- はじめに
- 概要
- CLI の使用方法
- スイッチの IP アドレスおよびデフォ ルト ゲートウェイの割り当て
- Cisco IOS CNS エージェントの設定
- スイッチのクラスタ化
- スイッチの管理
- SDM テンプレートの設定
- スイッチ ベース認証の設定
- IEEE 802.1x ポートベース認証の設定
- インターフェイス特性の設定
- SmartPort マクロの設定
- VLAN の設定
- VTP の設定
- 音声 VLAN の設定
- STP の設定
- MSTP の設定
- オプションのスパニングツリー機能の 設定
- IGMP スヌーピングの設定
- ポート単位のトラフィック制御の設定
- CDP の設定
- LLDP の設定
- UDLD の設定
- SPAN の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- QoS の設定
- EtherChannel の設定
- トラブルシューティング
- サポート対象 MIB
- Cisco IOS ファイル システム、 コンフィギュレーション ファイル、 およびソフトウェア イメージの操作
- Catalyst 2950 スイッチから Catalyst 2960 スイッチへの アップグレードの推奨
- Cisco IOS Release 12.2 ( 37 ) EY で サポートされていないコマンド
- 索引
Catalyst 2960 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(37)EY
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月15日
章のタイトル: SPAN の設定
SPAN の設定
この章では、Catalyst 2960 スイッチに Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)を設定する方法について説明します。
(注) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。
SPAN の概要
ポートまたは VLAN を通過するネットワーク トラフィックを解析するには、SPAN を使用して、そのスイッチ上、またはネットワーク アナライザやその他のモニタ デバイス、あるいはセキュリティ デバイスに接続されている別のスイッチ上のポートにトラフィックのコピーを送信します。SPAN は送信元ポート上または送信元 VLAN 上で受信、送信、または送受信されたトラフィックを宛先ポートにコピー(ミラーリング)して、解析します。SPAN は送信元ポートまたは VLAN 上のネットワーク トラフィックのスイッチングには影響しません。宛先ポートは SPAN 専用にする必要があります。SPAN セッションに必要なトラフィック以外、宛先ポートがトラフィックを受信したり転送したりすることはありません。
SPAN を使用して監視できるのは、送信元ポートを出入りするトラフィックまたは送信元 VLAN に出入りするトラフィックだけです。送信元 VLAN にルーティングされたトラフィックは監視できません。たとえば、着信トラフィックを監視している場合、別の VLAN から送信元 VLAN にルーティングされているトラフィックは監視できません。ただし、送信元 VLAN で受信し、別の VLAN にルーティングされるトラフィックは、監視できます。
ネットワーク セキュリティ デバイスからトラフィックを注入する場合、SPAN 宛先ポートを使用できます。たとえば、Cisco Intrusion Detection System(IDS; 侵入検知システム)センサ装置を宛先ポートに接続すれば、IDS デバイスは TCP リセット パケットを送信して疑わしい攻撃者の TCP セッションを閉じることができます。
ローカル SPAN
ローカル SPAN は 1 つのスイッチ内の SPAN セッション全体をサポートします。すべての送信元ポートまたは送信元 VLAN、および宛先ポートは、同じスイッチ内にあります。ローカル SPAN は、任意の VLAN 上の 1 つまたは複数の送信元ポートからのトラフィック、あるいは 1 つまたは複数の VLAN からのトラフィックを解析するために宛先ポートへコピーします。たとえば、図23-1の場合、ポート 5(送信元ポート)上のすべてのトラフィックがポート 10 (宛先ポート)にミラーリングされます。ポート 10 のネットワーク アナライザは、ポート 5 に物理的には接続されていませんが、ポート 5 からのすべてのネットワーク トラフィックを受信します。
SPAN の概念および用語
SPAN セッション
SPAN セッションを使用すると、1 つまたは複数のポート上、あるいは 1 つまたは複数の VLAN 上でトラフィックを監視し、その監視したトラフィックを 1 つまたは複数の宛先ポートに送信できます。
ローカル SPAN セッションは、宛先ポートと送信元ポートまたは送信元 VLAN(すべて単一のネットワーク デバイス上にある)を結び付けたものです。ローカル SPAN には、送信元セッションおよび宛先セッションが個別に設定されません。ローカル SPAN セッションはユーザが指定した入力および出力のパケット セットを収集し、SPAN データ ストリームを形成して、宛先ポートに転送します。
SPAN セッションでのトラフィックの監視には、次のような制約があります。
•
ポートまたは VLAN を送信元にできますが、同じセッション内に送信元ポートと送信元 VLAN を混在させることはできません。
• スイッチは最大 2 つの送信元セッションをサポートします(ローカル SPAN 送信元セッション)。同じスイッチ内でローカル SPAN ソース セッションの両方を実行できます。スイッチは合計 66 個の送信元宛先セッションをサポートします。
• 1 つの SPAN セッションに複数の宛先ポートを設定できますが、設定できる宛先ポートは最大で 64 個です。
• 別個のまたは重複する SPAN 送信元ポートと VLAN のセットによって、SPAN 送信元セッションを 2 つ個別に設定できます。
• SPAN セッションがスイッチの通常の動作を妨げることはありません。ただし、10 Mbps のポートで 100 Mbps のポートを監視するなど、オーバーサブスクライブの SPAN 宛先は、パケットの廃棄または消失を招くことがあります。
• ディセーブルのポート上に SPAN セッションを設定することはできますが、そのセッション用に宛先ポートと少なくとも 1 つの送信元ポートまたは VLAN をイネーブルにしないかぎり、SPAN セッションはアクティブになりません。
監視対象トラフィック
SPAN セッションは、次のトラフィック タイプを監視できます。
• RX(受信)SPAN -- 受信(または入力)SPAN の役割は、送信元インターフェイスまたは VLAN が受信したすべてのパケットを、スイッチが変更または処理を行う前にできるだけ多く監視することです。送信元が受信した各パケットのコピーがその SPAN セッションに対応する宛先ポートに送られます。
Differentiated Services Code Point(DSCP)の変更など、ルーティングや Quality of Service(QoS; サービス品質)が原因で変更されたパケットは、変更される前にコピーされます。
受信処理中にパケットを廃棄する可能性のある機能は、入力 SPAN には影響を与えません。宛先ポートは、実際の着信パケットが廃棄された場合でも、パケットのコピーを受信します。パケットを廃棄する可能性のある機能は、標準および拡張 IP 入力 Access Control List(ACL; アクセス制御リスト)、入力 QoS ポリシング、および出力 QoS ポリシングです。
• TX(送信)SPAN -- 送信(または出力)SPAN の役割は、スイッチによる変更および処理がすべて完了したあとで、送信元インターフェイスが送信したすべてのパケットをできるだけ多く監視することです。送信元が送信した各パケットのコピーがその SPAN セッションに対応する宛先ポートに送られます。コピーはパケットの変更後に用意されます。
送信処理中にパケットを廃棄する可能性のある機能は、SPAN 用の複製コピーにも影響します。これらの機能には、標準および拡張 IP 出力 ACL、出力 QoS ポリシングがあります。
• 両方 -- SPAN セッションで、受信パケットと送信パケットの両方について、ポートまたは VLAN を監視することもできます。これがデフォルトです。
ローカル SPAN セッション ポートのデフォルト設定では、すべてのタグなしパケットが送信されます。通常、SPAN は Cisco Discovery Protocol(CDP)、VLAN Trunk Protocol(VTP; VLAN トランク プロトコル)、Dynamic Trunking Protocol(DTP)、Spanning-Tree Protocol(STP; スパニングツリー プロトコル)、Port Aggregation Protocol(PAgP)などの Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)パケットおよびレイヤ 2 プロトコルを監視しません。ただし、宛先ポートを設定するときに encapsulation replicate キーワードを入力すると、次の変更が発生します。
• 送信元ポートの場合と同じカプセル化設定(タグなし、または IEEE 802.1Q)を使用して、パケットが宛先ポートに送信されます。
• BPDU やレイヤ 2 プロトコル パケットを含むすべてのタイプのパケットが監視されます。
したがって、カプセル化レプリケーションがイネーブルにされたローカル SPAN セッションでは、タグなし、および IEEE 802.1Q タグ付きパケットが宛先ポートに混在することがあります。
スイッチの輻輳により、入力送信元ポート、出力送信元ポート、または SPAN 宛先ポートでパケットが廃棄されることがあります。一般に、これらの特性は互いに無関係です。次に例を示します。
• パケットは通常どおり転送されますが、SPAN 宛先ポートのオーバーサブスクライブが原因で監視されないことがあります。
• 入力パケットが標準転送されないにもかかわらず、SPAN 宛先ポートに着信することがあります。
• スイッチの輻輳が原因で廃棄された出力パケットは、出力 SPAN からも廃棄されます。
SPAN の設定によっては、同一送信元のパケットのコピーが複数、SPAN 宛先ポートに送信されます。たとえば、ポート A での RX モニタ、ポート B での TX モニタ用に、双方向(RX と TX)SPAN セッションが設定されているとします。パケットがポート A を介してスイッチに着信し、ポート B にスイッチングされると、着信パケットと発信パケットの両方が宛先ポートに送信されます。このため、両方のパケットは同じものになります。
送信元ポート
送信元ポート(別名監視対象ポート)は、ネットワーク トラフィック分析のために監視するスイッチド ポートです。1 つのローカル SPAN セッションでは、送信元ポートまたは VLAN のトラフィックを単一方向または双方向で監視できます。スイッチは、任意の数の送信元ポート(スイッチで利用可能なポートの最大数まで)と任意の数の送信元 VLAN(サポートされている VLAN の最大数まで)をサポートしています。ただし、スイッチが送信元ポートまたは VLAN でサポートするセッション数は最大 2 つであるため、単一のセッションにポートおよび VLAN を混在させることはできません。
• 監視する方向(入力、出力、または両方)を指定して、各送信元ポートを設定できます。
• すべてのポート タイプ(EtherChannel、ファスト イーサネット、ギガビット イーサネットなど)が可能です。
• EtherChannel 送信元の場合は、EtherChannel 全体で、または物理ポートがポート チャネルに含まれている場合は物理ポート上で個別に、トラフィックを監視できます。
• アクセス ポート、トランク ポート、または音声 VLAN ポートに指定できます。
送信元 VLAN
VLAN ベースの SPAN(VSPAN)では、1 つまたは複数の VLAN のネットワーク トラフィックを監視できます。VSPAN 内の SPAN 送信元インターフェイスが VLAN ID となり、トラフィックはその VLAN のすべてのポートで監視されます。
• 送信元 VLAN 内のすべてのアクティブ ポートは送信元ポートとして含まれ、単一方向または双方向で監視できます。
• 指定されたポートでは、監視対象の VLAN 上のトラフィックのみが宛先ポートに送信されます。
• 宛先ポートが送信元 VLAN に所属する場合は、送信元リストから除外され、監視されません。
• ポートが送信元 VLAN に追加または削除されると、これらのポートで受信された送信元 VLAN のトラフィックは、監視中の送信元に追加または削除されます。
VLAN フィルタリング
トランク ポートを送信元ポートとして監視する場合、デフォルトでは、トランク上でアクティブなすべての VLAN が監視されます。VLAN フィルタリングを使用して、トランク送信元ポートでの SPAN トラフィックの監視対象を特定の VLAN に制限できます。
• VLAN フィルタリングが適用されるのは、トランク ポートまたは音声 VLAN ポートのみです。
• VLAN フィルタリングはポートベース セッションにのみ適用され、VLAN 送信元によるセッションでは使用できません。
• VLAN フィルタ リストが指定されている場合、トランク ポートまたは音声 VLAN アクセス ポートではリスト内の該当 VLAN のみが監視されます。
• 他のポート タイプから着信する SPAN トラフィックは、VLAN フィルタリングの影響を受けません。つまり、すべての VLAN を他のポートで使用できます。
• VLAN フィルタリング機能は、宛先 SPAN ポートに転送されたトラフィックにのみ作用し、通常のトラフィックのスイッチングには影響を与えません。
宛先ポート
各ローカル SPAN セッションには、送信元ポートおよび VLAN からのトラフィックのコピーを受信し、SPAN パケットをユーザ(通常はネットワーク アナライザ)に送信する宛先ポート(別名監視側ポート)が必要です。
• ローカル SPAN セッションの場合、宛先ポートは送信元ポートと同じスイッチに存在している必要があります。
• ポートを SPAN 宛先ポートとして設定すると、元のポート設定が上書きされます。SPAN 宛先設定を削除すると、ポートは以前の設定に戻ります。ポートが SPAN 宛先ポートとして機能している間にポートの設定が変更されると、SPAN 宛先設定が削除されるまで、変更は有効になりません。
• ポートが EtherChannel グループに含まれていた場合、そのポートが宛先ポートとして設定されている間、グループから削除されます。
• EtherChannel グループまたは VLAN にすることはできません。
• 一度に 1 つの SPAN セッションにしか参加できません(ある SPAN セッションの宛先ポートは、別の SPAN セッションの宛先ポートになることはできません)。
• アクティブな場合、着信トラフィックはディセーブルになります。ポートは SPAN セッションに必要なトラフィック以外は送信しません。宛先ポートでは着信トラフィックを学習したり、転送したりしません。
• 入力トラフィックの転送がネットワーク セキュリティ デバイスでイネーブルの場合、宛先ポートはレイヤ 2 でトラフィックを転送します。
• レイヤ 2 プロトコル(STP、VTP、CDP、DTP、PAgP)のいずれにも参加しません。
• 任意の SPAN セッションの送信元 VLAN に所属する宛先ポートは、送信元リストから除外され、監視されません。
ローカル SPAN 宛先ポートは、VLAN タギングおよびカプセル化について次のとおり動作が異なります。
• ローカル SPAN では、宛先ポートに encapsulation replicate キーワードが指定されている場合、各パケットに元のカプセル化が使用されます(タグなし、または IEEE 802.1Q)。これらのキーワードが指定されていない場合、パケットはタグなしフォーマットになります。したがって、 encapsulation replicate がイネーブルになっているローカル SPAN セッションの出力に、タグなし、または IEEE 802.1Q タグ付きパケットが混在することがあります。
SPAN の他の機能との相互作用
• STP -- SPAN セッションがアクティブな間、宛先ポートは STP に参加しません。SPAN セッションがディセーブルになると、宛先ポートは STP に参加できます。送信元ポートでは、SPAN は STP ステータスに影響を与えません。
• CDP -- SPAN セッションがアクティブな間、SPAN 宛先ポートは CDP に参加しません。SPAN セッションがディセーブルになると、ポートは再び CDP に参加します。
• VLAN およびトランキング -- 送信元ポート、または宛先ポートの VLAN メンバーシップまたはトランクの設定値を、いつでも変更できます。ただし、宛先ポートの VLAN メンバーシップまたはトランクの設定値に対する変更が有効になるのは、SPAN 宛先設定を削除してからです。送信元ポートの VLAN メンバーシップまたはトランクの設定値に対する変更は、ただちに有効になり、対応する SPAN セッションが変更に応じて自動的に調整されます。
• EtherChannel -- EtherChannel グループを送信元ポートとして設定することはできますが、SPAN 宛先ポートとして設定することはできません。グループが SPAN 送信元として設定されている場合、グループ全体が監視されます。
監視対象の EtherChannel グループに物理ポートを追加すると、SPAN 送信元ポート リストに新しいポートが追加されます。監視対象の EtherChannel グループからポートを削除すると、送信元ポート リストからそのポートが自動的に削除されます。
EtherChannel グループに所属する物理ポートを SPAN 送信元ポートとして設定し、引き続き EtherChannel の一部とすることができます。この場合、この物理ポートは EtherChannel に参加しているため、そのポートからのデータが監視されます。ただし、EtherChannel グループに含まれる物理ポートを SPAN 宛先として設定した場合、その物理ポートはグループから削除されます。SPAN セッションからそのポートが削除されると、EtherChannel グループに再加入します。EtherChannel グループから削除されたポートは、グループ メンバーのままですが、 inactive または suspended ステートになります。
EtherChannel グループに含まれる物理ポートが宛先ポートであり、その EtherChannel グループが送信元の場合、ポートは EtherChannel グループおよび監視対象ポート リストから削除されます。
• マルチキャスト トラフィックを監視できます。出力ポートおよび入力ポートの監視では、未編集のパケットが 1 つだけ SPAN 宛先ポートに送信されます。マルチキャスト パケットの送信回数は反映されません。
• セキュア ポートを SPAN 宛先ポートにすることはできません。
SPAN セッションでは、入力転送が宛先ポートでイネーブルの場合、出力を監視しているポートでポート セキュリティをイネーブルにしないでください。
• IEEE 802.1x ポートは SPAN 送信元ポートにできます。SPAN 宛先ポート上で IEEE 802.1x をイネーブルにできますが、SPAN 宛先としてこのポートを削除するまで、IEEE 802.1x はディセーブルに設定されます。
SPAN セッションでは、入力転送が宛先ポートでイネーブルの場合、出力を監視しているポートで IEEE 802.1x をイネーブルにしないでください。
SPAN の設定
SPAN のデフォルト設定
表23-1 に、SPAN のデフォルト設定を示します。
|
|
|
|---|---|
ローカル SPAN の設定
SPAN 設定時の注意事項
SPAN を設定するときには、次の注意事項に従ってください。
• SPAN 送信元の場合は、セッションごとに、単一のポートまたは VLAN、一連のポートまたは VLAN、一定範囲のポートまたは VLAN のトラフィックを監視できます。1 つの SPAN セッションに、送信元ポートおよび送信元 VLAN を混在させることはできません。
• 宛先ポートを送信元ポートにすることはできません。同様に、送信元ポートを宛先ポートにすることもできません。
• 同じ宛先ポートで 2 つの SPAN セッションを設定することはできません。
• スイッチ ポートを SPAN 宛先ポートとして設定すると、通常のスイッチ ポートではなくなります。SPAN 宛先ポートを通過するトラフィックが監視されるだけです。
• SPAN コンフィギュレーション コマンドを入力しても、前に設定した SPAN パラメータは削除されません。設定されている SPAN パラメータを削除するには、 no monitor session
{ session_number | all | local } グローバル コンフィギュレーション コマンドを入力する必要があります。
• ローカル SPAN では、 encapsulation replicate キーワードが指定されている場合、SPAN 宛先ポートを経由する発信パケットは元のカプセル化ヘッダー(タグなし、または IEEE 802.1Q)を伝送します。このキーワードが指定されていない場合、パケットはネイティブ形式で送信されます。
• ディセーブルのポートを送信元ポートまたは宛先ポートとして設定することはできますが、SPAN 機能が開始されるのは、宛先ポートと少なくとも 1 つの送信元ポートまたは送信元 VLAN がイネーブルになってからです。
• SPAN トラフィックを特定の VLAN に制限するには、 filter vlan キーワードを使用します。トランク ポートを監視している場合、このキーワードで指定された VLAN 上のトラフィックのみが監視されます。デフォルトでは、トランク ポート上のすべての VLAN が監視されます。
ローカル SPAN セッションの作成
SPAN セッションを作成し、送信元(監視対象)ポートまたは VLAN、および宛先(監視側)ポートを指定するには、特権 EXEC モードで次の手順を実行します。
SPAN セッションを削除するには、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。SPAN セッションから送信元ポート、宛先ポート、または VLAN を削除する場合は、 no monitor session session_number source { interface interface-id | vlan vlan-id } グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。宛先インターフェイスの場合、このコマンドの no 形式では、encapsulation オプションは無視されます。
次に、SPAN セッション 1 を設定し、宛先ポートへ向けた送信元ポートのトラフィックを監視する例を示します。最初に、セッション 1 の既存の SPAN 設定を削除し、カプセル化方式を維持しながら、双方向トラフィックを送信元ポート GigabitEthernet 1 から宛先ポート GigabitEthernet 2 へミラーリングします。
次に、SPAN セッション 1 の SPAN 送信元としてのポート 1 を削除する例を示します。
次に、双方向モニタが設定されていたポート 1 で、受信トラフィックの監視をディセーブルにする例を示します。
ポート 1 で受信するトラフィックの監視はディセーブルになりますが、このポートから送信されるトラフィックは引き続き監視されます。
次に、SPAN セッション 2 内の既存の設定を削除し、VLAN 1 ~ 3 に属するすべてのポートで受信トラフィックを監視するように SPAN セッション 2 を設定し、監視されたトラフィックを宛先ポート GigabitEthernet 2 に送信する例を示します。さらに、この設定は VLAN 10 に属するすべてのポートですべてのトラフィックを監視するよう変更されます。
ローカル SPAN セッションの作成および着信トラフィックの設定
SPAN セッションを作成し、さらに送信元ポートまたは VLAN および宛先ポートを指定したあと、宛先ポートでネットワーク セキュリティ デバイス(Cisco IDS センサ装置等)用に着信トラフィックをイネーブルにするには、特権 EXEC モードで次の手順を実行します。
着信トラフィックに関係しないキーワードの詳細については、「ローカル SPAN セッションの作成」を参照してください。
SPAN セッションを削除するには、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。SPAN セッションから送信元ポート、宛先ポート、または VLAN を削除する場合は、 no monitor session session_number source { interface interface-id | vlan vlan-id } グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。宛先インターフェイスの場合、このコマンドの no 形式を使用すると、カプセル化および入力オプションは無視されます。
次に、SPAN セッション 2 の既存の設定を削除し、送信元ポート GigabitEthernet 1 上で受信されるトラフィックを監視するように SPAN セッション 2 を設定し、送信元ポートと同じ出力カプセル化方式を使用してそれを宛先ポート GigabitEthernet 2 に送信し、VLAN 6 をデフォルトの入力 VLAN として IEEE 802.1Q カプセル化を使用する入力転送をイネーブルにする例を示します。
フィルタリングする VLAN の指定
SPAN 送信元トラフィックを特定の VLAN に制限するには、特権 EXEC モードで次の手順を実行します。
トランク ポート上のすべての VLAN を監視するには、 no monitor session session_number filter グローバル コンフィギュレーション コマンドを使用します。
次に、SPAN セッション 2 の既存の設定を削除し、トランク ポート GigabitEthernet 2 で受信されたトラフィックを監視するように SPAN セッション 2 を設定し、VLAN 1 ~ 5 および 9 に対してのみトラフィックを宛先ポート GigabitEthernet 1 に送信する例を示します。
SPAN のステータス表示
現在の SPAN 設定を表示するには、 show monitor ユーザ EXEC コマンドを使用します。また、設定された SPAN セッションを表示するには、 show running-config 特権 EXEC コマンドを使用できます。
フィードバック