Cisco Nexus 9000 シリーズ NX-OS システム管理コンフィギュレーション ガイド リリース 6.x
SPAN の設定
SPAN の設定

SPAN の設定

この章では、Cisco NX-OS デバイス上のポート間のトラフィックを分析するようにイーサネット スイッチド ポート アナライザ(SPAN)を設定する方法について説明します。

この章の内容は、次のとおりです。

SPAN の概要

SPAN は、外付けアナライザが接続された宛先ポートに SPAN セッション トラフィックを送ることで、送信元ポート間のすべてのトラフィックを分析します。

ローカル デバイス上で、SPAN セッションでモニタする送信元と宛先を定義できます。

SPAN 送信元

トラフィックを監視できる監視元インターフェイスのことを SPAN 送信元と呼びます。 送信元では、監視するトラフィックを指定し、さらに入力、出力、または両方向のトラフィックをコピーするかどうかを指定します。 SPAN 送信元には次のものが含まれます。

  • イーサネット ポート(サブインターフェイスではない)
  • ポート チャネル
  • コントロール プレーン CPU への帯域内インターフェイス。

    (注)  


    SPAN 送信元としてスーパーバイザ インバンド インターフェイスを指定すると、デバイスはスーパーバイザ ハードウェアに入力方向に到達したすべてのパケットをモニタします。
  • VLAN

    (注)  


    VLAN を SPAN 送信元として指定すると、VLAN 内でサポートされているすべてのインターフェイスが SPAN 送信元になります。

(注)  


1 つの SPAN セッションに、上述の送信元を組み合わせて使用できます。

送信元ポートの特性

SPAN 送信元ポートには、次の特性があります。

  • 送信元ポートとして設定されたポートを宛先ポートとしても設定することはできません。
  • スーパーバイザ帯域内インターフェイスを SPAN 送信元として使用する場合、次のパケットがモニタされます。
    • スーパーバイザ ハードウェアに着信するすべてのパケット(入力)
    • スーパーバイザ ハードウェアによって生成されるすべてのパケット(出力)

SPAN 宛先

SPAN 宛先とは、送信元ポートを監視するインターフェイスを指します。 宛先ポートは SPAN 送信元からコピーされたトラフィックを受信します。 SPAN 宛先には、次のものが含まれます。

  • アクセス モードまたはトランク モードのイーサネット ポート
  • アクセス モードまたはトランク モードのポート チャネル
  • Cisco Nexus 9300 シリーズ スイッチのアップリンク ポート

宛先ポートの特性

SPAN 宛先元ポートには、次の特性があります。

  • 宛先ポートとして設定されたポートを送信元ポートとしても設定することはできません。
  • 宛先ポートは、一度に 1 つの SPAN セッションだけで設定できます。
  • 宛先ポートはスパニングツリー インスタンスに関与しません。 SPAN 出力にはブリッジ プロトコル データ ユニット(BPDU)スパニングツリー プロトコル hello パケットが含まれます。
  • 指定のセッション用に設定されたすべての SPAN 宛先は、すべてのスパンされたトラフィックを受信します。

SPAN セッション

モニタする送信元と宛先を指定する SPAN セッションを作成できます。

サポートされる SPAN セッション数に関する情報については、『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。

この図では、SPAN の設定を示します。 3 つのイーサネット ポート上のパケットが宛先ポートのイーサネット 2/5 にコピーされます。 コピーされるのは、指定した方向のトラフィックだけです。

図 1. SPAN の設定

High Availability(高可用性)

SPAN 機能はステートレス リスタートおよびステートフル リスタートをサポートします。 リブートまたはスーパーバイザ スイッチオーバー後に、実行コンフィギュレーションを適用します。 ハイ アベイラビリティの詳細については、『Cisco Nexus 9000 Series NX-OS High Availability and Redundancy Guide』を参照してください。

SPAN のライセンス要件

製品

ライセンス要件

Cisco NX-OS

SPAN にはライセンスは不要です。 ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。 Cisco NX-OS ライセンス方式の詳細については、Cisco NX-OS Licensing Guide』を参照してください。

SPAN の前提条件

SPAN の前提条件は、次のとおりです。

  • 各デバイス上で、まず所定の SPAN 設定をサポートするポートを設定する必要があります。 詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。

SPAN の注意事項および制約事項

SPAN には、次の注意事項と制限事項があります。

  • SPAN セッションの制限については、『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。
  • SPAN は、管理ポートではサポートされません。
  • すべてのスパンのレプリケーションはハードウェアで行われます。 スーパーバイザ CPU は関与しません。
  • 宛先ポートは、一度に 1 つの SPAN セッションだけで設定できます。
  • ポートをソース ポートと宛先ポートの両方として設定することはできません。
  • SPAN ACL はレイヤ 3 インターフェイス(入力のみ)でのみサポートされます。
  • SPAN 宛先ポートへの VLAN ACL リダイレクトはサポートされません。
  • SPAN セッションに、送信方向または送信および受信方向でモニタされている送信元ポートが含まれている場合、パケットが実際にはその送信元ポートで送信されなくても、これらのポートを受け取るパケットが SPAN の宛先ポートに複製される可能性があります。 ソース ポート上でのこの動作の例を、次に示します。
    • フラッディングから発生するトラフィック
    • ブロードキャストおよびマルチキャスト トラフィック
  • 送信元ポートで SPAN をイネーブルにしてから、動作上アクティブになることができます。 レイヤ 2 ポートの場合、これらのポートが含まれる VLAN にフラッディングされるトラフィックは、リンクがポートに接続されていない場合でもキャプチャされます。
  • VLAN SPAN がモニタするのは、VLAN のレイヤ 2 ポートが受信するトラフィックだけです。
  • SPAN セッションを設定できるのはローカル デバイス上だけです。
  • SPAN は、入力送信元セッションだけをサポートします。
  • SPAN はレイヤ 3 モードでサポートされます。 レイヤ 3 サブインターフェイスはサポートされません。
  • Inter-VLAN ルーティングが、レイヤ 2 マルチパス(L2MP)全体でイネーブルのときにコア インターフェイスをスパンする場合、コア インターフェイスから出て行くトラフィックをキャプチャすることはできません。
  • Cisco NX-OS は、送信元インターフェイスがホスト インターフェイス ポート チャネルでないときは、リンク層検出プロトコル(LLDP)またはリンク集約制御プロトコル(LACP)パケットをスパンしません。
  • SPAN セッションは、セッションの送信元がスーパーバイザのイーサネット インバンド インターフェイスの場合、ARP 要求および Open Shortest Path First(OSPF)プロトコル hello パケットのようなスーパーバイザに到達するブロードキャストまたはマルチキャスト MAC アドレスを持つパケットをキャプチャできません。 これらのパケットをキャプチャするには、SPAN セッションの送信元として物理インターフェイスを使用する必要があります。

SPAN のデフォルト設定

次の表に、SPAN パラメータのデフォルト設定を示します。

パラメータ(Parameters) デフォルト
SPAN セッション シャット ステートで作成されます。

SPAN の設定


(注)  


この機能の Cisco NX-OS コマンドは、Cisco IOS のコマンドと異なる場合があります。

SPAN セッションの設定

SPAN セッションを設定できるのはローカル デバイス上だけです。 デフォルトでは、SPAN セッションはシャット ステートで作成されます。


(注)  


双方向性の従来のセッションでは、トラフィックの方向を指定せずにセッションを設定できます。
はじめる前に

アクセス モードまたはトランク モードで宛先ポートを設定する必要があります。 詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。

手順
     コマンドまたはアクション目的
    ステップ 1configure terminal


    例:
    switch# configure terminal
    switch(config)#
    
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2interface interface slot/port


    例:
    switch(config)# interface ethernet 2/5
    switch(config-if)#
    
     

    選択したスロットおよびポート上でインターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 3switchport


    例:
    switch(config-if)# switchport
    
     

    選択したスロットおよびポートまたはポート範囲でスイッチポート パラメータを設定します。

     
    ステップ 4switchport monitor [ingress [learning]]


    例:
    switch(config-if)# switchport monitor
    
     
    SPAN 宛先としてスイッチポート インターフェイスを設定します。
    • ingress:SPAN 宛先ポートが特定の TCP パケット ストリームを中断するパケットを注入できるようにします。
    • ingress learning:SPAN 宛先ポートがパケットを注入できるようにし、MAC アドレスの学習を可能にします。
     
    ステップ 5ステップ 2 ~ 4 を繰り返して、追加の SPAN 宛先でモニタリングを設定します。   (任意)

     
    ステップ 6no monitor session session-number


    例:
    switch(config)# no monitor session 3
    
     

    指定した SPAN セッションのコンフィギュレーションを消去します。 新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。

     
    ステップ 7monitor session session-number [shut]


    例:
    switch(config)# monitor session 3 rx
    switch(config-monitor)# 
    


    例:
    switch(config)# monitor session 3 tx
    switch(config-monitor)#
    


    例:
    switch(config)# monitor session 3 shut
    switch(config-monitor)#
    
     

    モニタ コンフィギュレーション モードを開始します。 新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。 デフォルトでは、セッションが shut ステートで作成されます。このセッションは、ローカル SPAN セッションです。 オプションの shut キーワードは、選択したセッションに対して shut ステートを指定します。

     
    ステップ 8description description


    例:
    switch(config-monitor)# description my_span_session_3
    
     

    セッションの説明を設定します。 デフォルトでは、説明は定義されません。 説明には最大 32 の英数字を使用できます。

     
    ステップ 9source {interface type | vlan {number | range}} [rx | tx | both]


    例:
    switch(config-monitor)# source interface ethernet 2/1-3, ethernet 3/1 rx
    


    例:
    switch(config-monitor)# source interface port-channel 2
    


    例:
    switch(config-monitor)# source interface sup-eth 0 both
    


    例:
    switch(config-monitor)# source vlan 3, 6-8 rx
    


    例:
    switch(config-monitor)# source interface ethernet 101/1/1-3
    
     

    送信元およびパケットをコピーするトラフィックの方向を設定します。 一定範囲のイーサネット ポート、ポート チャネル、インバンド インターフェイス、または一定範囲の VLAN。

    送信元は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。 最大 128 のインターフェイスを指定できます。

    コピーするトラフィック方向を、入力(rx)、出力(tx)、または両方向(both)として指定できます。 デフォルトは both です。

    (注)      送信元 VLAN は、入力(rx)方向にのみサポートされます。

    単一方向のセッションには、送信元の方向はセッションで指定された方向に一致する必要があります。

     
    ステップ 10ステップ 9 を繰り返して、すべての SPAN 送信元を設定します。   (任意)

     
    ステップ 11filter vlan {number | range}


    例:
    switch(config-monitor)# filter vlan 3-5, 7
    
     
    (任意)

    設定された送信元から選択する VLAN を設定します。 VLAN は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。

     
    ステップ 12ステップ 11 を繰り返して、すべての送信元 VLAN のフィルタリングを設定します。   (任意)

     
    ステップ 13filter access-group acl-filter


    例:
    switch(config-monitor)# filter access-group ACL1
    
     
    (任意)

    ACL を SPAN セッションにアソシエートします。

     
    ステップ 14destination interface type {number | range}


    例:
    switch(config-monitor)# destination interface ethernet 2/5, ethernet 3/7
    
     

    コピーする送信元パケットの宛先を設定します。 宛先は 1 つ設定することも、またはカンマで区切った一連のエントリとして、または番号の範囲として、複数設定することもできます。 最大 128 のインターフェイスを指定できます。

    (注)      SPAN 宛先ポートは、アクセス ポートまたはトランク ポートのどちらかにする必要があります。
    (注)      すべての宛先ポートでモニタ モードをイネーブルにする必要があります。
     
    ステップ 15ステップ 14 を繰り返して、すべての SPAN 宛先ポートを設定します。   (任意)

     
    ステップ 16no shut


    例:
    switch(config-monitor)# no shut
    
     

    SPAN セッションをイネーブルにします。 デフォルトでは、セッションはシャット ステートで作成されます。

     
    ステップ 17show monitor session {all | session-number | range session-range} [brief]


    例:
    switch(config-monitor)# show monitor session 3
    
     
    (任意)

    SPAN 設定を表示します。

     
    ステップ 18copy running-config startup-config


    例:
    switch(config)# copy running-config startup-config
    
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    SPAN セッションのシャットダウンまたは再開

    SPAN セッションをシャットダウンすると、送信元から宛先へのパケットのコピーを切断することができます。 1 セッションをシャット ダウンしてハードウェア リソースを解放し、別のセッションをイネーブルにできます。 デフォルトでは、SPAN セッションはシャット ステートで作成されます。

    SPAN セッションを再開(イネーブルに)すると、送信元から宛先へのパケットのコピーを再開できます。 すでにイネーブルになっていて、動作状況がダウンの SPAN セッションをイネーブルにするには、そのセッションをいったんシャットダウンしてから、改めてイネーブルにする必要があります。

    SPAN セッションのシャット ステートおよびイネーブル ステートは、グローバルまたはモニタ コンフィギュレーション モードのどちらのコマンドでも設定できます。

    手順
       コマンドまたはアクション目的
      ステップ 1configure terminal


      例:
      switch# configure terminal
      switch(config)#
      
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2[no] monitor session {session-range | all} shut


      例:
      switch(config)# monitor session 3 shut
      
       

      指定の SPAN セッションをシャットダウンします。 デフォルトでは、セッションはシャット ステートで作成されます。

      コマンドの no 形式は、指定された SPAN セッションを再開(イネーブルに)します。 デフォルトでは、セッションはシャット ステートで作成されます。

      (注)      モニタ セッションがイネーブルで動作状況がダウンの場合、セッションをイネーブルにするには、最初に monitor session shut コマンドを指定してから、no monitor session shut コマンドを続ける必要があります。
       
      ステップ 3monitor session session-number


      例:
      switch(config)# monitor session 3
      switch(config-monitor)#
      
       

      モニタ コンフィギュレーション モードを開始します。 新しいセッション コンフィギュレーションは、既存のセッション コンフィギュレーションに追加されます。

       
      ステップ 4[no] shut


      例:
      switch(config-monitor)# shut
      
       

      SPAN セッションをシャットダウンします。 デフォルトでは、セッションはシャット ステートで作成されます。

      コマンドの no 形式は SPAN セッションをイネーブルにします。 デフォルトでは、セッションはシャット ステートで作成されます。

       
      ステップ 5show monitor


      例:
      switch(config-monitor)# show monitor
      
       
      (任意)

      SPAN セッションのステータスを表示します。

       
      ステップ 6copy running-config startup-config


      例:
      switch(config)# copy running-config startup-config
      
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      SPAN の設定確認

      SPAN の設定を表示するには、次のいずれかの作業を行います。

      コマンド 目的
      show monitor session {all | session-number | range session-range} [brief] SPAN セッションの設定を表示します。
      show resource monitor-session 従来のセッションで使用可能なリソースを表示します。

      SPAN のコンフィギュレーション例

      SPAN セッションのコンフィギュレーション例

      SPAN セッションを設定する手順は、次のとおりです。

      手順
        ステップ 1   アクセス モードで宛先ポートを設定し、SPAN モニタリングをイネーブルにします。

        例:
        switch# configure terminal
        switch(config)# interface ethernet 2/5
        switch(config-if)# switchport
        switch(config-if)# switchport monitor
        switch(config-if)# no shut
        switch(config-if)# exit
        switch(config)# 
        			  
        
        ステップ 2   SPAN セッションを設定します。

        例:
        switch(config)# no monitor session 3
        switch(config)# monitor session 3
        switch(config-monitor)# source interface ethernet 2/1-3, ethernet 3/1 rx
        switch(config-monitor)# source interface port-channel 2
        switch(config-monitor)# source interface sup-eth 0 both
        switch(config-monitor)# source vlan 3, 6-8 rx
        switch(config-monitor)# source interface ethernet 101/1/1-3
        switch(config-monitor)# filter vlan 3-5, 7
        switch(config-monitor)# destination interface ethernet 2/5
        switch(config-monitor)# no shut
        switch(config-monitor)# exit
        switch(config)# show monitor session 3
        switch(config)# copy running-config startup-config
        
        


        単一方向 SPAN セッションの設定例

        単一方向 SPAN セッションを設定するには、次の手順を実行します。

        手順
          ステップ 1   アクセス モードで宛先ポートを設定し、SPAN モニタリングをイネーブルにします。

          例:
          switch# configure terminal
          switch(config)# interface ethernet 2/5
          switch(config-if)# switchport
          switch(config-if)# switchport monitor
          switch(config-if)# no shut
          switch(config-if)# exit
          switch(config)# 
          
          
          ステップ 2   SPAN セッションを設定します。

          例:
          switch(config)# no monitor session 3
          switch(config)# monitor session 3 rx
          switch(config-monitor)# source interface ethernet 2/1-3, ethernet 3/1 rx
          switch(config-monitor)# filter vlan 3-5, 7
          switch(config-monitor)# destination interface ethernet 2/5
          switch(config-monitor)# no shut
          switch(config-monitor)# exit
          switch(config)# show monitor session 3
          switch(config)# copy running-config startup-config 
          
          

          SPAN ACL の設定例

          次に、SPAN ACL を設定する例を示します。

          switch# configure terminal
          switch(config)# ip access-list match_11_pkts
          switch(config-acl)# permit ip 11.0.0.0 0.255.255.255 any
          switch(config-acl)# exit
          switch(config)# ip access-list match_12_pkts
          switch(config-acl)# permit ip 12.0.0.0 0.255.255.255 any
          switch(config-acl)# exit
          switch(config)# vlan access-map span_filter 5
          switch(config-access-map)# match ip address match_11_pkts
          switch(config-access-map)# action forward
          switch(config-access-map)# exit
          switch(config)# vlan access-map span_filter 10
          switch(config-access-map)# match ip address match_12_pkts
          switch(config-access-map)# action forward
          switch(config-access-map)# exit
          switch(config)# monitor session 1 type span-source
          switch(config-erspan-src)# header-type 3
          switch(config-erspan-src)# filter access_group span_filter