Catalyst 2940 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(22)EA2
SPANの設定
SPANの設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

SPANの設定

SPANの概要

SPAN の概念および用語

SPANセッション

トラフィック タイプ

送信元ポート

宛先ポート

SPANトラフィック

他の機能との相互作用

SPANセッション限度

SPANのデフォルト設定

SPANの設定

SPAN設定時の注意事項

SPANセッションの作成およびモニタ対象ポートの指定

SPANセッションの作成および入力トラフィックのイネーブル化

SPANセッションからのポートの削除

SPANステータスの表示

SPANの設定

この章では、Catalyst 2940スイッチ上でSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「SPANの概要」

「SPANの設定」

「SPANステータスの表示」

SPANの概要

SwitchProbe装置、他のRemote Monitoring(RMON)プローブ、またはセキュリティ装置に接続されたスイッチ上の別のポートに、SPANを使用してトラフィックのコピーを送信することによって、ポートを通過するネットワーク トラフィックを解析できます。SPANは1つまたは複数の送信元ポートで受信、送信、または送受信されたトラフィックを宛先ポートにミラーリングして解析します。

たとえば、図 20-1の場合、ポート4(送信元ポート)上のすべてのトラフィックがポート8 (宛先ポート)にミラーリングされます。ポート8のネットワーク アナライザは、ポート4に物理的には接続されていませんが、ポート4からのあらゆるネットワーク トラフィックを受信します。

図 20-1 SPANの設定例

 

SPANを使用してモニタできるのは、送信元ポートを出入りするトラフィックだけです。

SPAN宛先ポートを使用するとネットワーク セキュリティ装置からトラフィックを流すことができます。たとえば、Cisco Intrusion Detection System(IDS)センサー機器を宛先ポートに接続した場合、IDS装置はTCPリセット パケットを送信して、疑わしい攻撃者のTCPセッションを停止させることができます。

SPAN の概念および用語

ここでは、SPANの設定に関連する概念および用語について説明します。

SPANセッション

ローカルSPANセッションは宛先ポートと送信元ポートの対応付けです。一連のポート、またはポート範囲で着信または発信トラフィックをモニタできます。

SPANセッションがスイッチの通常の動作を妨げることはありません。ただし、10 Mbpsのポートで100 Mbpsのポートをモニタするなど、オーバーサブスクライブのSPAN宛先は、パケットの廃棄または消失を招きます。

ディセーブルのポートにSPANセッションを設定することはできますが、そのセッション用に宛先ポートと少なくとも1つの送信元ポートをイネーブルにしないかぎり、SPANセッションはアクティブになりません。 show monitor session session_number イネーブルEXECコマンドを使用すると、SPANセッションの動作ステータスが表示されます。

SPANセッションはシステムの起動後、宛先ポートが動作可能になるまでは非アクティブです。

トラフィック タイプ

SPANセッションには、次のトラフィック タイプがあります。

受信(Rx)SPAN ― 受信(または入力)SPANの役割は、送信元インターフェイスが受信したパケットをできるだけすべてモニタすることです。送信元が受信した各パケットのコピーがそのSPANセッションに対応する宛先ポートに送られます。SPANセッションで一連の入力ポートまたは入力ポート範囲をモニタできます。

宛先ポートでは、タギングがイネーブルの場合、パケットには802.1Qヘッダーが含まれます。タギングが指定されていない場合、パケットはネイティブ フォーマットになります。

たとえば、Differentiated Services Code Point(DSCP)の変更などが原因で変更されたパケットは、Rx SPAN用に変更してコピーされます。

送信(Tx)SPAN ― 送信(または出力)SPANの役割は、スイッチによる変更および処理がすべて完了したあとで、送信元インターフェイスから送信されたパケットをできるだけすべてモニタすることです。送信元が送信した各パケットのコピーがそのSPANセッションに対応する宛先ポートに送られます。コピーは、パケットが変更されてから送られます。SPANセッションで出力ポートの範囲をモニタできます。

QoSが原因で変更されたパケットは、SPAN送信元と異なるDSCP(IPパケット)またはCoS(非IPパケット)が設定されていることがあります。

送信処理中にパケットを廃棄することのある一部の機能は、SPAN用の複製コピーにも影響します。送信元ポートがオーバーサブスクライブ状態の場合、宛先ポートは別の廃棄動作を実行します。

双方向 ― SPANセッションで、受信パケットと送信パケットの両方について、一連のポートまたはポート範囲をモニタできます。

送信元ポート

送信元ポート(別名、 モニタ対象ポート )は、ネットワーク トラフィックを解析するためにモニタするスイッチド ポートです。1つのローカルSPANセッションで、受信(Rx)、送信(Tx)、または双方向(both)の送信元ポート トラフィックをモニタできます。スイッチは任意の数の送信元ポートをサポートします(スイッチ上で使用できるポートの最大数が限度)。

送信元ポートの特性は、次のとおりです。

すべてのポート タイプが可能です(EtherChannel、ファスト イーサネット、ギガビット イーサネットなど)。

宛先ポートにすることはできません。

モニタする方向(入力、出力、または両方)を指定して、各送信元ポートを設定できます。EtherChannelを送信元とする場合、モニタする方向はグループ内のすべての物理ポートに適用されます。

送信元ポートは同じVLANにあっても異なるVLANにあってもかまいません。

トランク ポートを送信元ポートとして設定できます。トランク上でアクティブなすべてのVLANがモニタされます。

宛先ポート

各ローカルSPANセッション宛先セッションには、送信元ポートからトラフィックのコピーを受け取る宛先ポート(別名、 モニタ側ポート )が必要です。

宛先ポートの特性は、次のとおりです。

送信元ポートと同じスイッチ上に置いておく必要があります。

任意のイーサネット物理ポートにできます。

送信元ポートまたはリフレクタ ポートにはできません。

EtherChannelグループまたはVLANにはできません。

EtherChannelグループがSPAN送信元として指定されている場合でも、EtherChannelグループに割り当てられた物理ポートにできます。SPAN宛先ポートとして設定されている間、そのポートはグループから削除されます。

ポートはSPANセッションに必要なトラフィック以外は送信しません。

入力トラフィック転送がネットワーク セキュリティ装置に対してイネーブルの場合、宛先ポートはレイヤ2でトラフィックを転送します。

SPANセッションがアクティブな間、スパニングツリーには参加しません。

宛先ポートの場合、レイヤ2プロトコル(Cisco Discovery Protocol [CDP]、VLAN Trunking Protocol [VTP]、Port Aggregation Protocol [PagP]、およびLink Aggregation Control Protocol [LACP])とのいずれにも参加しません。

宛先ポートでのアドレス学習は行われません。

宛先ポートは、モニタされるすべての送信元ポートに対する送受信トラフィックのコピーを受信します。宛先ポートがオーバーサブスクライブ状態の場合、輻輳を起こす可能性があります。その結果、1つまたは複数の送信元ポートでトラフィック転送に影響を与える可能性があります。

SPANトラフィック

SPANを使用すると、マルチキャスト パケット、Bridge Protocol Data Unit(BPDU)パケット、CDP、VTP、DTP、STP、PagP、LACPパケットなど、すべてのネットワーク トラフィックをモニタできます。

SPANの設定によっては、同一送信元のパケットのコピーが複数、SPAN宛先ポートに送信されます。たとえば、双方向(RxおよびTxの両方)SPANセッションが、a1 Rxモニタおよびa2 Rx/Txモニタを送信元、d1を宛先ポートとして設定されているとします。パケットがa1からスイッチに入ってa2にスイッチングされると、着信パケットと発信パケットの両方が宛先ポートd1に送信されます。

他の機能との相互作用

SPANは次の機能と相互作用します。

STP ― SPANセッションがアクティブな間、宛先ポートはSTPに参加しません。SPANセッションがディセーブルになると、宛先ポートはSTPに参加できます。送信元ポートでは、SPANはSTPステータスに影響を与えません。

CDP ― SPANセッションがアクティブな間、SPAN宛先ポートはCDPに参加しません。SPANセッションがディセーブルになると、ポートは再びCDPに参加します。

VLANおよびトランキング ― 送信元ポート、宛先ポートのVLANメンバーシップまたはトランクの設定値は、いつでも変更できます。ただし、宛先ポートのVLANメンバーシップまたはトランクの設定値に対する変更が有効になるのは、SPANセッションをディセーブルにしてからです。送信元ポートのVLANメンバーシップまたはトランクの設定値に対する変更は、ただちに有効になり、SPANセッションが変更に応じて自動的に調整されます。

EtherChannel ― EtherChannelグループを送信元ポートとして設定することはできますが、SPAN宛先ポートとして設定することはできません。グループがSPAN送信元として設定されている場合、グループ全体がモニタされます。

モニタ対象のEtherChannelグループにポートを追加すると、SPAN送信元ポート リストに新しいポートが追加されます。モニタ対象のEtherChannelグループからポートを削除すると、送信元ポート リストからそのポートが自動的に削除されます。ポートがEtherChannelグループの唯一のポートだった場合は、EtherChannelグループがSPANから削除されます。

EtherChannelグループに含まれる物理ポートをSPAN送信元ポート、または宛先ポートとして設定した場合、その物理ポートはグループから削除されます。SPANセッションからそのポートが削除されると、EtherChannelグループに復帰します。EtherChannelグループから削除されたポートは、グループ メンバーのままですが、 down または standalone ステートになります。

EtherChannelグループに含まれる物理ポートが、宛先ポートであり、そのEtherChannelグループが送信元の場合、ポートはEtherChannelグループおよびモニタ対象ポート リストから削除されます。

QoS ― 入力モニタリング用。SPANのあて先ポートに送信されるパケットが、SPANの送信元ポートで受信される実際のパケットと異なる場合があります(パケットが、入力QoSのクラス分けおよびポリシングのあとに転送されるため)。また、パケットのDSCPが受信パケットと異なる場合があります。

マルチキャスト トラフィックをモニタできます。出力ポートおよび入力ポートのモニタでは、未編集のパケットが1つだけSPAN宛先ポートに送信されます。マルチキャスト パケットの送信回数は反映されません。

ポート セキュリティ ― セキュア ポートをSPAN宛先ポートにすることはできません。

SPANセッション限度

スイッチ上でローカルSPANセッションを1つ設定(さらにNVRAM [不揮発性RAM]に保存する)できます。SPANセッションは、1つのSPAN送信元(受信、送信、両方)に制限され、アクティブ セッションを1つに限定されます。

SPANのデフォルト設定

表 20-1 に、SPANのデフォルト設定を示します。

 

表 20-1 SPANのデフォルト設定

機能
デフォルト設定

SPANステート

ディセーブル

モニタする送信元ポート トラフィック

受信トラフィックと送信トラフィックの両方( both

カプセル化タイプ(宛先ポート)

ネイティブ形式(カプセル化タイプのヘッダーなし)

入力転送(宛先ポート)

ディセーブル

SPANの設定

ここでは、スイッチ上でSPANを設定する手順について説明します。内容は次のとおりです。

「SPAN設定時の注意事項」

「SPANセッションの作成およびモニタ対象ポートの指定」

「SPANセッションの作成および入力トラフィックのイネーブル化」

「SPANセッションからのポートの削除」

SPAN設定時の注意事項

SPANを設定するときには、次の注意事項に従ってください。

宛先ポートを送信元ポートにすることはできません。同様に、送信元ポートを宛先ポートにすることもできません。

指定できる宛先ポートは、SPANセッションごとに1つだけです。同じ宛先ポートを使用して、2つのSPANセッションを設定できません。

EtherChannelポートは、SPAN送信元ポートにすることはできますが、SPAN宛先ポートにはできません。

SPAN送信元ポートの場合、単一ポート、一連のポートまたはある範囲のポートの送信トラフィックおよび受信トラフィックをモニタできます。

スイッチ ポートをSPAN宛先ポートとして設定すると、通常のスイッチ ポートではなくなります。SPAN宛先ポートを通過するのは、モニタ対象のトラフィックだけです。

ディセーブルのポートを送信元ポートまたは宛先ポートとして設定することはできますが、SPAN機能が開始されるのは、宛先ポートと少なくとも1つの送信元ポートがイネーブルになってからです。

SPAN宛先ポートはVLANスパニングツリーに参加しません。SPANはモニタ対象トラフィックにBPDUを組み込むので、SPANセッションのSPAN宛先ポートで受信されたスパニングツリーBPDUは、SPAN送信元ポートからのコピーです。

SPANがイネーブルの場合、設定を変更すると、次のような結果になります。

宛先ポートのVLAN設定を変更した場合、その変更が有効になるのは、SPANがディセーブルになってからです。

すべての送信元ポートまたは宛先ポートをディセーブルにすると、送信元ポートと宛先ポートの両方がイネーブルになるまで、SPAN機能は停止します。

SPANセッションの作成およびモニタ対象ポートの指定

SPANセッションを作成し、送信元(モニタ対象)ポートおよび宛先(モニタ側)ポートを指定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all }

セッションに対応する既存のSPAN設定を消去します。

session_number には1を指定します。

すべてのSPANセッションを削除するには、 all を指定します。

ステップ 3

monitor session session_number source interface interface-id [ , | - ] [ both | rx | tx ]

SPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。

session_number には1を指定します。

interface-id には、モニタする送信元ポートを指定します。有効なインターフェイスは、物理インターフェイスおよびポートチャネル論理インターフェイス( port-channel port-channel-number )です。

(任意) [ , | - ] ― 一連のインターフェイスまたはインターフェイス範囲を指定します。カンマの前後にスペースを1つずつ入力します。ハイフンの前後にスペースを1つずつ入力します。

(任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しなかった場合、送信元インターフェイスは送信トラフィックと受信トラフィックの両方を送信します。

both ― 送信トラフィックと受信トラフィックの両方をモニタします。

rx ― 受信トラフィックをモニタします。

tx ― 送信トラフィックをモニタします。

ステップ 4

monitor session session_number destination interface interface-id [ encapsulation { dot1q } ]

SPANセッションおよび宛先ポート(モニタ側ポート)を指定します。

session_number には1を指定します。

interface-id には、宛先ポートを指定します。有効なインターフェイスには物理インターフェイスが含まれます。

(任意)発信パケットのカプセル化ヘッダーを指定します。指定しなかった場合、パケットはネイティブ形式で送信されます。

dot1q 802.1Qのカプセル化を使用します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show monitor [ session session_number ]

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、SPANセッションとしてセッション1を設定し、宛先ポートへの送信元ポートのトラフィックをモニタする例を示します。最初に、セッション1の既存のSPAN設定を消去し、双方向トラフィックを送信元ポート1から宛先ポート8へミラーリングします。

Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastethernet0/1
Switch(config)# monitor session 1 destination interface fastethernet0/8 encapsulation dot1q
Switch(config)# end

SPANセッションの作成および入力トラフィックのイネーブル化

SPANセッションの作成、送信元ポートおよび宛先ポートの指定、さらにネットワーク セキュリティ装置(Cisco IDSセンサ機器など)の宛先ポート上の入トラフィックのイネーブル化を行うには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all | local }

セッションに対応する既存のSPAN設定を消去します。

session_number には1を指定します。

すべてのSPANセッションを削除するには、 all または local を指定します。コマンドライン ヘルプには表示されますが、 remote キーワードはサポートされません。

ステップ 3

monitor session session_number source interface interface-id [ , | - ] [ both | rx | tx ]

SPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。

session_number には1を指定します。

interface-id には、モニタする送信元ポートを指定します。有効なインターフェイスは、物理インターフェイスおよびポートチャネル論理インターフェイス( port-channel port-channel-number )です。

(任意) [ , | - ] ― 一連のインターフェイスまたはインターフェイス範囲を指定します。カンマの前後にスペースを1つずつ入力します。ハイフンの前後にスペースを1つずつ入力します。

(任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しなかった場合、送信元インターフェイスは送信トラフィックと受信トラフィックの両方を送信します。

both ― 送信トラフィックと受信トラフィックの両方をモニタします。

rx ― 受信トラフィックをモニタします。

tx ― 送信トラフィックをモニタします。

ステップ 4

monitor session session_number destination interface interface-id [ encapsulation { dot1q }] [ ingress vlan vlan id ]

SPANセッション、宛先ポート(モニタ側ポート)、パケットのカプセル化および入力VLANを指定します。

session_number には1を指定します。

interface-id には、宛先ポートを指定します。有効なインターフェイスには物理インターフェイスが含まれます。

(任意)発信パケットのカプセル化ヘッダーを指定します。指定しなかった場合、パケットはネイティブ形式で送信されます。

dot1q ― 802.1Qのカプセル化を使用します。

(任意) ingress vlan vlan id を入力して入力転送をイネーブルにし、デフォルトVLANを指定します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show monitor [ session session_number ]

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、802.1Qのカプセル化をサポートしないセキュリティ装置を使用して、入力トラフィックの宛先ポートをVLAN 5上に設定する例を示します。

Switch(config)# monitor session 1 destination interface fastethernet0/5 ingress vlan 5
 

次に、802.1Qのカプセル化をサポートするセキュリティ装置を使用して、入力トラフィックの宛先ポートをVLAN 5上に設定する例を示します。

Switch(config)# monitor session 1 destination interface fastethernet0/5 encapsulation dot1q ingress vlan 5
 

次に、入力トラフィック転送を宛先ポート上でディセーブルにする例を示します。

Switch(config)# monitor session 1 destination interface fastethernet0/5 encapsulation dot1q
 

SPANセッションからのポートの削除

セッションのSPAN送信元としてのポートを削除するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session session_number source interface interface-id [ , | - ] [ both | rx | tx ]

削除する送信元ポート(モニタ対象ポート)およびSPANセッションの特性を指定します。

session には1を指定します。

interface-id には、モニタを中止する送信元ポートを指定します。有効なインターフェイスは、物理インターフェイスおよびポートチャネル論理インターフェイス( port-channel port-channel-number )です。

(任意) [ , | - ]を使用して、一連のインターフェイスまたはインターフェイス範囲を指定します。このオプションが有効なのは、受信トラフィックだけをモニタする場合です。カンマの前後にスペースを1つずつ入力します。ハイフンの前後にスペースを1つずつ入力します。

(任意)モニタを中止するトラフィックの方向( both rx 、または tx )を指定します。トラフィックの方向を指定しなかった場合は、送信と受信の両方がディセーブルになります。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show monitor [ session session_number ]

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

SPANセッションから送信元ポートまたは宛先ポートを削除するには、 no monitor session session_number source interface interface-id グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。カプセル化タイプをデフォルト(ネイティブ)に戻すには、 encapsulation キーワードを指定しないで monitor session session_number destination interface interface-id を使用します。

次に、SPANセッション1のSPAN送信元としてのポートを削除する例を示します。

Switch(config)# no monitor session 1 source interface fastethernet0/1
Switch(config)# end
 

次に、双方向モニタが設定されていたポートで、受信トラフィックのモニタをディセーブルにする例を示します。

Switch(config)# no monitor session 1 source interface fastethernet0/1 rx
 

ポート1で受信するトラフィックのモニタはディセーブルになりますが、このポートから送信されるトラフィックのモニタは継続されます。

SPANステータスの表示

現在のSPAN設定のステータスを表示するには、 show monitor イネーブルEXECコマンドを使用します。

次に、SPAN送信元セッション1に対する show monitor イネーブルEXECコマンドの出力例を示します。

Switch# show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
RX Only : None
TX Only : None
Both : Fa0/4
Source VLANs :
RX Only : None
TX Only : None
Both : None
Destination Ports : Fa0/5
Encapsulation: DOT1Q
Ingress: Enabled, default VLAN = 5
Filter VLANs : None