Cisco Nexus 9000 シリーズ NX-OS システム管理コンフィギュレーション ガイド リリース 6.x
ERSPAN の設定
ERSPAN の設定

ERSPAN の設定

この章は、カプセル化リモート スイッチド ポート アナライザ(ERSPAN)を Cisco NX-OS デバイスの IP ネットワークでミラーリングされたトラフィックを転送するように設定する方法について説明します。

この章の内容は、次のとおりです。

ERSPAN について

ERSPAN は、IP ネットワークでミラーリングされたトラフィックを転送して、ネットワーク内で複数のスイッチのリモート モニタリングを提供します。 トラフィックは、送信元ルータでカプセル化され、ネットワーク間を転送されます。 パケットは宛先ルータでカプセル化解除され、宛先インターフェイスに送信されます。

ERSPAN タイプ

Cisco Nexus 9000 シリーズ スイッチは ERSPAN タイプ II のみをサポートします。

ERSPAN 送信元

トラフィックをモニタできるモニタ元インターフェイスのことを ERSPAN ソースと呼びます。 送信元では、監視するトラフィックを指定し、さらに入力、出力、または両方向のトラフィックをコピーするかどうかを指定します。 ERSPAN 送信元には次のものが含まれます。
  • イーサネット ポート(サブインターフェイスではない)
  • ポート チャネル
  • コントロール プレーン CPU への帯域内インターフェイス。
  • VLAN

    (注)  


    VLAN が ERSPAN 送信元として指定されている場合は、VLAN 内でサポートされているすべてのインターフェイスが ERSPAN 送信元になります。

(注)  


1 つの ERSPAN セッションに、上述の送信元を組み合わせて使用できます。

ERSPAN セッション

モニタする送信元を指定する ERSPAN セッションを作成できます。

High Availability(高可用性)

ERSPAN 機能はステートレス およびステートフル リスタートをサポートします。 リブートまたはスーパーバイザ スイッチオーバー後に、実行コンフィギュレーションを適用します。

ハイ アベイラビリティの詳細については、『Cisco Nexus 9000 Series NX-OS High Availability and Redundancy Guide』を参照してください。

ERSPAN のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

ERSPAN にはライセンスは不要です。 ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。 Cisco NX-OS ライセンス方式の詳細については、Cisco NX-OS Licensing Guide』を参照してください。

ERSPAN の前提条件

ERSPAN には、次の前提条件があります。

  • 各デバイス上で、まず所定の ERSPAN 設定をサポートするポートを設定する必要があります。 詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。

ERSPAN の注意事項および制約事項

ERSPAN 設定時の注意事項と制約事項は次のとおりです。

  • ERSPAN セッションの制限については、『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。
  • ERSPAN 送信元セッションだけがサポートされています。 宛先セッションはサポートされません。
  • すべての ERSPAN レプリケーションはハードウェアで行われます。 スーパーバイザ CPU は関与しません。
  • スーパーバイザによって生成されたコントロール プレーン パケットは、ERSPAN カプセル化または ERSPAN アクセス コントロール リスト(ACL)によるフィルタ処理をすることはできません。
  • ERSPAN と ERSPAN ACL セッションは、宛先ルータで同様に終了します。
  • ERSPAN ACL はレイヤ 3 インターフェイス(入力のみ)でのみサポートされます。
  • ERSPAN は、管理ポートではサポートされません。
  • ERSPAN は、入力送信元セッションだけをサポートします。
  • 送信元ポートで ERSPAN をイネーブルにしてから、動作上アクティブになることができます。 レイヤ 2 ポートの場合、これらのポートが含まれる VLAN にフラッディングされるトラフィックは、リンクがポートに接続されていない場合でもキャプチャされます。
  • 入力と出力の両方が設定されている VLAN ERSPAN セッションでは、パケットが同じ VLAN 上でスイッチングされる場合に、宛先ポートから 2 つのパケット(入力側から 1 つ、出力側から 1 つ)が転送されます。
  • VLAN ERSPAN がモニタするのは、VLAN のレイヤ 2 ポートを出入りするトラフィックだけです。
  • ERSPAN はレイヤ 3 モードでサポートされます。 レイヤ 3 サブインターフェイスはサポートされません。
  • vPC で ERSPAN をイネーブルにし、ERSPAN パケットが vPC を介して宛先にルーティングされる必要がある場合は、vPC ピア リンクを通過するパケットはキャプチャできません。

デフォルト設定

次の表に、ERSPAN パラメータのデフォルト設定を示します。

表 1 デフォルトの ERSPAN パラメータ

パラメータ(Parameters)

デフォルト

ERSPAN セッション

シャット ステートで作成されます。

ERSPAN の設定


(注)  


この機能の Cisco NX-OS コマンドは、Cisco IOS のコマンドとは異なる場合があるので注意してください。


ERSPAN 送信元セッションの設定

ERSPAN セッションを設定できるのはローカル デバイス上だけです。 デフォルトでは、ERSPAN セッションはシャット ステートで作成されます。


(注)  


ERSPAN は送信元に関係なく、スーパーバイザによって生成されるパケットをモニタしません。


手順
     コマンドまたはアクション目的
    ステップ 1configure terminal


    例:
    switch# configure terminal
    switch(config)#
    
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2monitor erspan origin ip-address ip-address global


    例:
    switch(config)# monitor erspan origin ip-address 10.0.0.1 global
     

    ERSPAN のグローバルな送信元 IP アドレスを設定します。

     
    ステップ 3no monitor session {session-number | all}


    例:
    switch(config)# no monitor session 3
     

    指定した ERSPAN セッションの設定を消去します。 新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。

     
    ステップ 4monitor session {session-number | all} type erspan-source [shut]


    例:
    switch(config)# monitor session 3 type erspan-source
    switch(config-erspan-src)#
     

    ERSPAN タイプ II 送信元セッションを設定します。 デフォルトでは、セッションは双方向です。 オプションの shut キーワードは、選択したセッションに対して shut ステートを指定します。

     
    ステップ 5description description


    例:
    switch(config-erspan-src)# description erspan_src_session_3
     

    セッションの説明を設定します。 デフォルトでは、説明は定義されません。 説明には最大 32 の英数字を使用できます。

     
    ステップ 6source {interface type | vlan {number | range}} [rx | tx | both]


    例:
    switch(config-erspan-src)# source interface ethernet 2/1-3, ethernet 3/1 rx


    例:
    switch(config-erspan-src)# source interface port-channel 2


    例:
    switch(config-erspan-src)# source interface sup-eth 0 both


    例:
    switch(config-erspan-src)# source vlan 3, 6-8 rx


    例:
    switch(config-erspan-src)# source interface ethernet 101/1/1-3
     

    送信元およびパケットをコピーするトラフィックの方向を設定します。 一定範囲のイーサネット ポート、ポート チャネル、インバンド インターフェイス。

    送信元は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。

    コピーするトラフィックの方向には、入力、出力、または両方を指定できます。 デフォルトは双方向です。

    (注)      送信元 VLAN は、入力(rx)方向にのみサポートされます。

    単一方向のセッションには、送信元の方向はセッションで指定された方向に一致する必要があります。

     
    ステップ 7ステップ 6 を繰り返して、すべての ERSPAN 送信元を設定します。   (任意)

     
    ステップ 8filter vlan {number | range}


    例:
    switch(config-erspan-src)# filter vlan 3-5, 7
     
    (任意)

    設定された送信元から選択する VLAN を設定します。 VLAN は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。 VLAN の範囲については、『Cisco Nexus 9000 Series NX-OS Layer 2 Switching Configuration Guide』を参照してください。

     
    ステップ 9ステップ 8 を繰り返して、すべての送信元 VLAN のフィルタリングを設定します。   (任意)

     
    ステップ 10filter access-group acl-filter


    例:
    switch(config-erspan-src)# filter access-group ACL1
     
    (任意)
    ACL を ERSPAN セッションにアソシエートします。
    (注)     

    標準の ACL 設定プロセスを使用して ACL を作成できます。 詳細については、『Cisco Nexus 9000 Series NX-OS Security Configuration Guide』を参照してください。

     
    ステップ 11destination ip ip-address


    例:
    switch(config-erspan-src)# destination ip 10.1.1.1
     

    ERSPAN セッションの宛先 IP アドレスを設定します。 ERSPAN 送信元セッションごとに 1 つの宛先 IP アドレスのみがサポートされます。

     
    ステップ 12erspan-id erspan-id


    例:
    switch(config-erspan-src)# erspan-id 5
     

    ERSPAN 送信元セッションの ERSPAN ID を設定します。 ERSPAN の範囲は 1 ~ 1023 です。

     
    ステップ 13vrf vrf-name


    例:
    switch(config-erspan-src)# vrf default
     

    ERSPAN 送信元セッションがトラフィックの転送に使用する仮想ルーティングおよびフォワーディング(VRF)インスタンスを設定します。 VRF 名には最大 32 文字の英数字を使用できます。大文字と小文字は区別されます。

     
    ステップ 14ip ttl ttl-number


    例:
    switch(config-erspan-src)# ip ttl 25
     
    (任意)

    ERSPAN トラフィックの IP 存続可能時間(TTL)値を設定します。 範囲は 1 ~ 255 です。

     
    ステップ 15ip dscp dscp-number


    例:
    switch(config-erspan-src)# ip dscp 42
     
    (任意)

    ERSPAN トラフィックのパケットの DiffServ コード ポイント(DSCP)値を設定します。 範囲は 0 ~ 63 です。

     
    ステップ 16no shut


    例:
    switch(config-erspan-src)# no shut
     

    ERSPAN 送信元セッションをイネーブルにします。 デフォルトでは、セッションはシャット ステートで作成されます。

     
    ステップ 17exit


    例:
    switch(config-erspan-src)# exit
    switch(config)#
     

    モニタ コンフィギュレーション モードを終了します。

     
    ステップ 18show monitor session {all | session-number | range session-range} [brief]


    例:
    switch(config)# show monitor session 3
     
    (任意)

    ERSPAN セッション設定を表示します。

     
    ステップ 19show running-config monitor


    例:
    switch(config)# show running-config monitor
     
    (任意)

    ERSPAN の実行コンフィギュレーションを表示します。

     
    ステップ 20show startup-config monitor


    例:
    switch(config)# show startup-config monitor
     
    (任意)

    ERSPAN のスタートアップ コンフィギュレーションを表示します。

     
    ステップ 21copy running-config startup-config


    例:
    switch(config)# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    ERSPAN セッションのシャットダウンまたはアクティブ化

    ERSPAN セッションをシャットダウンすると、送信元から宛先へのパケットのコピーを切断できます。 1 セッションをシャット ダウンしてハードウェア リソースを解放し、別のセッションをイネーブルにできます。 デフォルトでは、ERSPAN セッションはシャット ステートで作成されます。

    ERSPAN セッションをイネーブルにすると、送信元から宛先へのパケットのコピーをアクティブ化できます。 すでにイネーブルになっていて、動作状況がダウンの ERSPAN セッションをイネーブルにするには、そのセッションをいったんシャットダウンしてから、改めてイネーブルにする必要があります。 ERSPAN セッション ステートをシャットダウンおよびイネーブルにするには、グローバルまたはモニタ コンフィギュレーション モードのいずれかのコマンドを使用できます。

    手順
       コマンドまたはアクション目的
      ステップ 1configure terminal


      例:
      switch# configure terminal
      switch(config)#
      
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 monitor session {session-range | all} shut


      例:
      switch(config)# monitor session 3 shut
       

      指定の ERSPAN セッションをシャットダウンします。 デフォルトでは、セッションはシャット ステートで作成されます。

       
      ステップ 3no monitor session {session-range | all} shut


      例:
      switch(config)# no monitor session 3 shut
       

      指定の ERSPAN セッションを再開(イネーブルに)します。 デフォルトでは、セッションはシャット ステートで作成されます。

      モニタ セッションがイネーブルで動作状況がダウンの場合、セッションをイネーブルにするには、最初に monitor session shut コマンドを指定してから、no monitor session shut コマンドを続ける必要があります。

       
      ステップ 4monitor session session-number type erspan-source


      例:
      switch(config)# monitor session 3 type erspan-source
      switch(config-erspan-src)#
       

      ERSPAN 送信元タイプのモニタ コンフィギュレーション モードを開始します。 新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。

       
      ステップ 5monitor session session-number type erspan-destination


      例:
      switch(config-erspan-src)# monitor session 3 type erspan-destination
       

      ERSPAN 宛先タイプのモニタ コンフィギュレーション モードを開始します。

       
      ステップ 6shut


      例:
      switch(config-erspan-src)# shut
       

      ERSPAN セッションをシャットダウンします。 デフォルトでは、セッションはシャット ステートで作成されます。

       
      ステップ 7no shut


      例:
      switch(config-erspan-src)# no shut
       

      ERSPAN セッションをイネーブルにします。 デフォルトでは、セッションはシャット ステートで作成されます。

       
      ステップ 8exit


      例:
      switch(config-erspan-src)# exit
      switch(config)#
       

      モニタ コンフィギュレーション モードを終了します。

       
      ステップ 9show monitor session all


      例:
      switch(config)# show monitor session all
       
      (任意)

      ERSPAN セッションのステータスを表示します。

       
      ステップ 10show running-config monitor


      例:
      switch(config)# show running-config monitor
       
      (任意)

      ERSPAN の実行コンフィギュレーションを表示します。

       
      ステップ 11show startup-config monitor


      例:
      switch(config)# show startup-config monitor
       
      (任意)

      ERSPAN のスタートアップ コンフィギュレーションを表示します。

       
      ステップ 12copy running-config startup-config


      例:
      switch(config)# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      ERSPAN 設定の確認

      ERSPAN の設定を表示するには、次のいずれかの作業を行います。

      コマンド

      目的

      show monitor session {all | session-number | range session-range} [brief]

      ERSPAN セッション設定を表示します。

      show running-config monitor

      ERSPAN の実行コンフィギュレーションを表示します。

      show startup-config monitor

      ERSPAN のスタートアップ コンフィギュレーションを表示します。

      ERSPAN の設定例

      単一方向 ERSPAN セッションの設定例

      次に、単一方向 ERSPAN セッションを設定する例を示します。

      switch# configure terminal
      switch(config)# interface ethernet 14/30
      switch(config-if)# no shut
      switch(config-if)# exit
      switch(config)# no monitor session 3
      switch(config)# monitor session 3 rx
      switch(config-erspan-src)# source interface ethernet 2/1-3 rx
      switch(config-erspan-src)# erspan-id 1
      switch(config-erspan-src)# ip ttl 16
      switch(config-erspan-src)# ip dscp 5
      switch(config-erspan-src)# vrf default
      switch(config-erspan-src)# destination ip 9.1.1.2
      switch(config-erspan-src)# no shut
      switch(config-erspan-src)# exit
      switch(config)# show monitor session 1
      
      

      ERSPAN ACL の設定例

      次に、ERSPAN ACL を設定する例を示します。

      switch# configure terminal
      switch(config)# ip access-list match_11_pkts
      switch(config-acl)# permit ip 11.0.0.0 0.255.255.255 any
      switch(config-acl)# exit
      switch(config)# ip access-list match_12_pkts
      switch(config-acl)# permit ip 12.0.0.0 0.255.255.255 any
      switch(config-acl)# exit
      switch(config)# vlan access-map erspan_filter 5
      switch(config-access-map)# match ip address match_11_pkts
      switch(config-access-map)# action forward
      switch(config-access-map)# exit
      switch(config)# vlan access-map erspan_filter 10
      switch(config-access-map)# match ip address match_12_pkts
      switch(config-access-map)# action forward
      switch(config-access-map)# exit
      switch(config)# monitor session 1 type erspan-source
      switch(config-erspan-src)# header-type 3
      switch(config-erspan-src)# filter access_group erspan_filter