SPAN および ERSPAN の設定
ACI ファブリックでは、SPAN 機能を以下の 3 つのカテゴリで設定できます。
-
アクセス:リーフ ノードのアクセス ポートから発信されたトラフィックを監視します
-
ファブリック:リーフまたはスパイン ノードのファブリック ポートからのトラフィックを監視します
-
テナント:テナント内のエンドポイント グループ(EPG)からのトラフィックを監視します
次の表に、各セッションごとに異なる構成要素を示します。
Session Type |
Sources |
Filters |
Destination |
---|---|---|---|
アクセス ローカル |
1 つのリーフへのローカル アクセス ポート、ポート チャネル |
EPG |
送信元と同じリーフへのローカル ポート |
アクセス ERSPAN |
1 つ以上のリーフ ノード間のアクセス ポート、ポート チャネル、VPC |
EPG |
ファブリック内のいずれかの EPG |
ファブリック ERSPAN |
1 つ以上のリーフまたはスパイン ノード内のファブリック ポート |
BD または VRF |
ファブリック内のいずれかの EPG |
テナント ERSPAN |
ファブリック内のいずれかの EPG |
- |
ファブリック内のいずれかの EPG |
SPAN の注意事項と制約事項
-
SPAN はトラブルシューティングのためにのみ使用してください。SPAN トラフィックはスイッチ リソースのユーザ トラフィックと競合します。負荷を最小限にするには、分析対象の特定のトラフィックだけをコピーするように SPAN を設定します。
-
SPAN 送信元として l3extLIfP のレイヤ 3 サブインターフェイスを指定することはできません。外部ソースからのトラフィックをモニタリングするためにはポート全体を使用します。
-
FEX インターフェイス用のローカル SPAN では、FEX インターフェイスは、SPAN 送信元としてのみ使用できます。SPAN の宛先としては使用できません。第 1 世代のスイッチ (スイッチ名に EX または FX の付かない Cisco Nexus 9000 シリーズのスイッチ) では、Tx SPAN はどのレイヤ 3 のスイッチ トラフィックでも機能しません。第 2 世代のスイッチ (スイッチ名に EX または FX の付くもの) では、トラフィックがレイヤ 2 またはレイヤ 3 でスイッチされたものである場合、Tx SPAN は機能しません。Rx SPAN に制限はありません。
-
テナントおよびアクセス SPAN は カプセル化リモート拡張 SPAN(ERSPAN)タイプ I を使用し、ファブリック SPAN は ERSPAN タイプ II を使用します。ERSPAN ヘッダーについては、IETF の Internet Draft(https://tools.ietf.org/html/draft-foschiano-erspan-00)を参照してください。
-
ファブリックでは ERSPAN の宛先 IP をエンドポイントとして学習する必要があります。
-
SPAN は IPv6 トラフィックをサポートしますが、ERSPAN の宛先 IP を IPv6 アドレスにすることはできません。
-
アクティブな SPAN セッションの最大数など、SPAN 関連の制限については、『Verified Scalability Guide for Cisco ACI』 ドキュメントを参照してください。
アクセス モードの SPAN の設定
これは、アクセス リーフ ノードにローカルに適用される従来の SPAN 設定です。1 つ以上のアクセス ポートまたはポートチャネルから送信されるトラフィックは監視でき、同じリーフ ノードにローカルな宛先ポートに送信できます。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] monitor access session session-name 例:
|
アクセス モニタリング セッションの設定を作成します。 |
ステップ 3 |
[no] description text 例:
|
このアクセス モニタリング セッションについての説明を追加します。テキストにスペースが含まれている場合は、単一引用符で囲む必要があります。 |
ステップ 4 |
[no] destination interface ethernet slot/port leaf node-id 例:
|
宛先インターフェイスを指定します。宛先インターフェイスを FEX ポートまたはポートチャネルにすることはできません。 |
ステップ 5 |
[no] source interface ethernet { [fex/] slot/port | port-range} leaf node-id 例:
|
送信元インターフェイス ポートまたはポート範囲を指定します。 |
ステップ 6 |
[no] direction {rx | tx | both } 例:
|
監視対象のトラフィックの方向を指定します。方向は各発信元ポート範囲で個別に設定できます。 |
ステップ 7 |
[no] filter tenant tenant-name application application-name epg epg-name 例:
|
監視対象のトラフィックをフィルタします。フィルタは、各送信元ポート範囲で個別に設定できます。 |
ステップ 8 |
exit 例:
|
アクセス モニタ セッション コンフィギュレーション モードに戻ります。 |
ステップ 9 |
[no] source interface port-channel port-channel-name-list leaf node-id [fex fex-id] 例:
|
送信元インターフェイスのポート チャネルを指定します (ここに示されていないトラフィック方向とフィルタ設定を入力します)。 |
ステップ 10 |
[no] shutdown 例:
|
モニタリング セッションをディセーブル(またはイネーブル)にします。 |
例
次に、ローカル アクセス モニタリング セッションを設定する例を示します。
apic1# configure terminal
apic1(config)# monitor access session mySession
apic1(config-monitor-access)# description "This is my SPAN session"
apic1(config-monitor-access)# destination interface eth 1/2 leaf 101
apic1(config-monitor-access)# source interface eth 1/1 leaf 101
apic1(config-monitor-access-source)# direction tx
apic1(config-monitor-access-source)# filter tenant t1 application app1 epg epg1
apic1(config-monitor-access-source)# exit
apic1(config-monitor-access)# no shut
apic1(config-monitor-access)# show run
# Command: show running-config monitor access session mySession
# Time: Fri Nov 6 23:55:35 2015
monitor access session mySession
description "This is my SPAN session"
destination interface eth 1/2 leaf 101
source interface eth 1/1 leaf 101
direction tx
filter tenant t1 application app1 epg epg
exit
exit
アクセス モードの ERSPAN の設定
ACI ファブリックでは、アクセス モード ERSPAN の設定は、1 つ以上のリーフ ノードのアクセス ポート、ポート チャネル、および vPC から発信されたトラフィックの監視に使用できます。
ERSPAN セッションの場合、宛先は常にファブリック内のどこにでも展開できるエンドポイント グループ(EPG)です。監視対象のトラフィックは、EPG が移動するたびに宛先に転送されます。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] monitor access session session-name 例:
|
アクセス モニタリング セッションの設定を作成します。 |
ステップ 3 |
[no] description text 例:
|
このモニタリング セッションの説明を追加します。テキストにスペースが含まれている場合は、単一引用符で囲む必要があります。 |
ステップ 4 |
[no] destination tenant tenant-name application application-name epg epg-name destination-ip dest-ip-address source-ip-prefix src-ip-address 例:
|
宛先インターフェイスをテナントとして指定し、宛先コンフィギュレーション モードを開始します。 |
ステップ 5 |
[no] erspan-id flow-id 例:
|
ERSPAN セッションの ERSPAN ID を設定します。ERSPAN の範囲は 1 ~ 1023 です。 |
ステップ 6 |
[no] ip dscp dscp-code 例:
|
ERSPAN トラフィックのパケットの DiffServ コード ポイント(DSCP)値を設定します。指定できる範囲は 0 ~ 64 です。 |
ステップ 7 |
[no] ip ttl ttl-value 例:
|
ERSPAN トラフィックの IP 存続可能時間(TTL)値を設定します。範囲は 1 ~ 255 です。 |
ステップ 8 |
[no] mtu mtu-value 例:
|
ERSPAN セッションの最大伝送単位(MTU)サイズを設定します。有効な範囲は 64 ~ 9216 バイトです。 |
ステップ 9 |
exit 例:
|
モニタ アクセス コンフィギュレーション モードに戻ります。 |
ステップ 10 |
[no] source interface ethernet { [fex/] slot/port | port-range} leaf node-id 例:
|
送信元インターフェイス ポートまたはポート範囲を指定します。 |
ステップ 11 |
[no] source interface port-channel port-channel-name-list leaf node-id [fex fex-id] 例:
|
送信元インターフェイス ポート チャネルを指定します。 |
ステップ 12 |
[no] source interface vpc vpc-name-list leaf node-id1 node-id2 [fex fex-id1 fex-id2] 例:
|
送信元インターフェイス vPC を指定します。 |
ステップ 13 |
[no] direction {rx | tx | both } 例:
|
監視対象のトラフィックの方向を指定します。方向は各発信元ポート範囲で個別に設定できます。 |
ステップ 14 |
[no] filter tenant tenant-name application application-name epg epg-name 例:
|
監視対象のトラフィックをフィルタします。フィルタは、各送信元ポート範囲で個別に設定できます。 |
ステップ 15 |
exit 例:
|
アクセス モニタ セッション コンフィギュレーション モードに戻ります。 |
ステップ 16 |
[no] shutdown 例:
|
モニタリング セッションをディセーブル(またはイネーブル)にします。 |
例
この例では、ERSPAN アクセス モニタリング セッションを設定する方法を示します。
apic1# configure terminal
apic1(config)# monitor access session mySession
apic1(config-monitor-access)# description "This is my access ERSPAN session"
apic1(config-monitor-access)# destination tenant t1 application app1 epg epg1 destination-ip 192.0.20.123 source-ip-prefix 10.0.20.1
apic1(config-monitor-access-dest)# erspan-id 100
apic1(config-monitor-access-dest)# ip dscp 42
apic1(config-monitor-access-dest)# ip ttl 16
apic1(config-monitor-access-dest)# mtu 9216
apic1(config-monitor-access-dest)# exit
apic1(config-monitor-access)# source interface eth 1/1 leaf 101
apic1(config-monitor-access-source)# direction tx
apic1(config-monitor-access-source)# filter tenant t1 application app1 epg epg1
apic1(config-monitor-access-source)# exit
apic1(config-monitor-access)# no shut
apic1(config-monitor-access)# show run
# Command: show running-config monitor access session mySession
# Time: Fri Nov 6 23:55:35 2015
monitor access session mySession
description "This is my ERSPAN session"
source interface eth 1/1 leaf 101
direction tx
filter tenant t1 application app1 epg epg1
exit
destination tenant t1 application app1 epg epg1 destination-ip 192.0.20.123 source-ip-prefix 10.0.20.1
ip dscp 42
ip ttl 16
erspan-id 9216
mtu 9216
exit
exit
この例では、監視元としてポート チャネルを設定する方法を示します。
apic1(config-monitor-access)# source interface port-channel pc3 leaf 105
この例では、監視元として vPC レッグの 1 つを設定する方法を示します。
apic1(config-monitor-access)# source interface port-channel vpc3 leaf 105
この例では、監視元として FEX 101 からポートの範囲を設定する方法を示します。
apic1(config-monitor-access)# source interface eth 101/1/1-2 leaf 105
ファブリック モードの ERSPAN の設定
ACI ファブリックのファブリック モード ERSPAN 設定を使用すると、リーフ/スパイン ノードの 1 つ以上のファブリック ポートから発信されるトラフィックをモニタリングできます。ローカル SPAN はファブリック モードではサポートされていません。
ERSPAN セッションの場合、宛先は常にファブリック内のどこにでも展開できるエンドポイント グループ(EPG)です。監視対象のトラフィックは、EPG が移動するたびに宛先に転送されます。ファブリック モードでは、送信元としてファブリック ポートのみが許可されますが、リーフ スイッチとスパイン スイッチは両方とも許可されます。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] monitor fabric session session-name 例:
|
ファブリック モニタリング セッション設定を作成します。 |
ステップ 3 |
[no] description text 例:
|
このモニタリング セッションの説明を追加します。テキストにスペースが含まれている場合は、単一引用符で囲む必要があります。 |
ステップ 4 |
[no] destination tenant tenant-name application application-name epg epg-name destination-ip dest-ip-address source-ip-prefix src-ip-address 例:
|
宛先インターフェイスをテナントとして指定し、宛先コンフィギュレーション モードを開始します。 |
ステップ 5 |
[no] erspan-id flow-id 例:
|
ERSPAN セッションの ERSPAN ID を設定します。ERSPAN の範囲は 1 ~ 1023 です。 |
ステップ 6 |
[no] ip dscp dscp-code 例:
|
ERSPAN トラフィックのパケットの DiffServ コード ポイント(DSCP)値を設定します。指定できる範囲は 0 ~ 64 です。 |
ステップ 7 |
[no] ip ttl ttl-value 例:
|
ERSPAN トラフィックの IP 存続可能時間(TTL)値を設定します。範囲は 1 ~ 255 です。 |
ステップ 8 |
[no] mtu mtu-value 例:
|
ERSPAN セッションの最大伝送単位(MTU)サイズを設定します。有効な範囲は 64 ~ 9216 バイトです。 |
ステップ 9 |
exit 例:
|
モニタ アクセス コンフィギュレーション モードに戻ります。 |
ステップ 10 |
[no] source interface ethernet {slot/port | port-range} switch node-id 例:
|
送信元インターフェイス ポートまたはポート範囲を指定します。 |
ステップ 11 |
[no] direction {rx | tx | both } 例:
|
監視対象のトラフィックの方向を指定します。方向は各発信元ポート範囲で個別に設定できます。 |
ステップ 12 |
[no] filter tenant tenant-name bd bd-name 例:
|
ブリッジ ドメインによりトラフィックをフィルタ処理します。 |
ステップ 13 |
[no] filter tenant tenant-name vrf vrf-name 例:
|
VRF によりトラフィックをフィルタ処理します。 |
ステップ 14 |
exit 例:
|
アクセス モニタ セッション コンフィギュレーション モードに戻ります。 |
ステップ 15 |
[no] shutdown 例:
|
モニタリング セッションをディセーブル(またはイネーブル)にします。 |
例
次に、ERSPAN ファブリック モニタリング セッションを設定する例を示します。
apic1# configure terminal
apic1(config)# monitor fabric session mySession
apic1(config-monitor-fabric)# description "This is my fabric ERSPAN session"
apic1(config-monitor-fabric)# destination tenant t1 application app1 epg epg1 destination-ip 192.0.20.123 source-ip-prefix 10.0.20.1
apic1(config-monitor-fabric-dest)# erspan-id 100
apic1(config-monitor-fabric-dest)# ip dscp 42
apic1(config-monitor-fabric-dest)# ip ttl 16
apic1(config-monitor-fabric-dest)# mtu 9216
apic1(config-monitor-fabric-dest)# exit
apic1(config-monitor-fabric)# source interface eth 1/1 switch 101
apic1(config-monitor-fabric-source)# direction tx
apic1(config-monitor-fabric-source)# filter tenant t1 bd bd1
apic1(config-monitor-fabric-source)# filter tenant t1 vrf vrf1
apic1(config-monitor-fabric-source)# exit
apic1(config-monitor-fabric)# no shut
テナント モードの ERSPAN の設定
ACI ファブリックのテナント モード ERSPAN 設定を使用すると、テナント内のエンドポイント グループから発信されるトラフィックをモニタリングできます。
テナント モードでは、送信元 EPG から発信されるトラフィックは同じテナント内の宛先 EPG に送信されます。トラフィックのモニタリングは、送信元または宛先 EPG がファブリック内を移動した場合に影響を受けません。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
[no] monitor tenant tenant-name session session-name 例:
|
テナント モニタリング セッション設定を作成します。 |
ステップ 3 |
[no] description text 例:
|
このアクセス モニタリング セッションについての説明を追加します。テキストにスペースが含まれている場合は、単一引用符で囲む必要があります。 |
ステップ 4 |
[no] destination tenant tenant-name application application-name epg epg-name destination-ip dest-ip-address source-ip-prefix src-ip-address 例:
|
宛先インターフェイスをテナントとして指定し、宛先コンフィギュレーション モードを開始します。 |
ステップ 5 |
[no] erspan-id flow-id 例:
|
ERSPAN セッションの ERSPAN ID を設定します。ERSPAN の範囲は 1 ~ 1023 です。 |
ステップ 6 |
[no] ip dscp dscp-code 例:
|
ERSPAN トラフィックのパケットの DiffServ コード ポイント(DSCP)値を設定します。指定できる範囲は 0 ~ 64 です。 |
ステップ 7 |
[no] ip ttl ttl-value 例:
|
ERSPAN トラフィックの IP 存続可能時間(TTL)値を設定します。範囲は 1 ~ 255 です。 |
ステップ 8 |
[no] mtu mtu-value 例:
|
ERSPAN セッションの最大伝送単位(MTU)サイズを設定します。有効な範囲は 64 ~ 9216 バイトです。 |
ステップ 9 |
exit 例:
|
モニタ アクセス コンフィギュレーション モードに戻ります。 |
ステップ 10 |
[no] source application application-name epg epg-name 例:
|
送信元インターフェイス ポートまたはポート範囲を指定します。 |
ステップ 11 |
[no] direction {rx | tx | both } 例:
|
監視対象のトラフィックの方向を指定します。方向は各発信元ポート範囲で個別に設定できます。 |
ステップ 12 |
exit 例:
|
アクセス モニタ セッション コンフィギュレーション モードに戻ります。 |
ステップ 13 |
[no] shutdown 例:
|
モニタリング セッションをディセーブル(またはイネーブル)にします。 |
例
次に、ERSPAN テナント モニタリング セッションを設定する例を示します。
apic1# configure terminal
apic1(config)# monitor access session mySession
apic1(config-monitor-tenant)# description "This is my tenant ERSPAN session"
apic1(config-monitor-tenant)# destination tenant t1 application app1 epg epg1 destination-ip 192.0.20.123 source-ip-prefix 10.0.20.1
apic1(config-monitor-tenant-dest)# erspan-id 100
apic1(config-monitor-tenant-dest)# ip dscp 42
apic1(config-monitor-tenant-dest)# ip ttl 16
apic1(config-monitor-tenant-dest)# mtu 9216
apic1(config-monitor-tenant-dest)# exit
apic1(config-monitor-tenant)# source application app2 epg epg5
apic1(config-monitor-tenant-source)# direction tx
apic1(config-monitor-tenant-source)# exit
apic1(config-monitor-tenant)# no shut