
  • permit ip source destination udf udf-name value mask

例:

switch(config-acl)# permit udf udf-x 0x40 0xF0 udf-y 0x1001 0xF00F

例:

switch(config-acl)# permit ip 10.0.0./24 any udf udf-x 0x02 0x0F udf-y 0x1001 0xF00F

ACL を設定し、UDF(例 1)でのみ、または外部パケット フィールドについて現在のアクセス コントロール エントリ(ACE)と併せて UDF で一致させるように設定します(例 2)

シングル ACL は、UDFがある場合とない場合の両方とも、ACE を有することができます。各 ACE には一致する異なる UDF フィールドがあるか、すべての ACE を UDF の同じリストに一致させることができます。

ステップ 8

(任意) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
 (任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

SPAN 切り捨ての設定

切り捨ては、ローカルおよび SPAN 送信元セッションに対してのみ設定できます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します

ステップ 2

monitor session session number

例:

switch(config)# monitor session 5
switch(config-monitor)#

指定した SPAN セッションのモニタ コンフィギュレーション モードを開始します。

ステップ 3

source interface type slot/port [rx | tx | both]

例:

switch(config-monitor)# source interface ethernet 1/5 both

送信元インターフェイスを設定します。

ステップ 4

mtu size

例:

switch(config-monitor)# mtu 320

例:

switch(config-monitor)# mtu ?
<320-1518> Enter the value of MTU truncation size for SPAN packets

MTU の切り捨てサイズを設定します。設定された MTU サイズよりも大きい SPAN パケットはすべて、設定されたサイズに切り捨てられます。SPAN パケット切り捨ての MTU 範囲は次のとおりです。

  • Cisco Nexus 9300-EX プラットフォーム スイッチの MTU サイズの範囲は、320〜1518 バイトです。

  • Cisco Nexus 9300-FX プラットフォーム スイッチの MTU サイズの範囲は 64〜1518 バイトです。

  • 9700-EX および 9700-FX ライン カードを搭載した Cisco Nexus 9500 プラットフォーム スイッチの場合、MTU サイズの範囲は 320〜1518 バイトです。

  • Cisco Nexus 9808 プラットフォーム スイッチの MTU サイズは 343 バイトです(FCS を除く)。

ステップ 5

destination interface type slot/port

例:

switch(config-monitor)# destination interface Ethernet 1/39

イーサネット SPAN 宛先ポートを設定します。

ステップ 6

no shut

例:

switch(config-monitor)# no shut

SPAN セッションをイネーブルにします。デフォルトでは、セッションはシャット ステートで作成されます。

ステップ 7

(任意) show monitor session session

例:

switch(config-monitor)# show monitor session 5
(任意)

SPAN 設定を表示します。

ステップ 8

copy running-config startup-config

例:

switch(config-monitor)# copy running-config startup-config

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

異なる LSE スライス間のマルチキャスト Tx トラフィックの SPAN の設定

Cisco NX-OS Release 7.0(3)I7(1) 以降では、Cisco Nexus 9300-EX プラットフォーム スイッチ上の異なるリーフ スパイン エンジン(LSE)スライス間で、マルチキャスト Tx トラフィックの SPAN を設定できます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

グローバル設定モードを開始します。

ステップ 2

[no] hardware multicast global-tx-span

例:

switch(config)# hardware multicast global-tx-span

異なるリーフ スパイン エンジン(LSE)スライス間のマルチキャスト Tx トラフィックの SPAN を設定します。

(注)  

 

Cisco NX-OS リリース 10.2(2)F 以降、送信元と接続先が異なるスライス上にある場合は、マルチキャスト SPAN Tx にこのコマンドを使用します。

ステップ 3

copy running-config startup-config

例:

switch(config)# copy running-config startup-config

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ステップ 4

reload

例:

switch(config)# reload

デバイスがリロードされます。

SPAN から CPU への構成

はじめに

SPAN-to-CPU は、Cisco Nexus 9000 シリーズ スイッチを通過するパケット フローのトラブルシューティングを行うためのものです。通常の SPAN または Encapsulated Remote SPAN(ERSPAN)セッションと同様に、SPAN-to-CPU モニタ セッションには、1 つ以上の送信元インターフェイスとトラフィック方向の定義が含まれます。ソース インターフェイスで定義された方向(TX、RX、またはその両方)に一致するトラフィックはすべて、スーパーバイザ CPU に複製されます。このトラフィックはフィルタリングされ、ethanalyzer を使用して分析されるか、結果を確認するためにローカル ストレージ デバイスに保存されます。

Cisco Nexus 9000 シリーズ スイッチの CPU によって生成されたパケットが特定のインターフェイスから送信されているかどうかを確認するには、インターフェイスに接続されているリモート デバイスでパケット キャプチャ ユーティリティを使用することをお勧めします。

  1. CPU 接続先として SPAN を構成する

    モニタ セッションの接続先として CPU を構成できることが必要であり、ハードウェアで同じように構成する必要があります。Tahoe プラットフォームでは、顧客が ERSPAN 終端セッションでサポートする必要がないため、この設定はローカル スパンに対してのみサポートされます。N9K-C9508-FM-R2 でも同様にサポートされます。

  2. SPAN トラフィックの分析

    SPAN トラフィックが前述のスーパーバイザ CPU に到達したとき:モジュールは SPAN パケットとして識別し、必要なアクションを実行し、ethanalyzer がこれらのパケットを表示します。Ethanalyzer コントロールプレーン パケット キャプチャ ユーティリティを使用して、CPU に複製されたトラフィックを表示できます。Ethanalyzer コマンドの mirror キーワードは、SPAN-to-CPU モニタ セッションによって複製されたトラフィックのみが表示されるようにトラフィックをフィルタリングします。Ethanalyzer のキャプチャおよび表示フィルタを使用して、表示されるトラフィックをさらに制限できます。

  3. SPAN トラフィック レートの制限

    コントロールプレーンの中断を避けるために、CPU のスパンド トラフィックをレート制限する必要があります。Ethanalyzer は、パケット ヘッダーの処理、ストリッピング、およびデコードに libpcap モジュールを使用します。Ethanalyzer はミラー オプションを使用して、スーパーバイザ CPU に到達するスパン トラフィックを表示します。SPAN と CPU のマッチングのため、別のスパン クラスが作成されます。すべてのトラフィックは SPAN クラスとして作成され、このクラスにはコントロールプレーン ポリシング(COPP)として個別のレートが作成されます。COPP のトラフィック レートは 50 kbps に制限されます。

  4. ACL フィルタ処理

    これにより、顧客は監視するトラフィックを選択できます。この機能は、あらゆる種類のモニタ セッションでサポートされます。トラフィックのレートは制限されるため、スパンから CPU の場合、これは特に重要です。スパンされることを意図してトラフィックを分類することが重要になります。

注意事項と制約事項

SPAN-to-CPU に関する設定時の注意事項および制約事項は、次のとおりです。

  • インバンド送信元では ACL フィルタ処理はサポートされていません。

  • 物理インターフェイス(L2 および L3)、ポート チャネル、L3 サブインターフェイスなどの送信元は、ACL フィルタでサポートされます。

  • ACL フィルタは、Rx 送信元のみに対してサポートされます。

  • VLAN 送信元では ACL フィルタ処理はサポートされていません。

  • 同じソースに対して複数のスパン セッションを構成することはサポートされていません。

  • MTU 切り捨ては、N9K-X9636C-R、N9K-X9636Q-R、N9K-X9636C-RX、N9K-X96136YC-R、N9K-X9624D-R2、N9K-C9508-FM-R、N9K-C9504-FM-R、N9K-C9508-FM-R2、N9K-C9504-FM-R2、N3K-C36180YC-R、N3K-C3636C-R、および N3K-C36480LD-R2 ではサポートされていません。

  • ACL フィルタは、Cisco NX-OS リリース 10.2(2)F までは、 N9K-X9624D-R2 ラインカードではサポートされていません。

  • Cisco NX-OSリリース10.2(3)以降では、N9K-X9624D-R2 ライン カードで ACL フィルタがサポートされます。

SPAN から CPU への構成

CPU への SPAN を構成できます。

手順
  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:
switch# configure terminal
switch(config)#

グローバル設定モードを開始します。

ステップ 2

configure CPU as SPAN

例:
switch(config-monitor)# destination interface sup-eth0

CPU を SPAN 接続先として構成します。

ステップ 3

configure ACL Filter

例:
switch(config-monitor)# filter access-group <acl_filter_name>

フィルタ処理に使用されるアクセス リストを構成します。

ステップ 4

configure ethanalyzer

例:
switch# ethanalyzer local interface inband mirror

スパンされるパケットを表示します。

この例は、モニタ セッションの出力を示しています。

show monitor session 1 session 1
type : local
state : up
acl-name : acl-name not specified
source intf :
rx : Eth3/44
tx : Eth3/44
both : Eth3/44
source VLANs :
rx :
tx :
both :
filter VLANs : filter not specified
source fwd drops :
destination ports : sup-eth0
PFC On Interfaces :
source VSANs :
rx :

この例は、copp の出力を示しています。

# show policy-map interface control-plane | begin span
class-map copp-system-p-class-span (match-any)
match exception span
set cos 0
police cir 50 pps , bc 256 packets
module 1 : <Designated Module>
conformed 910228778 bytes;
7217965 packets;
violated 7217965 bytes;
0 packets;
module 3 :
conformed 0 bytes;
0 packets;
violated 0 bytes;
0 packets;
0 packets;

SPAN セッションのシャットダウンまたは再開

SPAN セッションをシャットダウンすると、送信元から宛先へのパケットのコピーを切断できます。1 セッションをシャット ダウンしてハードウェア リソースを解放し、別のセッションを有効にできます。デフォルトでは、SPAN セッションはシャット ステートで作成されます。

SPAN セッションを再開(イネーブルに)すると、送信元から宛先へのパケットのコピーを再開できます。すでにイネーブルになっていて、動作状況がダウンの SPAN セッションをイネーブルにするには、そのセッションをいったんシャットダウンしてから、改めてイネーブルにする必要があります。

SPAN セッションのシャット ステートおよびイネーブル ステートは、グローバルまたはモニタ コンフィギュレーション モードのどちらのコマンドでも設定できます。

Procedure

  Command or Action Purpose

Step 1

configure terminal

Example:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します

Step 2

[no] monitor session {session-range | all} shut

Example:

switch(config)# monitor session 3 shut

指定の SPAN セッションをシャットダウンします。デフォルトでは、セッションはシャット ステートで作成されます。

コマンドの no 形式は、指定された SPAN セッションを再開(イネーブルに)します。デフォルトでは、セッションはシャット ステートで作成されます。

Note

 
モニタ セッションが有効で動作状況がダウンの場合、セッションを有効にするには、最初に monitor session shut コマンドを指定してから、no monitor session shut コマンドを続ける必要があります。

Step 3

monitor session session-number

Example:

switch(config)# monitor session 3
switch(config-monitor)#

モニタ コンフィギュレーション モードを開始します。新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。

Step 4

[no] shut

Example:

switch(config-monitor)# shut

SPAN セッションをシャットダウンします。デフォルトでは、セッションはシャット ステートで作成されます。

コマンドの no 形式は SPAN セッションを有効にします。デフォルトでは、セッションはシャット ステートで作成されます。

Step 5

(Optional) show monitor

Example:

switch(config-monitor)# show monitor
(Optional)

SPAN セッションのステータスを表示します。

Step 6

(Optional) copy running-config startup-config

Example:

switch(config)# copy running-config startup-config
(Optional)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

SPAN 設定の確認

SPAN 設定を表示するには、次のいずれかの作業を行います。

コマンド 目的
show monitor session {all | session-number | range session-range} [brief] SPAN セッションの設定を表示します。
show monitor session [session-id | all] stats Cisco Nexus 9808 プラットフォーム スイッチの SPAN セッション統計を表示します。
clear monitor session [session-id | all] stats [both | rx | tx] Cisco Nexus 9808 プラットフォーム スイッチの SPAN セッション統計をクリアします。

SPAN のコンフィギュレーション例

SPAN セッションのコンフィギュレーション例

SPAN セッションを設定する手順は、次のとおりです。

手順

ステップ 1

アクセス モードで宛先ポートを設定し、SPAN モニタリングをイネーブルにします。

例:

switch# configure terminal
switch(config)# interface ethernet 2/5
switch(config-if)# switchport
switch(config-if)# switchport monitor
switch(config-if)# no shut
switch(config-if)# exit
switch(config)#

ステップ 2

SPAN セッションを設定します。

例:

switch(config)# no monitor session 3
switch(config)# monitor session 3
switch(config-monitor)# source interface ethernet 2/1-3, ethernet 3/1 rx
switch(config-monitor)# source interface port-channel 2
switch(config-monitor)# source interface sup-eth 0 both
switch(config-monitor)# source vlan 3, 6-8 rx
switch(config-monitor)# source interface ethernet 101/1/1-3
switch(config-monitor)# filter vlan 3-5, 7
switch(config-monitor)# destination interface ethernet 2/5
switch(config-monitor)# no shut
switch(config-monitor)# exit
switch(config)# show monitor session 3
switch(config)# copy running-config startup-config

例:

switch(config)# monitor session 1
switch(config-monitor)# source interface fc 1/9/1
switch(config-monitor)# source interface san-port-channel 171
switch(config-monitor)# source vsan 3701
switch(config-monitor)# destination interface ethernet 1/8
switch(config-monitor)# no shutdown
switch(config-monitor)# exit
switch(config)# show monitor session 1
switch(config)# copy running-config startup-config

単一方向 SPAN セッションの設定例

単一方向 SPAN セッションを設定するには、次の手順を実行します。

手順

ステップ 1

アクセス モードで宛先ポートを設定し、SPAN モニタリングをイネーブルにします。

例:

switch# configure terminal
switch(config)# interface ethernet 2/5
switch(config-if)# switchport
switch(config-if)# switchport monitor
switch(config-if)# no shut
switch(config-if)# exit
switch(config)#

ステップ 2

SPAN セッションを設定します。

例:

switch(config)# no monitor session 3
switch(config)# monitor session 3 rx
switch(config-monitor)# source interface ethernet 2/1-3, ethernet 3/1 rx
switch(config-monitor)# filter vlan 3-5, 7
switch(config-monitor)# destination interface ethernet 2/5
switch(config-monitor)# no shut
switch(config-monitor)# exit
switch(config)# show monitor session 3
switch(config)# copy running-config startup-config

SPAN ACL の設定例

次に、SPAN ACL を構成する例を示します。

switch# configure terminal
switch(config)# ip access-list match_11_pkts
switch(config-acl)# permit ip 11.0.0.0 0.255.255.255 any
switch(config-acl)# exit
switch(config)# ip access-list match_12_pkts
switch(config-acl)# permit ip 12.0.0.0 0.255.255.255 any
switch(config-acl)# exit
switch(config)# vlan access-map span_filter 5
switch(config-access-map)# match ip address match_11_pkts
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# vlan access-map span_filter 10
switch(config-access-map)# match ip address match_12_pkts
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# monitor session 1
switch(config-erspan-src)# filter access_group span_filter

UDF ベース SPAN の設定例

次に、以下の一致基準を使用して、カプセル化された IP-in-IP パケットの内部 TCP フラグで照合する UDF ベース SPAN を設定する例を示します。

  • 外部送信元 IP アドレス:10.0.0.2

  • 内部 TCP フラグ:緊急 TCP フラグを設定

  • バイト:Eth Hdr(14)+ 外部 IP(20)+ 内部 IP(20)+ 内部 TCP(20、ただし、13 番目のバイトの TCP フラグ)

  • パケットの先頭からのオフセット:14 + 20 + 20 + 13 = 67

  • UDF の照合値:0x20

  • UDF マスク:0xFF 

udf udf_tcpflags packet-start 67 1
hardware access-list tcam region racl qualify ing-l3-span-filter
copy running-config startup-config
reload
ip access-list acl-udf
permit ip 10.0.0.2/32 any udf udf_tcpflags 0x20 0xff
monitor session 1
source interface Ethernet 1/1
filter access-group acl-udf

次に、以下の一致基準を使用して、レイヤ 4 ヘッダーの先頭から 6 バイト目のパケット署名(DEADBEEF)と通常の IP パケットを照合する UDF ベース SPAN を設定する例を示します。

  • 外部送信元 IP アドレス:10.0.0.2

  • 内部 TCP フラグ:緊急 TCP フラグを設定

  • バイト:Eth Hdr(14)+ IP(20)+ TCP(20)+ ペイロード:112233445566DEADBEEF7788

  • レイヤ 4 ヘッダーの先頭からのオフセット:20 + 6 = 26

  • UDF の照合値:0xDEADBEEF(2 バイトのチャンクおよび 2 つの UDF に分割)

  • UDF マスク:0xFFFFFFFF 

udf udf_pktsig_msb header outer l4 26 2
udf udf_pktsig_lsb header outer l4 28 2
hardware access-list tcam region racl qualify ing-l3-span-filter
copy running-config startup-config
reload
ip access-list acl-udf-pktsig
permit udf udf_pktsig_msb 0xDEAD 0xFFFF udf udf_pktsig_lsb 0xBEEF 0xFFFF
monitor session 1
source interface Ethernet 1/1
filter access-group acl-udf-pktsig

SPAN 切り捨ての設定例

この例では、MPLS ストリッピングで使用する SPAN 切り捨てを設定する方法を示します。 

mpls strip
ip access-list mpls
statistics per-entry
20 permit ip any any redirect Ethernet1/5
interface Ethernet1/5
switchport
switchport mode trunk
mtu 9216
no shutdown
monitor session 1
source interface Ethernet1/5 tx
mtu 64
destination interface Ethernet1/6
  no shut

LSE スライス間のマルチキャスト Tx SPAN の設定例

次に、Cisco Nexus 9300-EX プラットフォーム スイッチの LSE スライス間でマルチキャスト Tx SPAN を設定する例を示します。また、マルチキャスト Tx SPAN の設定前後の出力例を示します。

マルチキャスト Tx SPAN の設定前

switch# show interface eth1/15-16, ethernet 1/27 counters

-----------------------------------------
Port           InOctets    InUcastPkts
-----------------------------------------
Eth1/15          580928              0
Eth1/16             239              0
Eth1/27               0              0

-----------------------------------------
Port        InMcastPkts    InBcastPkts
-----------------------------------------
Eth1/15            9077              0
Eth1/16               1              0
Eth1/27               0              0

-----------------------------------------
Port          OutOctets   OutUcastPkts
-----------------------------------------
Eth1/15             453              0
Eth1/16          581317              0
Eth1/27               0              0

-----------------------------------------
Port       OutMcastPkts   OutBcastPkts
-----------------------------------------
Eth1/15               4              0
Eth1/16            9080              0
Eth1/27               0              0

マルチキャスト Tx SPAN の設定

switch(config)# hardware multicast global-tx-span
Warning: Global Tx SPAN setting changed, please save config and reload
switch(config)# copy running-config start-up config
[########################################] 100%
Copy complete.
switch(config)# reload
This command will reboot the system. (y/n)?  [n] y

マルチキャスト Tx SPAN の設定後

switch# show interface eth1/15-16, eth1/27 counters

-----------------------------------------
Port           InOctets    InUcastPkts
-----------------------------------------
Eth1/15          392576              0
Eth1/16               0              0
Eth1/27               0              0
-----------------------------------------
Port        InMcastPkts    InBcastPkts
-----------------------------------------
Eth1/15            6134              0
Eth1/16               0              0
Eth1/27               0              0

-----------------------------------------
Port          OutOctets   OutUcastPkts
-----------------------------------------
Eth1/15               0              0
Eth1/16          392644              0
Eth1/27          417112              0

-----------------------------------------
Port       OutMcastPkts   OutBcastPkts
-----------------------------------------
Eth1/15               0              0
Eth1/16            6135              0
Eth1/27            6134              0

その他の参考資料

関連資料

関連項目 マニュアル タイトル
FEX 『Cisco Nexus 2000 Series NX-OS Fabric Extender Software Configuration Guide for Cisco Nexus 9000 Series Switches』