- はじめに
- 概要
- CLIの使用方法
- CMSの使用方法
- スイッチのIPアドレスおよびデフォル ト ゲートウェイの割り当て
- スイッチ スタックの管理
- スイッチのクラスタ設定
- スイッチの管理
- SDMテンプレートの設定
- スイッチベースの認証の設定
- 802.1xポートベースの認証の設定
- インターフェイス特性の設定
- SmartPortマクロの設定
- VLANの設定
- VTPの設定
- 音声VLANの設定
- STPの設定
- MSTPの設定
- オプションのスパニングツリー機能の 設定方法
- DHCP機能の設定
- IGMPスヌーピングおよびMVRの設定
- ポートベースのトラフィック制御の設 定
- CDPの設定
- UDLDの設定
- SPANおよびRSPANの設定
- RMONの設定
- システム メッセージ ロギングの設定
- SNMPの設定
- ACLによるネットワーク セキュリティ の設定
- QoSの設定
- EtherChannelの設定
- IPユニキャスト ルーティングの設定
- HSRPの設定
- IPマルチキャスト ルーティングの設定
- MSDPの設定
- 代替ブリッジングの設定
- トラブルシューティング
- サポートされているMIB
- Cisco IOSファイル システム、コン フィギュレーション ファイル、および ソフトウェア イメージの操作
- Cisco IOS Release 12.1(19)EA1で サポートされていないコマンド
- 索引
Catalyst 3750 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(19)EA1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: SPANおよびRSPANの設定
SPANおよびRSPANの設定
この章では、Catalyst 3750スイッチにSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN)を設定する方法について説明します。特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
(注) この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
SPANおよびRSPANの概要
ポートまたはVLANを通過するネットワーク トラフィックを分析するには、SPANまたはRSPANを使用して、そのスイッチの別のポート、またはネットワーク アナライザなどのモニタリング デバイスやセキュリティ デバイスに接続されている別のスイッチ上のポートにトラフィックのコピーを送信します。SPANは送信元ポートまたは送信元VLAN上で受信、送信、または送受信されたトラフィックを宛先ポートにコピー(ミラーリング)して、分析します。SPANは送信元ポートまたはVLAN上のネットワーク トラフィックのスイッチングに影響を与えません。宛先ポートをSPAN専用にする必要があります。SPANまたはRSPANセッションに必要なトラフィック以外のトラフィックを、宛先ポートが受信または転送することはありません。
SPANを使用してモニタできるのは、送信元ポートを出入りするトラフィックまたは送信元VLANに出入りするトラフィックだけです。送信元VLANにルーティングされるトラフィックはモニタできません。たとえば、着信トラフィックをモニタしている場合、別のVLANから送信元VLANにルーティングされているトラフィックはモニタできません。ただし、送信元VLANで受信し、別のVLANにルーティングされるトラフィックは、モニタできます。
SPANまたはRSPAN宛先ポートを使用すると、ネットワーク セキュリティ デバイスからトラフィックを送信できます。たとえば、Cisco Intrusion Detection System(IDS;侵入検知システム)センサ装置を宛先ポートに接続した場合、IDSデバイスはTCPリセット パケットを送信して疑わしい攻撃者のTCPセッションを停止させることができます。
•
「RSPAN」
ローカルSPAN
ローカルSPANは1つのスイッチ内のSPANセッション全体をサポートします。すべての送信元ポートまたは送信元VLAN、および宛先ポートは、同じスイッチまたはスイッチ スタック内にあります。ローカルSPANは、任意のVLAN上の1つまたは複数の送信元ポートあるいは1つまたは複数のVLANから宛先ポートに送信されるトラフィックをコピーして、分析します。たとえば、図 24-1では、ポート5(送信元ポート)上のすべてのトラフィックがポート10 (宛先ポート)にミラーリングされています。ポート10のネットワーク アナライザは、ポート5に物理的に接続しなくても、ポート5からすべてのネットワーク トラフィックを受信します。
図 24-2に、送信元ポートおよび宛先ポートが異なるスタック メンバー上にある、スイッチ スタックのローカルSPANの例を示します。
図 24-2 スイッチ スタックでのローカルSPANの設定例
RSPAN
RSPANを使用すると、異なるスイッチ(または異なるスイッチ スタック)上で送信元ポート、送信元VLAN、宛先ポートがサポートされるため、ネットワーク内で複数のスイッチのRemote Monitoring(RMON)がイネーブルになります。図 24-3に、スイッチAおよびスイッチBの送信元ポートを示します。各RSPANセッションのトラフィックは、ユーザが指定したRSPAN VLAN上で伝送されます。このRSPAN VLANは、参加しているすべてのスイッチでRSPANセッション専用です。送信元ポートまたはVLANからのRSPANトラフィックはRSPAN VLANにコピーされ、RSPAN VLANを伝送するトランク ポートを介して、RSPAN VLANをモニタする宛先セッションに転送されます。各RSPAN送信元スイッチでは、RSPAN送信元としてポートまたはVLANのいずれかを設定する必要があります。宛先は常に物理ポートになります(スイッチCを参照)。
SPANおよびRSPANの概念と用語
SPANセッション
SPANセッション(ローカルまたはリモート)を使用すると、1つまたは複数のポート、あるいは1つまたは複数のVLAN上でトラフィックをモニタし、モニタしたトラフィックを1つまたは複数の宛先ポートに送信できます。
ローカルSPANセッションは、宛先ポートと送信元ポートまたは送信元VLAN(すべて単一のネットワーク デバイス上にある)の対応付けです。ローカルSPANには、送信元セッションおよび宛先セッションが個別に設定されません。ローカルSPANセッションはユーザが指定した入力および出力のパケット セットを収集し、SPANデータ ストリームを形成して、宛先ポートに転送します。
RSPANは1つまたは複数のRSPAN送信元セッション、RSPAN VLAN、およびRSPAN宛先セッションで構成されます。RSPAN送信元セッションとRSPAN宛先セッションは、異なるネットワーク デバイス上に別々に設定します。デバイスにRSPAN送信元セッションを設定するには、送信元ポートまたは送信元VLANのセットをRSPAN VLANと関連付けます。このセッションの出力は、RSPAN VLANに送信されるSPANパケットのストリームです。別のデバイスにRSPAN宛先セッションを設定するには、宛先ポートをRSPAN VLANと関連付けます。宛先セッションはRSPAN VLANトラフィックをすべて収集し、RSPAN宛先ポートに送信します。
RSPAN送信元セッションは、パケット ストリームの転送先を除き、ローカルSPANセッションに非常に似ています。RSPAN送信元セッションでは、SPANパケットにRSPAN VLAN IDラベルが再設定され、通常のトランク ポートを介して宛先スイッチに転送されます。
RSPAN宛先セッションはRSPAN VLAN上で受信されたすべてのパケットからVLANタギングを除去し、宛先ポートに送ります。RSPAN宛先セッションの目的は、(レイヤ2制御パケットを除く)すべてのRSPAN VLANパケットをユーザにコピーして、分析することです。
同じRSPAN VLAN内で、複数の送信元セッションと複数の宛先セッションをアクティブにすることができます。RSPAN送信元セッションと宛先セッションを分離する中間スイッチを配置することもできます。これらのスイッチにはRSPANの実行機能は不要ですが、RSPAN VLANの要件を満たす必要があります(RSPAN VLANを参照)。
SPANセッションでのトラフィックのモニタには、次のような制限があります。
• ポートまたはVLANを送信元にすることができますが、同じセッション内に送信元ポートと送信元VLANを混在させることはできません。
• スイッチは最大2つの送信元セッションをサポートします。同じスイッチ スタック内でローカルSPANとRSPAN送信元セッションを両方とも実行することができます。スイッチ スタックは合計66個の送信元およびRSPAN宛先セッションをサポートします。
• 1つのSPANセッションに複数の宛先ポートを設定できますが、1つのスイッチ スタックに設定できる宛先ポートは最大で64個です。
• 個別のまたは重複するSPAN送信元ポートとVLANの集合を使用して、2つの独立したSPANまたはRSPAN送信元セッションを設定できます。スイッチド ポートおよびルーテッド ポートはいずれもSPAN送信元および宛先として設定できます。
• SPANセッションは、スイッチの正常な動作を妨げません。ただし、SPANの宛先がオーバーサブスクライブ型ポートである場合(たとえば100 Mbpsポートをモニタする10 Mbpsポートなど)、パケットが廃棄されるか、または消失する可能性があります。
• RSPANがイネーブルの場合、モニタ中の各パケットは2回伝送されます。1回は標準トラフィックとして、もう1回はモニタされたパケットとしてです。したがって、多数のポートまたはVLANをモニタすると、大量のネットワーク トラフィックが生成されることがあります。
• ディセーブルのポート上でもSPANセッションを設定できます。宛先ポートと、1つまたは複数の送信元ポートまたはVLANをイネーブルにしない限り、SPANセッションはアクティブになりません。
• スイッチの単一セッション内では、ローカルSPANとRSPANを併用できません。つまり、RSPAN送信元セッションにローカル宛先ポートを設定したり、RSPAN宛先セッションにローカル送信元ポートを設定したり、同じスイッチ スタック上で、同じRSPAN VLANを使用するRSPAN宛先セッションおよびRSPAN送信元セッションを実行することはできません。
モニタ対象トラフィック
SPANセッションは、次のトラフィック タイプをモニタできます。
• 受信(RX)SPAN ― 受信(または入力)SPANの目的は、スイッチが変更または処理を行う前に送信元インターフェイスまたはVLANが受信したすべてのパケットをできる限り多くモニタすることです。送信元が受信した各パケットのコピーがそのSPANセッションの宛先ポートに送信されます。
Differentiated Services Code Point(DSCP)の変更など、ルーティングまたはQuality of Service(QoS;サービス品質)が原因で変更されるパケットは、変更前にコピーされます。
受信処理中にパケットを廃棄する可能性のある機能は、入力SPANには無効です。宛先ポートは、実際の着信パケットが廃棄された場合でも、パケットのコピーを受信します。これらの機能には、標準および拡張IP入力Access Control List(ACL;アクセス制御リスト)、入力QoSポリシング、VLAN ACL、出力QoSポリシングなどがあります。
• 送信(TX)SPAN ― 送信(または出力)SPANの目的は、スイッチによる変更または処理がすべて実行されたあとに、送信元インターフェイスから送信されたすべてのパケットをできる限り多くモニタすることです。送信元から送信された各パケットのコピーは、そのSPANセッションに対応する宛先ポートに送信されます。コピーは、パケットの変更後送信されます。
ルーティングが原因で変更されたパケット(Time to Live [TTL]、MACアドレス、QoS値の変更など)は、宛先ポートで(変更されて)コピーされます。
送信処理中にパケットを廃棄する可能性のある機能は、SPAN用のコピーにも影響を与えます。これらの機能には、標準および拡張IP出力ACL、出力QoSポリシングなどがあります。
• 双方向 ― 1つのSPANセッションで、単一のポートまたはVLANの送信パケットと受信パケットを両方モニタできます。これはデフォルト設定です。
ローカルSPANセッション ポートのデフォルト設定では、すべてのタグなしパケットが送信されます。通常、SPANはCisco Discovery Protocol(CDP)、VLAN Trunk Protocol(VTP;VLANトランク プロトコル)、Dynamic Trunking Protocol(DTP)、Spanning-Tree Protocol(STP;スパニングツリー プロトコル)、Port Aggregation Protocol(PAgP;ポート集約プロトコル)などのBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)パケットおよびレイヤ2プロトコルをモニタしません。ただし、宛先ポートを設定するときに encapsulation replicate キーワードを入力すると、次のように変更されます。
• 送信元ポートの場合と同じカプセル化設定(タグなし、IEEE 802.1Q、またはISL[スイッチ間リンク])を使用して、パケットが宛先ポートに送信されます。
• BPDUやレイヤ2プロトコル パケットを含むすべてのタイプのパケットがモニタされます。
したがって、カプセル化レプリケーションがイネーブル化されたローカルSPANセッションでは、タグなし、802.1Q、およびISLタグ付きパケットが宛先ポートに混在するする場合があります。
スイッチが輻輳すると、入力送信元ポート、出力送信元ポート、またはSPAN宛先ポートでパケットが廃棄されることがあります。一般に、これらの特性は相互に依存しません。次に例を示します。
• パケットは通常どおり転送されますが、SPAN宛先ポートのオーバーサブスクライブが原因でモニタされないことがあります。
• 入力パケットが標準転送されないにもかかわらず、SPAN宛先ポートに着信することがあります。
• スイッチ輻輳が原因で廃棄された出力パケットは、出力SPANからも廃棄されます。
SPANの設定によっては、同じ送信元パケットの複数のコピーがSPAN宛先ポートに送信される場合があります。たとえば、ポートAではRXモニタ用に、ポートBではTXモニタ用に、双方向(RXとTX)SPANセッションが設定されているとします。パケットがポートAを介してスイッチに着信し、ポートBにスイッチングされると、着信パケットと発信パケットの両方が宛先ポートに送信されます。このため、両方のパケットは同じものになります(レイヤ3書き換えが行われた場合には、パケット変更のため異なるパケットになります)。
送信元ポート
送信元ポート(別名 モニタ対象ポート )は、ネットワーク トラフィック分析のためにモニタするスイッチド ポートまたはルーテッド ポートです。1つのローカルSPANセッションまたはRSPAN送信元セッションでは、送信元ポートまたはVLANのトラフィックを単一方向または双方向でモニタできます。スイッチは、任意の数の送信元ポート(スイッチで利用可能なポートの最大数まで)と任意の数の送信元VLAN(サポートされているVLANの最大数まで)をサポートします。ただし、スイッチが送信元ポートまたはVLANでサポートするセッション数は最大2つ(ローカルまたはRSPAN)であるため、単一のセッションにポートおよびVLANを混在させることはできません。
• 各送信元ポートに、モニタする方向(入力、出力、両方)を設定できます。
• すべてのポート タイプ(EtherChannel、ファスト イーサネット、ギガビット イーサネットなど)が可能です。
• EtherChannel送信元の場合はEtherChannel全体で、または物理ポートがポート チャネルに含まれている場合は物理ポート上で個別に、トラフィックをモニタできます。
• アクセス ポート、トランク ポート、ルーテッド ポート、または音声VLANポートに指定できます。
送信元VLAN
VLAN-based SPAN(VSPAN)では、1つまたは複数のVLANのネットワーク トラフィックをモニタできます。VLAN内のSPANまたはRSPAN送信元インターフェイスはVLAN IDで指定され、トラフィックはそのVLANのすべてのポートでモニタされます。
• 送信元VLAN内のすべてのアクティブ ポートは送信元ポートとして含まれ、単一方向または双方向でモニタできます。
• 指定されたポートでは、モニタ対象のVLAN上のトラフィックのみが宛先ポートに送信されます。
• 宛先ポートが送信元VLANに所属する場合は、送信元リストから除外され、モニタされません。
• ポートが送信元VLANに追加または削除されると、これらのポートで受信された送信元VLANのトラフィックは、モニタ中の送信元に追加または削除されます。
VLANフィルタリング
トランク ポートを送信元ポートとしてモニタする場合、デフォルトでは、トランク上でアクティブなすべてのVLANがモニタされます。VLANフィルタリングを使用すれば、トランク送信元ポートでのSPANトラフィックのモニタを特定のVLANに制限することができます。
• VLANフィルタリングが適用されるのは、トランク ポートまたは音声VLANポートのみです。
• VLANフィルタリングはポートベース セッションにのみ適用され、VLAN送信元によるセッションでは使用できません。
• VLANフィルタ リストが指定されている場合、トランク ポートまたは音声VLANアクセス ポートではリスト内のVLANのみがモニタされます。
• 他のポート タイプから着信するSPANトラフィックは、VLANフィルタリングの影響を受けません。つまり、すべてのVLANを他のポートで使用することができます。
• VLANフィルタリング機能は、宛先SPANポートに転送されたトラフィックにのみ作用し、通常のトラフィックのスイッチングには影響を与えません。
宛先ポート
各ローカルSPANセッションまたはRSPAN宛先セッションには、送信元ポートまたはVLANからのトラフィックのコピーを受信し、SPANパケットをユーザ(通常はネットワーク アナライザ)に送信する宛先ポート(別名 モニタ側ポート )が必要です。
• ローカルSPANセッションの場合、宛先ポートは送信元ポートと同じスイッチ スタックになければなりません。RSPANセッションの場合、宛先ポートはRSPAN宛先セッションを含むスイッチ上にあります。RSPAN送信元セッションのみを実行するスイッチまたはスイッチ スタックには、宛先ポートはありません。
• ポートをSPAN宛先ポートとして設定すると、元のポート設定が上書きされます。SPAN宛先ポートの設定を削除すると、ポートは以前の設定に戻ります。ポートがSPAN宛先ポートとして機能している間にポートの設定が変更されると、SPAN宛先設定が削除されるまで、変更は有効になりません。
• EtherChannelグループに含まれていたポートが宛先ポートとして設定されている場合、そのポートはグループから削除されます。削除されたポートがルーテッド ポートであった場合、このポートはルーテッド ポートでなくなります。
• EtherChannelグループまたはVLANにはできません。
• 一度に1つのSPANセッションにしか参加できません(あるSPANセッションの宛先ポートは、別のSPANセッションの宛先ポートになることはできません)。
• アクティブな場合、着信トラフィックはディセーブルになります。このポートでは、SPANセッションに必要なトラフィック以外の転送は行われません。宛先ポートでは着信トラフィックの学習または転送は行われません。
• 入トラフィックの転送がネットワーク セキュリティ デバイスでイネーブルの場合、宛先ポートはレイヤ2でトラフィックを転送します。
• レイヤ2プロトコル(STP、VTP、CDP、DTP、PAgP)のいずれにも参加しません。
• 任意のSPANセッションの送信元VLANに所属する宛先ポートは、送信元リストから除外され、モニタされません。
ローカルSPANおよびRSPAN宛先ポートでは、VLANタギングおよびカプセル化に関する動作が異なります。
• ローカルSPANでは、宛先ポートに encapsulation replicate キーワードが指定されている場合、各パケットに元のカプセル化が使用されます(タグなし、ISL、または802.1Q)。これらのキーワードが指定されていない場合、パケットはタグなしフォーマットになります。したがって、 encapsulation replicate がイネーブル化されたローカルSPANセッションの出力に、タグなし、802.1Q、またはISLタグ付きパケットが混在する場合があります。
• RSPANの場合、元のVLAN IDはRSPAN VLAN IDで上書きされるため、失われます。したがって、宛先ポート上のすべてのパケットはタグなしになります。
RSPAN VLAN
RSPAN VLANは、RSPAN送信元セッションと宛先セッション間でSPANトラフィックを伝送します。RSPAN VLANには次の特殊な特性があります。
• RSPAN VLAN内のすべてのトラフィックは、常にフラッディングされます。
• RSPAN VLANではMACアドレスは学習されません。
• RSPAN VLANトラフィックが流れるのは、トランク ポート上のみです。
• RSPAN VLANは、 remote-span VLANコンフィギュレーション モード コマンドを使用して、VLANコンフィギュレーション モードで設定する必要があります。
• STPはRSPAN VLANトランク上で実行できますが、SPAN宛先ポート上では実行できません。
VTPに認識されるVLAN 1~1005の場合、VLAN IDおよび対応するRSPAN特性はVTPによって伝播されます。拡張VLAN範囲(1006~4094)内のRSPAN VLAN IDを割り当てる場合は、すべての中間スイッチを手動で設定する必要があります。
通常は、ネットワークに複数のRSPAN VLANを配置し、同時にそれぞれのRSPAN VLANでネットワーク全体のRSPANセッションを定義します。つまり、ネットワーク内の任意の場所にある複数のRSPAN送信元セッションからRSPANセッションにパケットを送信できます。また、ネットワーク全体に対して複数のRSPAN宛先セッションを設定し、同じRSPAN VLANをモニタしたり、ユーザにトラフィックを送信することもできます。セッションはRSPAN VLAN IDによって区別されます。
SPANおよびRSPANの他の機能との相互作用
• ルーティング ― SPANはルーテッド トラフィックをモニタしません。VSPANがモニタするのはスイッチに出入りするトラフィックに限られ、VLAN間でルーティングされるトラフィックはモニタしません。たとえば、VLANが受信モニタされ、スイッチが別のVLANからモニタ対象VLANにトラフィックをルーティングする場合、そのトラフィックはモニタされず、SPAN宛先ポートで受信されません。
• STP ― 宛先ポートのSPANまたはRSPANセッションがアクティブな間、宛先ポートはSTPに参加しません。SPANまたはRSPANセッションがディセーブルになると、宛先ポートはSTPに参加できます。送信元ポートでは、SPANはSTPステータスに影響を与えません。STPは、RSPAN VLANを伝送するトランク ポート上でアクティブにできます。
• CDP ― SPAN宛先ポートは、SPANセッションがアクティブな間はCDPに参加しません。SPANセッションがディセーブルになると、ポートは再びCDPに参加します。
• VTP ― VTPを使用して、スイッチ間でRSPAN VLANをプルーニングできます。
• VLANおよびトランキング ― 送信元ポート、または宛先ポートのVLANメンバーシップまたはトランクの設定値は、いつでも変更できます。ただし、宛先ポートのVLANメンバーシップまたはトランクの設定値に対する変更は、SPAN宛先設定を削除しない限り有効になりません。送信元ポートのVLANメンバーシップまたはトランク設定の変更はただちに有効になり、個々のSPANセッションは、それに応じて自動的に調整されます。
• EtherChannel ― EtherChannelグループを送信元ポートに設定できますが、SPAN宛先ポートには設定できません。グループをSPAN送信元として設定すると、グループ全体がモニタ対象となります。
モニタ対象EtherChannelグループに物理ポートを追加すると、新しいポートがSPAN送信元ポート リストに追加されます。モニタ対象EtherChannelグループからポートを削除すると、SPAN送信元ポート リストから自動的に削除されます。削除したポートがEtherChannelグループ内の唯一のポートである場合、グループ内にポートがなくなるため、データはモニタされません。
EtherChannelグループに属する物理ポートをSPAN送信元ポートとして設定し、引き続きEtherChannelの一部とすることができます。この場合、この物理ポートはEtherChannelに参加しているため、そのポートからのデータはモニタされます。ただし、EtherChannelグループに属する物理ポートをSPAN宛先ポートに設定した場合は、EtherChannelグループから削除されます。SPANセッションからポートが削除されると、EtherChannelグループに復帰します。EtherChannelグループから削除されたポートはグループのメンバーに残りますが、 非アクティブ または スタンドアロン ステートになります。
EtherChannelグループに属する物理ポートが宛先ポートであり、かつ、EtherChannelグループが送信元である場合、ポートはEtherChannelグループおよびモニタ対象ポートのリストから削除されます。
• マルチキャスト トラフィックをモニタできます。出力側および入力側ポート モニタの場合は、未編集パケットが1つだけSPAN宛先ポートに送信されます。マルチキャスト パケットが送信される回数は反映されません。
SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでもポート セキュリティをイネーブルにしないでください。
• 802.1xポートはSPAN送信元ポートにできます。SPAN宛先ポートで802.1xをイネーブルにできますが、SPAN宛先として削除するまでは802.1xはディセーブルに設定されます。
SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートで802.1xをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでも802.1xをイネーブルにしないでください。
SPAN/RSPANおよびスイッチ スタック
スイッチ スタックは1つの論理スイッチとして扱われるため、ローカルSPAN送信元ポートおよび宛先ポートをスタック内の異なるスイッチに設定することができます。したがって、スタックにスイッチを追加または削除すると、ローカルSPANセッションや、RSPAN送信元または宛先セッションに影響が及ぶことがあります。スタックからスイッチを削除すると、アクティブ セッションが非アクティブになることがあります。スタックにスイッチを追加すると、非アクティブ セッションがアクティブになることがあります。
スイッチ スタックの詳細については、 第5章「スイッチ スタックの管理」 を参照してください。
SPANおよびRSPANの設定
ここでは、スイッチにSPANを設定する方法について説明します。具体的な設定情報は次のとおりです。
SPANおよびRSPANのデフォルト設定
表 24-1 に、SPANおよびRSPANのデフォルト設定を示します。
|
|
|
|---|---|
ローカルSPANの設定
ここでは、スイッチにローカルSPANを設定する方法について説明します。具体的な設定情報は次のとおりです。
SPAN設定時の注意事項
• 各スイッチ スタックには、ローカルSPANセッションまたはRSPAN送信元セッションを合計で2つ設定できます。また、各スイッチ スタックに、SPANセッション(ローカル、RSPAN送信元、およびRSPAN宛先)を合計で66個設定できます。
• SPAN送信元の場合は、セッションごとに、単一のポートまたはVLAN、一連のポートまたはVLAN、または一定範囲のポートまたはVLANのトラフィックをモニタできます。1つのSPANセッションに、送信元ポートおよび送信元VLANを混在させることはできません。
• 宛先ポートは送信元ポートにできません。また、送信元ポートは宛先ポートにできません。
• 同じ宛先ポートで2つのSPANセッションを設定することはできません。
• スイッチ ポートをSPAN宛先ポートに設定すると、通常のスイッチ ポートではなくなります。SPAN宛先ポートを通過するのは、モニタ対象のトラフィックだけです。
• SPANコンフィギュレーション コマンドを入力しても、設定済みのSPANパラメータは削除されません。設定されたSPANパラメータを削除するには、 no monitor session { session_number | all | local | remote }グローバル コンフィギュレーション コマンドを入力する必要があります。
• ローカルSPANでは、 encapsulation replicate キーワードが指定されている場合、SPAN宛先ポートを経由する発信パケットには元のカプセル化ヘッダー(タグなし、ISL、またはIEEE 802.1Q)が付加されます。このキーワードが指定されていない場合、パケットはネイティブ形式で送信されます。RSPAN宛先ポートの場合、発信パケットはタグなしです。
• ディセーブルに設定されているポートを送信元または宛先ポートにすることはできますが、SPAN機能は、宛先ポートおよび1つまたは複数の送信元ポートまたは送信元VLANがイネーブルになるまでは起動しません。
• filter vlan キーワードを使用すると、特定のVLANに対してSPANトラフィックを制限できます。モニタ対象がトランク ポートの場合、このキーワードで指定されたVLAN上のトラフィックのみがモニタされます。デフォルトでは、トランク ポートのすべてのVLANがモニタされます。
ローカルSPANセッションの作成
SPANセッションを作成し、送信元(モニタ対象)ポートまたはVLAN、および宛先(モニタ側)ポートを指定するには、イネーブルEXECモードで次の手順を実行します。
SPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。SPANセッションから送信元ポート、宛先ポート、またはVLANを削除する場合は、 no monitor session session_number source { interface interface-id | vlan vlan-id } グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。宛先インターフェイスの場合、このコマンドの no 形式では、 encapsulation replicate キーワードは無視されます。
次に、SPANセッション1を設定し、送信元ポートから宛先ポートへのトラフィックをモニタする例を示します。最初に、セッション1の既存のSPAN設定を削除し、双方向トラフィックを送信元ギガビット イーサネット ポート1から宛先ギガビット イーサネット ポート2へミラーリングして、カプセル化方式を維持します。
次に、SPANセッション1のSPAN送信元である、ポート1を削除する例を示します。
次に、双方向モニタ用に設定された、ポート1での受信トラフィック モニタをディセーブルにする例を示します。
ポート1での受信トラフィックのモニタはディセーブルになりますが、このポートから送信されるトラフィックは引き続きモニタされます。
次に、SPANセッション2内の既存の設定を削除し、VLAN 1~3に属するすべてのポートで受信トラフィックをモニタするようにSPANセッション2を設定し、モニタされたトラフィックを宛先ギガビット イーサネット ポート2に送信する例を示します。この設定は、VLAN 10に属するすべてのポートですべてのトラフィックをモニタするように変更されます。
ローカルSPANセッションの作成および入力トラフィックの設定
SPANセッションを作成して送信元ポート、送信元VLAN、および宛先ポートを指定し、ネットワーク セキュリティ デバイス(Cisco IDSセンサ装置など)用の宛先ポート上の入力トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
(注) 入力トラフィックに関連しないキーワードの詳細については、「ローカルSPANセッションの作成」を参照してください。
SPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。SPANセッションから送信元ポート、宛先ポート、またはVLANを削除する場合は、 no monitor session session_number source { interface interface-id | vlan vlan-id } グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。宛先インターフェイスの場合、このコマンドの no 形式では、encapsulationおよびingressオプションは無視されます。
次に、SPANセッション2の既存の設定を削除し、ギガビット イーサネット送信元ポート1で受信されたトラフィックをモニタするようにSPANセッション2を設定し、このトラフィックを送信元ポートと同じ出力カプセル化タイプを使用して宛先ギガビット イーサネット ポート2に送信し、802.1Qカプセル化およびデフォルト入力VLANとしてVLAN 6を使用する入力転送をイネーブルにする例を示します。
フィルタリングするVLANの指定
SPAN送信元トラフィックを特定のVLANに制限するには、イネーブルEXECモードで次の手順を実行します。
トランク ポート上のすべてのVLANをモニタするには、 no monitor session session_number filter グローバル コンフィギュレーション コマンドを使用します。
次に、SPANセッション2の既存の設定を削除し、ギガビット イーサネット トランク ポート2での受信トラフィックをモニタするようにSPANセッション2を設定し、VLAN 1~5およびVLAN 9のトラフィックのみを宛先ギガビット イーサネット ポート1に送信する例を示します。
RSPANの設定
RSPAN設定時の注意事項
• RSPANには、「SPAN設定時の注意事項」のすべての項目が当てはまります。
• RSPAN VLANには特殊なプロパティがあるので、RSPAN VLANとして使用するVLANをネットワーク上にいくつか確保しておき、これらのVLANにはアクセス ポートを割り当てないでください。
• RSPANトラフィックに出力ACLを適用して、特定のパケットを選択してフィルタリングまたはモニタすることができます。これらのACLは、RSPAN送信元スイッチ内のRSPAN VLAN上で指定します。
• RSPANの設定では、送信元ポートと宛先ポートをネットワーク内の複数のスイッチに分散させることができます。
• RSPANはBPDUパケット モニタリングその他のレイヤ2スイッチ プロトコルをサポートしません。
• RSPAN VLANはトランク ポートにのみ設定されており、アクセス ポートには設定されていません。不要なトラフィックがRSPAN VLANに発生するのを防ぐため、参加しているすべてのスイッチでVLANリモートSPAN機能がサポートされていることを確認してください。
• RSPAN VLAN上のアクセス ポート(音声VLANポートを含む)は、非アクティブ ステートになります。
• 送信元トランク ポートにアクティブなRSPAN VLANが設定されている場合、RSPAN VLANはポートベースRSPANセッションの送信元として組み込まれます。また、RSPAN VLANをSPANセッションの送信元にすることもできます。ただし、スイッチはセッション間にわたるトラフィックをモニタしないため、スイッチのRSPAN送信元セッションの宛先として識別されたRSPAN VLANでは、パケットの出力スパニングがサポートされません。
• 任意のVLANをRSPAN VLANとして設定するには、次の条件を満たす必要があります。
–すべてのスイッチで、RSPANセッションに同じRSPAN VLANが使用されている。
• RSPAN VLANを設定してから、RSPAN送信元または宛先セッションを設定してください。
• VTPおよびVTPプルーニングがイネーブルの場合、RSPANトラフィックはトランクでプルーニングされ、ネットワーク上でVLAN IDが1005以下のRSPANトラフィックの無用なフラッディングを防止できます。
RSPAN VLANとしてのVLANの設定
最初に、RSPANセッション用のRSPAN VLANに設定するVLANを新規に作成します。RSPANに参加するすべてのスイッチにRSPAN VLANを作成する必要があります。RSPAN VLAN IDが標準範囲(1005以下)であり、VTPがネットワーク内でイネーブルである場合は、1つのスイッチにRSPAN VLANを作成し、VTPがこのRSPAN VLANをVTPドメイン内の他のスイッチに伝播するように設定することができます。拡張範囲VLAN(1005を超えるID)の場合、送信元と宛先の両方のスイッチ、およびすべての中間スイッチにRSPAN VLANを設定する必要があります。
VTPプルーニングを使用して、RSPANトラフィックのフローを効率化するか、またはRSPANトラフィックを伝達する必要のないすべてのトランクから、RSPAN VLANを手動で削除してください。
RSPAN VLANを作成するするには、イネーブルEXECモードで次の手順を実行します。
|
|
|
|
|---|---|---|
VLAN IDを入力してVLANを作成するか、または既存のVLANのVLAN IDを入力して、VLANコンフィギュレーション モードを開始します。指定できる範囲は2~1001および1006~4094です。
(注) RSPAN VLANをVLAN 1(デフォルトVLAN)またはVLAN ID 1002~1005(トークンリングやFDDI VLAN専用)にすることはできません。 |
||
VLANからRSPANの特性を削除して、標準VLANに変換するには、 no remote-span VLANコンフィギュレーション コマンドを使用します。
RSPAN送信元セッションの作成
RSPAN送信元セッションを開始し、モニタ対象の送信元および宛先RSPAN VLANを指定するには、イネーブルEXECモードで次の手順を実行します。
SPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。
SPANセッションから送信元ポートまたはVLANを削除するには、 no monitor session session_number source { interface interface-id | vlan vlan-id } グローバル コンフィギュレーション コマンドを使用します。セッションからRSPAN VLANを削除するには、 no monitor session session_number destination remote vlan vlan-id コマンドを使用します。
次に、セッション1の既存のRSPAN設定を削除し、複数の送信元インターフェイスをモニタするようにRSPANセッション1を設定し、さらに宛先をRSPAN VLAN 901に設定する例を示します。
RSPAN宛先セッションの作成
RSPAN宛先セッションは別のスイッチまたはスイッチ スタック(送信元セッションが設定されていないスイッチまたはスイッチ スタック)に設定します。
スイッチ上でRSPAN VLANを定義し、RSPAN宛先セッションを作成し、送信元RSPAN VLANおよび宛先ポートを指定するには、イネーブルEXECモードで次の手順を実行します。
SPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。SPANセッションから宛先ポートを削除するには、 no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。セッションからRSPAN VLANを削除するには、 no monitor session session_number source remote vlan vlan-id コマンドを使用します。
次に、送信元リモートVLANとしてVLAN 901、宛先インターフェイスとしてポート1を設定する例を示します。
RSPAN宛先セッションの作成および入トラフィックの設定
RSPAN宛先セッションを作成し、送信元RSPAN VLANおよび宛先ポートを指定し、ネットワーク セキュリティ デバイス(Cisco IDSセンサ装置など)用の宛先ポート上の入トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
(注) 入トラフィックに関連しないキーワードの詳細については、「RSPAN宛先セッションの作成」を参照してください。この手順では、RSPAN VLANがすでに設定してあると想定しています。
RSPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。RSPANセッションから宛先ポートを削除するには、 no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。このコマンドの no 形式では、ingressオプションは無視されます。
次に、VLAN 901をRSPANセッション2の送信元リモートVLANに設定し、ギガビット イーサネット送信元ポート2を宛先インターフェイスとして設定し、VLAN 6がデフォルト入力VLANとして設定されたインターフェイス上で入力転送をイネーブルにする例を示します。
フィルタリングするVLANの指定
RSPAN送信元トラフィックを特定のVLANに制限するようにRSPAN送信元セッションを設定するには、イネーブルEXECモードで次の手順を実行します。
トランク ポート上のすべてのVLANをモニタするには、 no monitor session session_number filter vlan グローバル コンフィギュレーション コマンドを使用します。
次に、RSPANセッション2の既存の設定を削除し、トランク ポート2での受信トラフィックをモニタするようにRSPANセッション2を設定し、VLAN 1~5および9のトラフィックのみを宛先RSPAN VLAN 902に送信する例を示します。
SPANおよびRSPANステータスの表示
現在のSPANまたはRSPAN設定を表示するには、 show monitor ユーザEXECコマンドを使用します。 show running-config イネーブルEXECコマンドを使用すれば、設定されたSPANセッションまたはRSPANセッションを表示することもできます。
フィードバック