SPAN の概要
SPAN は、外付けアナライザが接続された宛先ポートに SPAN セッション トラフィックを送ることで、送信元ポート間のすべてのトラフィックを分析します。
ローカル デバイス上で、SPAN セッションで監視する送信元と宛先を定義できます。
ここでは、次の内容について説明します。
• 「SPAN 送信元」
• 「SPAN 宛先」
• 「SPAN セッション」
• 「仮想 SPAN セッション」
• 「マルチ SPAN セッション」
• 「ハイ アベイラビリティ」
• 「仮想化サポート」
SPAN 送信元
トラフィックを監視できるインターフェイスを SPAN 送信元と呼びます。送信元では、監視するトラフィックを指定し、さらに入力、出力、または両方向のトラフィックをコピーするかどうかを指定します。SPAN 送信元には次のものが含まれます。
• イーサネット ポート
• VLAN:VLAN が SPAN 送信元として指定されている場合、VLAN でサポートされているすべてのインターフェイスが SPAN 送信元となります。
• リモート SPAN(RSPAN)VLAN
• コントロール プレーン CPU の帯域内インターフェイス:帯域内インターフェイスを監視できるのは、デフォルト VDC からに限定されます。すべての VDC からの帯域内トラフィックが監視されます。
(注) 1 つの SPAN セッションに、上述の送信元を組み合わせて使用できます。
送信元ポートの特性
SPAN 送信元ポートには、次の特性があります。
• 送信元ポートとして設定されたポートを宛先ポートとしても設定することはできません。
• RSPAN VLAN は、SPAN 送信元としてのみ使用できます。
• スーパーバイザ帯域内インターフェイスを SPAN 送信元として使用する場合、次のパケットが監視されます。
– スーパーバイザ ハードウェアに着信するすべてのパケット(入力)
– スーパーバイザ ハードウェアによって生成されるすべてのパケット(出力)
SPAN 宛先
SPAN 宛先とは、送信元ポートを監視するインターフェイスを指します。宛先ポートは SPAN 送信元からコピーされたトラフィックを受信します。
宛先ポートの特性
SPAN 宛先元ポートには、次の特性があります。
• SPAN セッションの宛先には、アクセス モードまたはトランク モードのイーサネット ポートまたはポートチャネル インターフェイスが含まれます。
• 宛先ポートとして設定されたポートを送信元ポートとしても設定することはできません。
• 宛先ポートは、一度に 1 つの SPAN セッションだけで設定できます。
• 宛先ポートはスパニング ツリー インスタンスに関与しません。SPAN 出力には Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)Spanning-Tree Protocol(STP; スパニング ツリー プロトコル)hello パケットが含まれます。
• RSPAN VLAN は、SPAN 宛先として使用できません。
• Intrusion Detection System(IDS; 侵入検知システム)のサポートとして、パケットを挿入して特定の TCP パケット ストリームを中断するように SPAN 宛先を設定できます。
• 転送エンジンが IDS の MAC アドレスを学習できるように SPAN 宛先を設定できます。
SPAN セッション
最大 18 の SPAN セッションを作成し、送信元と宛先を指定できます。
(注) 同時に実行できる SPAN セッションは 2 つだけです。
図 14-1 に、SPAN の設定を示します。3 つのイーサネット ポート上のパケットが宛先ポート イーサネット 2/5 にコピーされます。コピーされるのは、指定した方向のトラフィックだけです。
図 14-1 SPAN の設定
仮想 SPAN セッション
仮想 SPAN セッションを作成すると、複数の VLAN 送信元を監視し、複数の宛先ポートでの送信に関係する VLAN だけを選択できます。たとえば、トランク ポートで SPAN を設定し、さまざまな宛先ポートでさまざまな VLAN からのトラフィックを監視できます。
図 14-2 に、仮想 SPAN の設定を示します。仮想 SPAN セッションでは、3 つの VLAN から指定した 3 つの宛先ポートへトラフィックがコピーされます。各宛先ポートで許可する VLAN を選択することによって、そのポートでデバイスが送信するトラフィックを制限できます。図 14-2 では、デバイスは各宛先ポートで 1 つの VLAN からのパケットを送信します。
(注) 仮想 SPAN セッションでは、パケットが宛先で必要かどうかに関係なく、すべての送信元パケットがすべての宛先にコピーされます。VLAN トラフィックのフィルタリングは、出力側の宛先ポート レベルで行われます。
図 14-2 仮想 SPAN の設定
仮想 SPAN セッションの設定については、「仮想 SPAN セッションの設定」を参照してください。
マルチ SPAN セッション
最大 18 の SPAN セッションを定義できますが、同時に実行できる SPAN セッションは 2 つだけです。未使用の SPAN セッションをシャットダウンできます。
SPAN セッションのシャットダウンについては、「SPAN セッションのシャットダウンまたは再開」を参照してください。
ハイ アベイラビリティ
SPAN 機能はステートレス リスタートおよびステートフル リスタートをサポートします。リブートまたはスーパーバイザ スイッチオーバー後に、Cisco NX-OS は実行コンフィギュレーションを適用します。
注意事項および制約事項
SPAN に関する設定時の注意事項および制約事項は、次のとおりです。
• 表 1 に SPAN セッションの上限をまとめます。
表 1 SPAN セッションの上限
|
|
設定済みの SPAN セッション |
18 |
同時に実行される SPAN セッション |
2 |
セッションごとの送信元インターフェイス |
128 |
セッションごとの送信元 VLANS |
32 |
セッションごとの宛先インターフェイス |
32 |
• 宛先ポートは、一度に 1 つの SPAN セッションだけで設定できます。
• 1 つのポートを送信元ポートと宛先ポートの両方に設定することはできません。
• 1 つの SPAN セッションに、次の送信元を組み合わせて使用できます。
– サブインターフェイスではないイーサネット ポート。
– VLAN。ポート チャネル サブインターフェイスに割り当て可能です。
– コントロール プレーン CPU への帯域内インターフェイス。
• 宛先ポートはスパニング ツリー インスタンスに関与しません。SPAN 出力には BPDU スパニング ツリー プロトコル hello パケットが含まれます。
• SPAN セッションに複数の出力側送信元ポートが含まれている場合、これらのポートが受信するパケットは、そのポートで送信しない場合でも複製される可能性があります。送信元ポートでこの動作が生じる例の一部を示します。
– フラッディングから生じたトラフィック
– ブロードキャストおよびマルチキャスト トラフィック
• 入力と出力の両方が設定されている VLAN SPAN セッションでは、パケットが同じ VLAN 上でスイッチングされる場合に、宛先ポートから 2 つのパケット(入力側から 1 つ、出力側から 1 つ)が転送されます。
• VLAN SPAN が監視するのは、VLAN のレイヤ 2 ポートを出入りするトラフィックだけです。
• 帯域内インターフェイスを監視できるのは、デフォルトの VDC からだけです。すべての VDC からの帯域内トラフィックが監視されます。
• RSPAN VLAN を設定できるのは、SPAN セッションの送信元として使用する場合に限られます。
• SPAN セッションを設定できるのはローカル デバイス上だけです。
SPAN の設定
ここでは、次の内容について説明します。
• 「SPAN セッションの設定」
• 「仮想 SPAN セッションの設定」
• 「RSPAN VLAN の設定」
• 「SPAN セッションのシャットダウンまたは再開」
(注) この機能の Cisco NX-OS コマンドは、Cisco IOS のコマンドと異なる場合があります。
SPAN セッションの設定
SPAN セッションを設定できるのはローカル デバイス上だけです。デフォルトでは、SPAN セッションはシャット ステートで作成されます。
送信元にはイーサネット ポート、ポート チャネル、スーパーバイザ帯域内インターフェイス、VLAN、および RSPAN VLAN を指定できます。SPAN 送信元ではプライベート VLAN(プライマリ、分離、およびコミュニティ)を指定できます。
1 つの SPAN セッションに、イーサネット ポート、VLAN、コントロール プレーンへの帯域内インターフェイスを組み合わせた送信元を使用できます。イーサネット ポートのサブインターフェイスは指定できません。
(注) モニタ セッションで、レイヤ 3 ポートチャネル サブインターフェイスを SPAN 送信元として使用するには、フィルタ VLAN としてサブインターフェイスに IEEE 802.1Q VLAN カプセル化を設定するときに入力した vlan ID を指定する必要があります。
SPAN 送信元としてスーパーバイザ帯域内インターフェイスを指定すると、デバイスはスーパーバイザ ハードウェアに到達したすべてのパケット(入力)およびスーパーバイザ ハードウェアによって生成されたすべてのパケット(出力)を監視します。
宛先ポートには、アクセス モードまたはトランク モードのイーサネット ポートまたはポートチャネルを指定できます。すべての宛先ポートでモニタ モードをイネーブルにする必要があります。
手順概要
1. config t
2. interface ethernet slot / port [ -port ]
3. switchport
4. switchport mode [access | trunk | private-vlan]
5. switchport monitor [ingress [learning]]
6. ステップ 2 および 3 を繰り返して、追加の SPAN 宛先でモニタリングを設定します。
7. no monitor session session-number
8. monitor session session-number
9. description description
10. source { interface type | vlan { number | range } [ rx | tx | both ]
11. ステップ 8 を繰り返して、すべての SPAN 送信元を設定します。
12. filter vlan { number | range }
13. ステップ 10 を繰り返して、すべての送信元 VLAN のフィルタリングを設定します。
14. destination interface type { number | range }
15. ステップ 12 を繰り返して、すべての SPAN 宛先ポートを設定します。
16. no shut
17. show monitor session { all | session-number | range session-range } [ brief ]
18. copy running-config startup-config
手順詳細
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface ethernet slot / port [- port ] 例: switch(config)# interface ethernet 2/5 switch(config-if)# |
選択したスロットおよびポートまたはポート範囲で、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
switchport 例: switch(config-if)# switchport switch(config-if)# |
選択したスロットおよびポートまたはポート範囲でスイッチポート パラメータを設定します。 |
ステップ 4 |
switchport mode [access | trunk | private-vlan] 例: switch(config-if)# switchport mode trunk switch(config-if)# |
選択したスロットおよびポートまたはポート範囲でスイッチポート モードを設定します。 • access • trunk • private-vlan |
ステップ 5 |
switchport monitor [ingress [learning]] 例: switch(config-if)# switchport monitor |
SPAN 宛先としてスイッチポート インターフェイスを設定します。 • ingress SPAN 宛先ポートで、IDS を使用するネットワークなどで特定の TCP パケット ストリームを中断するパケットを挿入できるようにします。 • ingress learning SPAN 宛先ポートで、パケットを挿入して IDS アドレスなどの MAC アドレスを学習できるようにします。 |
ステップ 6 |
(任意)ステップ 2 および 3 を繰り返して、追加の SPAN 宛先でモニタリングを設定します。 |
-- |
ステップ 7 |
no monitor session session-number 例: switch(config)# no monitor session 3 |
指定した SPAN セッションのコンフィギュレーションを消去します。新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。 |
ステップ 8 |
monitor session session-number 例: switch(config)# monitor session 3 switch(config-monitor)# |
モニタ コンフィギュレーション モードを開始します。新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。デフォルトでは、セッションはシャット ステートで作成されます。 |
ステップ 9 |
description description 例: switch(config-monitor)# description my_span_session_3 |
セッションの説明を設定します。デフォルトでは、説明は定義されません。説明には最大 32 の英数字を使用できます。 |
ステップ 10 |
source { interface type | vlan {1-3967,4048-4093}} [ rx | tx | both ] 例 1: switch(config-monitor)# source interface ethernet 2/1-3, ethernet 3/1 rx 例 2: switch(config-monitor)# source interface port-channel 2 例 3: switch(config-monitor)# source interface sup-eth 0 both 例 4: switch(config-monitor)# source vlan 3, 6-8 tx |
送信元およびパケットをコピーするトラフィックの方向を設定します。イーサネット ポート範囲、ポート チャネル、帯域内インターフェイス、または VLAN 範囲を入力できます。 送信元は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。最大 128 のインターフェイスを指定できます。VLAN の範囲は 1 ~ 3967 または 4048 ~ 4093 です。 コピーするトラフィックの方向は、受信(rx)、送信(tx)、または両方(both)を設定できます。方向のデフォルトは both です。 (注) 帯域内インターフェイスを監視できるのは、デフォルトの VDC からだけです。すべての VDC からの帯域内トラフィックが監視されます。 |
ステップ 11 |
(任意)ステップ 8 を繰り返して、すべての SPAN 送信元を設定します。 |
-- |
ステップ 12 |
filter vlan { number | range } 例: switch(config-monitor)# filter vlan 3-5, 7 |
設定された送信元から選択する VLAN を設定します。VLAN は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。VLAN の範囲は 1 ~ 3967 または 4048 ~ 4093 です。 |
ステップ 13 |
(任意)ステップ 10 を繰り返して、すべての送信元 VLAN のフィルタリングを設定します。 |
-- |
ステップ 14 |
destination interface type { number | range } 例: switch(config-monitor)# destination interface ethernet 2/5, ethernet 3/7 |
コピーする送信元パケットの宛先を設定します。宛先は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。最大 128 のインターフェイスを指定できます。 (注) SPAN 宛先ポートは、アクセス ポートまたはトランク ポートのどちらかにする必要があります。 |
ステップ 15 |
(任意)ステップ 12 を繰り返して、すべての SPAN 宛先ポートを設定します。 |
-- |
ステップ 16 |
no shut 例: switch(config-monitor)# no shut |
SPAN セッションをイネーブルにします。デフォルトでは、セッションはシャット ステートで作成されます。 (注) 同時に実行できる SPAN セッションは 2 つだけです。 |
ステップ 17 |
show monitor session { all | session-number | range session-range } [ brief ] 例: switch(config-monitor)# show monitor session 3 |
(任意)SPAN コンフィギュレーションを表示します。 |
ステップ 18 |
copy running-config startup-config 例: switch(config-monitor)# copy running-config startup-config |
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。 |
仮想 SPAN セッションの設定
仮想 SPAN セッションを設定すると、送信元ポート、VLAN、および RSPAN VLAN からローカル デバイス上の宛先ポートへのパケットをコピーできます。デフォルトでは、SPAN セッションはシャット ステートで作成されます。
送信元には、ポート、VLAN または RSPAN VLAN を指定できます。
宛先ポートにはイーサネット ポートを指定できます。各宛先ポートで許可する VLAN を選択することによって、そのポートでデバイスが送信するトラフィックを制限できます。
手順概要
1. config t
2. no monitor session session-number
3. monitor session session-number
4. source { interface type | vlan } { number | range } [ rx | tx | both ]
5. ステップ 4 を繰り返して、すべての仮想 SPAN VLAN 送信元を設定します。
6. destination interface type { number | range }
7. ステップ 6 を繰り返して、すべての仮想 SPAN 宛先ポートを設定します。
8. no shut
9. show monitor session { all | session-number | range session-range } [ brief ]
10. interface ethernet slot / port [- port ]
11. switchport trunk allowed vlan {{ number | range }| add { number | range } | except { number | range } | remove { number | range } | all | none }
12. ステップ 10 および 11 を繰り返して、各宛先ポートで許可する VLAN を設定します。
13. show interface ethernet slot / port [- port ] trunk
14. copy running-config startup-config
手順詳細
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
no monitor session session-number 例: switch(config)# no monitor session 3 |
指定した SPAN セッションのコンフィギュレーションを消去します。新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。 |
ステップ 3 |
monitor session session-number 例: switch(config)# monitor session 3 switch(config-monitor)# |
モニタ コンフィギュレーション モードを開始します。新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。 |
ステップ 4 |
source { interface type | vlan } { number | range } [ rx | tx | both ] 例: switch(config-monitor)# source vlan 3, 6-8 tx |
送信元およびパケットをコピーするトラフィックの方向を設定します。送信元は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。最大 128 のインターフェイスを指定できます。VLAN の範囲は 1 ~ 3967 または 4048 ~ 4093 です。 コピーするトラフィックの方向は、受信(rx)、送信(tx)、または両方(both)を設定できます。方向のデフォルトは both です。 |
ステップ 5 |
(任意)ステップ 4 を繰り返して、すべての仮想 SPAN 送信元 VLAN を設定します。 |
-- |
ステップ 6 |
destination interface type { number | range } 例: switch(config-monitor)# destination interface ethernet 2/5, ethernet 3/7 |
コピーする送信元パケットの宛先を設定します。インターフェイスは 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。設定可能な範囲は 1 ~ 128 です。 』を参照してください。 |
ステップ 7 |
(任意)ステップ 6 を繰り返して、すべての仮想 SPAN 宛先ポートを設定します。 |
-- |
ステップ 8 |
no shut 例: switch(config-monitor)# no shut |
SPAN セッションをイネーブルにします。デフォルトでは、セッションはシャット ステートで作成されます。 (注) 同時に実行できる SPAN セッションは 2 つだけです。 |
ステップ 9 |
show monitor session { all | session-number | range session-range } [ brief ] 例: switch(config-monitor)# show monitor session 3 |
(任意)仮想 SPAN コンフィギュレーションを表示します。 |
ステップ 10 |
interface ethernet slot / port [- port ] 例: switch(config)# interface ethernet 2/5 switch(config-if)# |
選択したスロットおよびポートまたはポート範囲で、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 11 |
switchport trunk allowed vlan {{ number | range } | add { number | range } | except { number | range } | remove { number | range } | all | none } 例: switch(config-if)# switchport trunk allowed vlan 3-5 |
インターフェイスで許可する VLAN の範囲を設定します。既存の VLAN に対して追加または削除する、指定した以外のすべての VLAN を選択する、すべての VLAN を選択する、またはすべての VLAN を選択しないでおくことができます。デフォルトでは、インターフェイス上ですべての VLAN が許可されます。 VLAN は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。VLAN の範囲は 1 ~ 3967 または 4048 ~ 4093 です。 |
ステップ 12 |
(任意)ステップ 10 および 11 を繰り返して、各宛先ポートで許可する VLAN を設定します。 |
-- |
ステップ 13 |
show interface ethernet slot / port [- port ] trunk 例: switch(config-if)# show interface ethernet 2/5 trunk |
(任意)選択したスロットおよびポートまたはポート範囲に対応するインターフェイス トランキング コンフィギュレーションを表示します。 |
ステップ 14 |
copy running-config startup-config 例: switch(config-if)# copy running-config startup-config |
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。 |
RSPAN VLAN の設定
RSPAN VLAN を SPAN セッション送信元として指定できます。
操作の前に
正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。
手順概要
1. config t
2. vlan vlan
3. remote-span
4. exit
5. show vlan
6. copy running-config startup-config
手順詳細
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
vlan vlan 例: switch(config)# vlan 901 switch(config-vlan)# |
指定した VLAN の VLAN コンフィギュレーション モードを開始します。 |
ステップ 3 |
remote-span 例: switch(config-vlan)# remote-span |
VLAN を RSPAN VLAN として設定します。 |
ステップ 4 |
exit 例: switch(config-vlan)# exit switch(config)# |
VLAN コンフィギュレーション モードを終了します。 |
ステップ 5 |
show vlan 例: switch(config)# show vlan |
(任意)VLAN コンフィギュレーションを表示します。RSPAN VLAN が一覧表示されます。 |
ステップ 6 |
copy running-config startup-config 例: switch(config)# copy running-config startup-config |
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。 |
SPAN セッションのシャットダウンまたは再開
SPAN セッションをシャットダウンすると、送信元から宛先へのパケットのコピーを切断することができます。同時に実行できる SPAN セッションは 2 つだけなので、セッションの 1 つをシャットダウンしてハードウェア リソースを解放することによって、別のセッションが使用できるようになります。デフォルトでは、SPAN セッションはシャット ステートで作成されます。
SPAN セッションを再開(イネーブルに)すると、送信元から宛先へのパケットのコピーを再開できます。すでにイネーブルになっていて、動作状況がダウンの SPAN セッションをイネーブルにするには、そのセッションをいったんシャットダウンしてから、改めてイネーブルにする必要があります。
SPAN セッションのシャット ステートおよびイネーブル ステートは、グローバルまたはモニタ コンフィギュレーション モードのどちらのコマンドでも設定できます。
操作の前に
正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。
手順概要
1. config t
2. monitor session { session-range | all } shut
3. no monitor session { session-range | all } shut
4. monitor session session-number
5. shut
6. no shut
7. show monitor
8. copy running-config startup-config
手順詳細
|
|
|
ステップ 1 |
config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
monitor session { session-range | all } shut 例: switch(config)# monitor session 3 shut |
指定の SPAN セッションをシャットダウンします。セッションの範囲は 1 ~ 18 です。デフォルトでは、セッションはシャット ステートで作成されます。同時に実行できるセッションは 2 つだけです。 |
ステップ 3 |
no monitor session { session-range | all } shut 例: switch(config)# no monitor session 3 shut |
指定の SPAN セッションを再開(イネーブルに)します。セッションの範囲は 1 ~ 18 です。デフォルトでは、セッションはシャット ステートで作成されます。同時に実行できるセッションは 2 つだけです。 コマンドを続ける必要があります。 |
ステップ 4 |
monitor session session-number 例: switch(config)# monitor session 3 switch(config-monitor)# |
モニタ コンフィギュレーション モードを開始します。新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。 |
ステップ 5 |
shut 例: switch(config-monitor)# shut |
SPAN セッションをシャットダウンします。デフォルトでは、セッションはシャット ステートで作成されます。 |
ステップ 6 |
no shut 例: switch(config-monitor)# no shut |
SPAN セッションをイネーブルにします。デフォルトでは、セッションはシャット ステートで作成されます。 (注) 同時に実行できる SPAN セッションは 2 つだけです。 |
ステップ 7 |
show monitor 例: switch(config-monitor)# show monitor |
(任意)SPAN セッションの状況を表示します。 |
ステップ 8 |
copy running-config startup-config 例: switch(config-monitor)# copy running-config startup-config |
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。 |