SPAN について
スイッチド ポート アナライザ(SPAN)機能(ポート ミラーリングまたはポート モニタリングとも呼ばれる)は、ネットワーク アナライザによる分析のためにネットワーク トラフィックを選択します。ネットワーク アナライザは、Cisco SwitchProbe またはその他のリモート モニタリング(RMON)プローブです。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
スイッチド ポート アナライザ(SPAN)機能(ポート ミラーリングまたはポート モニタリングとも呼ばれる)は、ネットワーク アナライザによる分析のためにネットワーク トラフィックを選択します。ネットワーク アナライザは、Cisco SwitchProbe またはその他のリモート モニタリング(RMON)プローブです。
SPAN 送信元とは、トラフィックをモニタリングできるインターフェイスを表します。Cisco Nexus デバイスは、SPAN 送信元として、イーサネット、ファイバ チャネル、仮想ファイバ チャネル、ポート チャネル、SAN ポート チャネル、VSAN、および VLAN をサポートします。VLAN または VSAN では、指定された VLAN または VSAN でサポートされているすべてのインターフェイスが SPAN 送信元として含まれます。イーサネット、ファイバ チャネル、および仮想ファイバ チャネルの送信元インターフェイスで、入力方向、出力方向、または両方向の SPAN トラフィックを選択できます。
入力送信元(Rx):この送信元ポートを介してデバイスに入るトラフィックは、SPAN 宛先ポートにコピーされます。
出力送信元(Tx):この送信元ポートを介してデバイスから出るトラフィックは、SPAN 宛先ポートにコピーされます。
VLAN アクセス コントロール リスト(VACL)を使用し、入力トラフィック(Rx)をフィルタ処理するように SPAN 送信元セッションを設定することもできます。
SPAN 送信元インターフェイスが 6 Gbps よりも大きいトラフィックを送信した場合、またはトラフィックがあまりにも急増した場合、デバイスは送信元インターフェイスでトラフィックをドロップします。送信元インターフェイスの実際のトラフィックのドロップを減らすために、SPAN 宛先に対して switchport monitor rate-limit 1G コマンドを使用できます。ただし、SPAN トラフィックは 1 Gbps に制限されます。
Cisco Nexus 34180YC プラットフォーム スイッチは、SPAN 送信元として VLAN をサポートしていません。
送信元ポート(モニタリング対象ポートとも呼ばれる)は、ネットワーク トラフィック分析のためにモニタリングするスイッチド インターフェイスです。スイッチは、任意の数の入力送信元ポート(スイッチで使用できる最大数のポート)と任意の数の送信元 VLAN をサポートします。
送信元ポートの特性は、次のとおりです。
イーサネット、ポート チャネル、または VLAN ポート タイプにできます。
宛先ポートには設定できません。
モニタする方向(入力、出力、または両方)を設定できます。VLAN 送信元の場合、モニタリング方向は入力のみであり、グループ内のすべての物理ポートに適用されます。RX と TX のオプションは、VLAN の SPAN セッションでは使用できません。
ACL を使用して入力トラフィックをフィルタし、ACL 基準に一致する情報のパケットのみがミラーリングされるようにすることができます。
同じまたは別の VLAN に設定できます。
SPAN 宛先とは、送信元ポートをモニタリングするインターフェイスを表します。Cisco Nexus シリーズ デバイスは、SPAN 宛先として、イーサネット インターフェイス インターフェイスをサポートします。
各ローカル SPAN セッションには、送信元ポートまたは VLAN からトラフィックのコピーを受信する宛先ポート(モニタリング ポートとも呼ばれる)が必要です。宛先ポートの特性は、次のとおりです。
すべての物理ポートが可能です。送信元イーサネットおよび FCoE ポートは、宛先ポートにできません。
送信元ポートにはなれません。
ポート チャネルにはできません。
SPAN セッションがアクティブなときは、スパニングツリーに参加しません。
任意の SPAN セッションの送信元 VLAN に属する場合、送信元リストから除外され、モニタリングされません。
すべてのモニタリング対象送信元ポートの送受信トラフィックのコピーを受信します。
SPAN には、次の注意事項と制限事項があります。
同じ送信元(イーサネットまたはポートチャネル)は、複数のセッションの一部にすることができます。宛先が異なる 2 つのモニタ セッションを設定することはできますが、同じ送信元 VLAN はサポートされていません。
VLAN 送信元セッションおよびポート送信元セッションの組み合わせはサポートされていません。トラフィック ストリームが VLAN 送信元セッションに加えてポート送信元セッションとも一致する場合、2 つの宛先ポートで 2 つのコピーが必要です。ハードウェアの制限により、VLAN 送信元 SPAN と特定の宛先ポートのみが SPAN パケットを受信します。
この制限は、次のシスコ デバイスに適用されます。
Cisco Nexus 3048TP |
Cisco Nexus 31128PQ |
Cisco Nexus 3132Q |
Cisco Nexus 3172PQ |
Cisco Nexus 3172TQ |
Cisco Nexus 3172TQ-XL |
複数の ACL フィルタは、同じ送信元でサポートされます。
show monitor session コマンドの出力には、送信元 VLAN のすべての方向が表示されますが、フィルタ VLAN のオプションは表示されません。
リリース NX-OS 5.0(3)U2(2) をインストールしてからソフトウェアを以前のバージョンにダウングレードすると、SPAN の設定は失われます。
リリース NX-OS 5.0(3)U2(2) にアップグレードする前に設定を保存し、ダウングレード後にローカル SPAN の設定を再適用する必要があります。
同様の ERSPAN の制約事項については、を参照してください。 ERSPAN の注意事項および制約事項
ACL フィルタリングは、Rx SPAN に対してのみサポートされます。Tx SPAN は、送信元インターフェイスで出力されるすべてのトラフィックをミラーリングします。
ACL フィルタリングは、TCAM(Ternary Content Addressable Memory)幅の制限により、IPv6 および MAC ACL ではサポートされていません。
SPAN TCAM サイズは、ASIC に応じて 128 または 256 です。1 つのエントリがデフォルトでインストールされ、4 つは ERSPAN 用に予約されます。
同じ送信元が複数の SPAN セッションで設定されていて、各セッションに ACL フィルタが設定されている場合、送信元インターフェイスは、最初のアクティブ SPAN セッションに対してのみプログラムされます。その他のセッションの ACE にプログラムされているハードウェア エントリは、この送信元インターフェイスには含まれません。
許可と拒否の両方のアクセス コントロール エントリ(ACE)は、同様に処理されます。ACE と一致するパケットは、ACL の許可エントリまたは拒否エントリを含んでいるかどうかに関係なく、ミラーリングされます。
(注) |
拒否 ACE により、パケットがドロップされることはありません。SPAN セッションに設定されている ACL によってのみ、パケットをミラーリングするかどうかが決まります。 |
パフォーマンス向上のため、SPAN には RX タイプの送信元トラフィックのみを使用することをお勧めします。RX トラフィックがカットスルーであるのに対し、TX はストア アンド フォワードであるためです。したがって、両方向(RX および TX)をモニタする場合、パフォーマンスは RX のみをモニタするときほど良好になりません。両方向のトラフィックをモニタする必要がある場合は、より多くの物理ポートで RX をモニタすると、トラフィックの両側をキャプチャすることができます。
Cisco Nexus 34180YC プラットフォーム スイッチには次の制限が適用されます。
VLAN は SPAN 送信元としてサポートされていません。
送信元として VLAN ポート タイプはサポートされていません。
VACL フィルタはサポートされていません。
ACL フィルタと VLAN フィルタはサポートされていません。
SPAN UDF ベースの ACL サポートはサポートされていません
同じ送信元を複数の SPAN セッションで設定することはできません。
SPAN および ERSPAN では、PortChannel は宛先インターフェイスとしてサポートされていません。
Cisco Nexus 34180YC プラットフォーム スイッチは、スイッチに設定されている合計で 32 セッションの SPAN および ERSPAN セッションをサポートします。32 すべてのセッションを同時にアクティブにできます。
filter access-group コマンドは、Cisco Nexus 34180YC プラットフォーム スイッチでサポートされていません。
スーパーバイザに対する SPAN はサポートされていません。
monitor session コマンドを使用してセッション番号を割り当てることによって、SPAN セッションを作成できます。セッションがすでに存在する場合、既存のセッションにさらに設定情報が追加されます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config)# monitor session session-number |
モニタ コンフィギュレーション モードを開始します。既存のセッション設定に新しいセッション設定が追加されます。 |
次に、SPAN モニタ セッションを設定する例を示します。
switch# configure terminal
switch(config) # monitor session 2
switch(config) #
SPAN 宛先ポートとしてイーサネット インターフェイスを設定できます。
(注) |
SPAN 宛先ポートは、スイッチ上の物理ポートにのみ設定できます。 |
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 |
switch(config)# interface ethernet slot/port |
指定されたスロットとポートでイーサネット インターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
||
ステップ 3 |
switch(config-if)# switchport monitor |
指定されたイーサネット インターフェイスのモニタ モードを開始します。ポートが SPAN 宛先として設定されている場合、プライオリティ フロー制御はディセーブルです。 |
||
ステップ 4 |
switch(config-if)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
||
ステップ 5 |
switch(config)# monitor session session-number |
指定した SPAN セッションのモニタ コンフィギュレーション モードを開始します。 |
||
ステップ 6 |
switch(config-monitor)# destination interface ethernet slot/port |
イーサネット SPAN 宛先ポートを設定します。
|
次に、イーサネット SPAN 宛先ポート(HIF)を設定する例を示します。
switch# configure terminal
switch(config)# interface ethernet100/1/24
switch(config-if)# switchport monitor
switch(config-if)# exit
switch(config)# monitor session 1
switch(config-monitor)# destination interface ethernet100/1/24
switch(config-monitor)#
次に、仮想イーサネット(VETH)SPAN 宛先ポートを設定する例を示します。
switch# configure terminal
switch(config)# interface vethernet10
switch(config-if)# switchport monitor
switch(config-if)# exit
switch(config)# monitor session 2
switch(config-monitor)# destination interface vethernet10
switch(config-monitor)#
モニタ セッション全体で SPAN トラフィックのレート制限を 1Gbps に設定することで、モニタされた実稼働トラフィックへの影響を回避できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config)# interface ethernet slot/port |
スロット値およびポート値による選択で指定されたイーサネット インターフェイスで、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
switch(config-if)# switchport monitor rate-limit 1G |
レート制限が 1 Gbps であることを指定します。 |
ステップ 4 |
switch(config-if)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
次に、イーサネット インターフェイス 1/2 の帯域幅を 1 Gbps に制限する例を示します。
switch(config)# interface ethernet 1/2
switch(config-if)# switchport monitor rate-limit 1G
switch(config-if)#
送信元ポートは、イーサネット ポートのみに設定できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config) # monitor session session-number |
指定したモニタリング セッションのモニタ コンフィギュレーション モードを開始します。 |
ステップ 3 |
switch(config-monitor) # source interface type slot/port [rx | tx | both ] |
イーサネット SPAN の送信元ポートを追加し、パケットを複製するトラフィック方向を指定します。イーサネット、ファイバ チャネル、または仮想ファイバ チャネルのポート範囲を入力できます。複製するトラフィック方向を、入力(Rx)、出力(Tx)、または両方向(both)として指定できます。デフォルトは both です。 |
次に、イーサネット SPAN 送信元ポートを設定する例を示します。
switch# configure terminal
switch(config)# monitor session 2
switch(config-monitor)# filter access-group acl1
switch(config-monitor)# source interface ethernet 1/16
switch(config-monitor)#
SPAN セッションに送信元チャネルを設定できます。これらのポートは、ポート チャネル、および VLAN に設定できます。モニタリング方向は入力、出力、またはその両方に設定でき、グループ内のすべての物理ポートに適用されます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config) # monitor session session-number |
指定した SPAN セッションのモニタ コンフィギュレーション モードを開始します。 |
ステップ 3 |
switch(config-monitor) # filter access-group access-map |
ACL リストに基づいて、送信元ポートで入力トラフィックをフィルタリングします。アクセスマップに使用されるアクセスリストと一致するパケットのみがスパニングされます。 |
ステップ 4 |
switch(config-monitor) # source {interface {port-channel } channel-number [rx | tx | both ] | vlan vlan-range} |
ポート チャネルまたは VLAN 送信元を設定します。VLAN 送信元の場合、モニタリング方向は暗黙的です。 |
次に、ポート チャネル SPAN 送信元を設定する例を示します。
switch# configure terminal
switch(config)# monitor session 2
switch(config-monitor)# filter access-group acl1
switch(config-monitor)# source interface port-channel 1 rx
switch(config-monitor)# source interface port-channel 3 tx
switch(config-monitor)# source interface port-channel 5 both
switch(config-monitor)#
次に、VLAN SPAN 送信元を設定する例を示します。
switch# configure terminal
switch(config)# monitor session 2
switch(config-monitor)# filter access-group acl1
switch(config-monitor)# source vlan 1
switch(config-monitor)#
参照しやすいように、SPAN セッションにわかりやすい名前を付けることができます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config) # monitor session session-number |
指定した SPAN セッションのモニタ コンフィギュレーション モードを開始します。 |
ステップ 3 |
switch(config-monitor) # description description |
SPAN セッションのわかりやすい名前を作成します。 |
次に、SPAN セッションの説明を設定する例を示します。
switch# configure terminal
switch(config) # monitor session 2
switch(config-monitor) # description monitoring ports eth2/2-eth2/4
switch(config-monitor) #
デフォルトでは、セション ステートは shut のままになります。送信元から宛先へパケットをコピーするセッションを開くことができます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config) # no monitor session {all | session-number} shut |
指定された SPAN セッションまたはすべてのセッションを開始します。 |
次に、SPAN セッションをアクティブにする例を示します。
switch# configure terminal
switch(config) # no monitor session 3 shut
デフォルトでは、セッション状態は shut です。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config) # monitor session {all | session-number} shut |
指定された SPAN セッションまたはすべてのセッションを一時停止します。 |
次に、SPAN セッションを一時停止する例を示します。
switch# configure terminal
switch(config) # monitor session 3 shut
switch(config) #
コマンドまたはアクション | 目的 |
---|---|
switch# show monitor [session {all | session-number | range session-range} [brief ]] |
SPAN 設定を表示します。 |
次に、SPAN セッションの情報を表示する例を示します。
switch# show monitor
SESSION STATE REASON DESCRIPTION
------- ----------- ---------------------- --------------------------------
2 up The session is up
3 down Session suspended
4 down No hardware resource
次に、SPAN セッションの詳細を表示する例を示します。
switch# show monitor session 2
session 2
---------------
type : local
state : up
source intf :
source VLANs :
rx : 100
tx :
both :
filter VLANs : filter not specified
destination ports : Eth3/1
SPAN セッションを設定する手順は、次のとおりです。
ステップ 1 |
アクセス モードで宛先ポートを設定し、SPAN モニタリングをイネーブルにします。 例:
|
ステップ 2 |
SPAN セッションを設定します。 例:
|
単一方向 SPAN セッションを設定するには、次の手順を実行します。
ステップ 1 |
アクセス モードで宛先ポートを設定し、SPAN モニタリングをイネーブルにします。 例:
|
ステップ 2 |
SPAN セッションを設定します。 例:
|
次に、SPAN ACL を設定する例を示します。
switch# configure terminal
switch(config)# ip access-list match_11_pkts
switch(config-acl)# permit ip 11.0.0.0 0.255.255.255 any
switch(config-acl)# exit
switch(config)# ip access-list match_12_pkts
switch(config-acl)# permit ip 12.0.0.0 0.255.255.255 any
switch(config-acl)# exit
switch(config)# vlan access-map span_filter 5
switch(config-access-map)# match ip address match_11_pkts
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# vlan access-map span_filter 10
switch(config-access-map)# match ip address match_12_pkts
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# monitor session 1
switch(config-erspan-src)# filter access-group span_filter
外部送信元 IP アドレス:10.0.0.2
内部 TCP フラグ:緊急 TCP フラグを設定
バイト:Eth Hdr(14)+ 外部 IP(20)+ 内部 IP(20)+ 内部 TCP(20、ただし、13 番目のバイトの TCP フラグ)
パケットの先頭からのオフセット:14 + 20 + 20 + 13 = 67
UDF の照合値:0x20
UDF マスク:0xFF
udf udf_tcpflags packet-start 67 1
hardware access-list tcam region racl qualify udf udf_tcpflags
copy running-config startup-config
reload
ip access-list acl-udf
permit ip 10.0.0.2/32 any udf udf_tcpflags 0x20 0xff
monitor session 1
source interface Ethernet 1/1
filter access-group acl-udf
外部送信元 IP アドレス:10.0.0.2
内部 TCP フラグ:緊急 TCP フラグを設定
バイト:Eth Hdr(14)+ IP(20)+ TCP(20)+ ペイロード:112233445566DEADBEEF7788
レイヤ 4 ヘッダーの先頭からのオフセット:20 + 6 = 26
UDF の照合値:0xDEADBEEF(2 バイトのチャンクおよび 2 つの UDF に分割)
UDF マスク:0xFFFFFFFF
udf udf_pktsig_msb header outer l3 26 2
udf udf_pktsig_lsb header outer l3 28 2
hardware access-list tcam region racl qualify udf udf_pktsig_msb udf_pktsig_lsb
copy running-config startup-config
reload
ip access-list acl-udf-pktsig
permit udf udf_pktsig_msb 0xDEAD 0xFFFF udf udf_pktsig_lsb 0xBEEF 0xFFFF
monitor session 1
source interface Ethernet 1/1
filter access-group acl-udf-pktsig