Catalyst 2940 スイッチ ソフトウェア コンフィギュレーション ガイド 12.1(22)EA11 and Later
SPAN の設定
SPAN の設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

SPAN の設定

SPAN の概要

SPAN の概念および用語

SPAN セッション

トラフィック タイプ

送信元ポート

宛先ポート

SPAN トラフィック

他の機能との相互作用

SPAN セッション限度

SPAN のデフォルト設定

SPAN の設定

SPAN 設定時の注意事項

SPAN セッションの作成およびモニタ対象ポートの指定

SPAN セッションの作成および入力トラフィックのイネーブル化

SPAN セッションからのポートの削除

SPAN ステータスの表示

SPAN の設定

この章では、Catalyst 2940 スイッチ上で Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「SPAN の概要」

「SPAN の設定」

「SPAN ステータスの表示」

SPAN の概要

SwitchProbe 装置、他の Remote Monitoring(RMON)プローブ、またはセキュリティ装置に接続されたスイッチ上の別のポートに、SPAN を使用してトラフィックのコピーを送信することによって、ポートを通過するネットワーク トラフィックを解析できます。SPAN は 1 つまたは複数の送信元ポートで受信、送信、または送受信されたトラフィックを宛先ポートにミラーリングして解析します。

たとえば、図21-1 の場合、ポート 4(送信元ポート)上のすべてのトラフィックがポート 8(宛先ポート)にミラーリングされます。ポート 8 のネットワーク アナライザは、ポート 4 に物理的には接続されていませんが、ポート 4 からのあらゆるネットワーク トラフィックを受信します。

図21-1 SPAN の設定例

 

SPAN を使用してモニタできるのは、送信元ポートを出入りするトラフィックだけです。

SPAN 宛先ポートを使用するとネットワーク セキュリティ装置からトラフィックを流すことができます。たとえば、Cisco Intrusion Detection System(IDS)センサー機器を宛先ポートに接続した場合、IDS 装置は TCP リセット パケットを送信して、疑わしい攻撃者の TCP セッションを停止させることができます。

SPAN の概念および用語

ここでは、SPAN の設定に関連する概念および用語について説明します。

SPAN セッション

ローカル SPAN セッションは宛先ポートと送信元ポートの対応付けです。一連のポート、またはポート範囲で着信または発信トラフィックをモニタできます。

SPAN セッションがスイッチの通常の動作を妨げることはありません。ただし、10 Mbps のポートで 100 Mbps のポートをモニタするなど、オーバーサブスクライブの SPAN 宛先は、パケットの廃棄または消失を招きます。

ディセーブルのポートに SPAN セッションを設定することはできますが、そのセッション用に宛先ポートと少なくとも 1 つの送信元ポートをイネーブルにしないかぎり、SPAN セッションはアクティブになりません。 show monitor session session_number 特権 EXEC コマンドを使用すると、SPAN セッションの動作ステータスが表示されます。

SPAN セッションはシステムの起動後、宛先ポートが動作可能になるまでは非アクティブです。

トラフィック タイプ

SPAN セッションには、次のトラフィック タイプがあります。

受信(Rx)SPAN -- 受信(または入力)SPAN の役割は、送信元インターフェイスが受信したパケットをできるだけすべてモニタすることです。送信元が受信した各パケットのコピーがその SPAN セッションに対応する宛先ポートに送られます。SPAN セッションで一連の入力ポートまたは入力ポート範囲をモニタできます。

宛先ポートでは、タギングがイネーブルの場合、パケットには IEEE 802.1Q ヘッダーが含まれます。タギングが指定されていない場合、パケットはネイティブ フォーマットになります。

たとえば、Differentiated Services Code Point(DSCP)の変更などが原因で変更されたパケットは、Rx SPAN 用に変更してコピーされます。

送信(Tx)SPAN -- 送信(または出力)SPAN の役割は、スイッチによる変更および処理がすべて完了したあとで、送信元インターフェイスから送信されたパケットをできるだけすべてモニタすることです。送信元が送信した各パケットのコピーがその SPAN セッションに対応する宛先ポートに送られます。コピーは、パケットが変更されてから送られます。SPAN セッションで出力ポートの範囲をモニタできます。

Quality of Service(QoS; サービス品質)が原因で変更されたパケットは、SPAN 送信元と異なる DSCP(IP パケット)または Class of Service(CoS; サービス クラス)(非 IP パケット)が設定されていることがあります。

送信処理中にパケットをドロップすることのある一部の機能は、SPAN 用の複製コピーにも影響します。送信元ポートがオーバーサブスクライブ状態の場合、宛先ポートは別のドロップ動作を実行します。

双方向 -- SPAN セッションで、受信パケットと送信パケットの両方について、一連のポートまたはポート範囲をモニタできます。

送信元ポート

送信元ポート(別名、 モニタ対象ポート )は、ネットワーク トラフィックを解析するためにモニタするスイッチド ポートです。1 つのローカル SPAN セッションで、受信(Rx)、送信(Tx)、または双方向(both)の送信元ポート トラフィックをモニタできます。スイッチは任意の数の送信元ポートをサポートします(スイッチ上で使用できるポートの最大数が限度)。

送信元ポートの特性は、次のとおりです。

すべてのポート タイプが可能です(EtherChannel、ファスト イーサネット、ギガビット イーサネットなど)。

宛先ポートにすることはできません。

モニタする方向(入力、出力、または両方)を指定して、各送信元ポートを設定できます。EtherChannel を送信元とする場合、モニタする方向はグループ内のすべての物理ポートに適用されます。

送信元ポートは同じ VLAN にあっても異なる VLAN にあってもかまいません。

トランク ポートを送信元ポートとして設定できます。トランク上でアクティブなすべての VLAN がモニタされます。

宛先ポート

各ローカル SPAN セッションには、送信元ポートからトラフィックのコピーを受け取る宛先ポート(別名、 モニタ側ポート )が必要です。

宛先ポートの特性は、次のとおりです。

送信元ポートと同じスイッチ上に置いておく必要があります。

任意のイーサネット物理ポートにできます。

送信元ポートまたはリフレクタ ポートにはできません。

EtherChannel グループまたは VLAN にはできません。

EtherChannel グループが SPAN 送信元として指定されている場合でも、EtherChannel グループに割り当てられた物理ポートにできます。SPAN 宛先ポートとして設定されている間、そのポートはグループから削除されます。

ポートは SPAN セッションに必要なトラフィック以外は送信しません。

入力トラフィック転送がネットワーク セキュリティ装置に対してイネーブルの場合、宛先ポートはレイヤ 2 でトラフィックを転送します。

SPAN セッションがアクティブな間、スパニング ツリーには参加しません。

宛先ポートの場合、レイヤ 2 プロトコル(Cisco Discovery Protocol [CDP]、VLAN Trunking Protocol [VTP]、Port Aggregation Protocol [PagP]、Link Aggregation Control Protocol [LACP])とのいずれにも参加しません。

宛先ポートでのアドレス学習は行われません。

宛先ポートは、モニタされるすべての送信元ポートに対する送受信トラフィックのコピーを受信します。宛先ポートがオーバーサブスクライブ状態の場合、輻輳を起こす可能性があります。その結果、1 つまたは複数の送信元ポートでトラフィック転送に影響を与える可能性があります。

SPAN トラフィック

SPAN を使用すると、マルチキャスト パケット、Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)パケット、CDP、VTP、DTP、STP、PagP、LACP パケットなど、すべてのネットワーク トラフィックをモニタできます。

SPAN の設定によっては、同一送信元のパケットのコピーが複数、SPAN 宛先ポートに送信されます。たとえば、双方向(Rx および Tx の両方)SPAN セッションが、a1 Rx モニタおよび a2 Rx/Tx モニタを送信元、d1 を宛先ポートとして設定されているとします。パケットが a1 からスイッチに入って a2 にスイッチングされると、着信パケットと発信パケットの両方が宛先ポート d1 に送信されます。

他の機能との相互作用

SPAN は次の機能と相互作用します。

STP -- SPAN セッションがアクティブな間、宛先ポートは STP に参加しません。SPAN セッションがディセーブルになると、宛先ポートは STP に参加できます。送信元ポートでは、SPAN は STP ステータスに影響を与えません。

CDP -- SPAN セッションがアクティブな間、SPAN 宛先ポートは CDP に参加しません。SPAN セッションがディセーブルになると、ポートは再び CDP に参加します。

VLAN およびトランキング -- 送信元ポート、宛先ポートの VLAN メンバーシップまたはトランクの設定値は、いつでも変更できます。ただし、宛先ポートの VLAN メンバーシップまたはトランクの設定値に対する変更が有効になるのは、SPAN セッションをディセーブルにしてからです。送信元ポートの VLAN メンバーシップまたはトランクの設定値に対する変更は、ただちに有効になり、SPAN セッションが変更に応じて自動的に調整されます。

EtherChannel -- EtherChannel グループを送信元ポートとして設定することはできますが、SPAN 宛先ポートとして設定することはできません。グループが SPAN 送信元として設定されている場合、グループ全体がモニタされます。

モニタ対象の EtherChannel グループにポートを追加すると、SPAN 送信元ポート リストに新しいポートが追加されます。モニタ対象の EtherChannel グループからポートを削除すると、送信元ポート リストからそのポートが自動的に削除されます。ポートが EtherChannel グループの唯一のポートだった場合は、EtherChannel グループが SPAN から削除されます。

EtherChannel グループに含まれる物理ポートを SPAN 送信元ポート、または宛先ポートとして設定した場合、その物理ポートはグループから削除されます。SPAN セッションからそのポートが削除されると、EtherChannel グループに復帰します。EtherChannel グループから削除されたポートは、グループ メンバーのままですが、 down または standalone ステートになります。

EtherChannel グループに含まれる物理ポートが、宛先ポートであり、その EtherChannel グループが送信元の場合、ポートは EtherChannel グループおよびモニタ対象ポート リストから削除されます。

QoS -- 入力モニタリング用。SPAN のあて先ポートに送信されるパケットが、SPAN の送信元ポートで受信される実際のパケットと異なる場合があります(パケットが、入力 QoS のクラス分けおよびポリシングのあとに転送されるため)。また、パケットの DSCP が受信パケットと異なる場合があります。

マルチキャスト トラフィックをモニタできます。出力ポートおよび入力ポートのモニタでは、未編集のパケットが 1 つだけ SPAN 宛先ポートに送信されます。マルチキャスト パケットの送信回数は反映されません。

ポート セキュリティ -- セキュア ポートを SPAN 宛先ポートにすることはできません。

SPAN セッション限度

スイッチ上でローカル SPAN セッションを 1 つ設定(さらに NVRAM[不揮発性 RAM]に保存する)できます。SPAN セッションは、1 つの SPAN 送信元(受信、送信、両方)に制限され、アクティブ セッションを 1 つに限定されます。

SPAN のデフォルト設定

表21-1 に、SPAN のデフォルト設定を示します。

 

表21-1 SPAN のデフォルト設定

機能
デフォルト設定

SPAN ステート

ディセーブル

モニタする送信元ポート トラフィック

受信トラフィックと送信トラフィックの両方( both

カプセル化タイプ(宛先ポート)

ネイティブ形式(カプセル化タイプのヘッダーなし)

入力転送(宛先ポート)

ディセーブル

SPAN の設定

ここでは、スイッチ上で SPAN を設定する手順について説明します。内容は次のとおりです。

「SPAN 設定時の注意事項」

「SPAN セッションの作成およびモニタ対象ポートの指定」

「SPAN セッションの作成および入力トラフィックのイネーブル化」

「SPAN セッションからのポートの削除」

SPAN 設定時の注意事項

SPAN を設定するときには、次の注意事項に従ってください。

宛先ポートを送信元ポートにすることはできません。同様に、送信元ポートを宛先ポートにすることもできません。

指定できる宛先ポートは、SPAN セッションごとに 1 つだけです。同じ宛先ポートを使用して、2 つの SPAN セッションを設定できません。

EtherChannel ポートは、SPAN 送信元ポートにすることはできますが、SPAN 宛先ポートにはできません。

SPAN 送信元ポートの場合、単一ポート、一連のポートまたはある範囲のポートの送信トラフィックおよび受信トラフィックをモニタできます。

スイッチ ポートを SPAN 宛先ポートとして設定すると、通常のスイッチ ポートではなくなります。SPAN 宛先ポートを通過するのは、モニタ対象のトラフィックだけです。

ディセーブルのポートを送信元ポートまたは宛先ポートとして設定することはできますが、SPAN 機能が開始されるのは、宛先ポートと少なくとも 1 つの送信元ポートがイネーブルになってからです。

SPAN 宛先ポートは VLAN スパニング ツリーに参加しません。SPAN はモニタ対象トラフィックに BPDU を組み込むので、SPAN セッションの SPAN 宛先ポートで受信されたスパニング ツリー BPDU は、SPAN 送信元ポートからのコピーです。

SPAN がイネーブルの場合、設定を変更すると、次のような結果になります。

宛先ポートの VLAN 設定を変更した場合、その変更が有効になるのは、SPAN がディセーブルになってからです。

すべての送信元ポートまたは宛先ポートをディセーブルにすると、送信元ポートと宛先ポートの両方がイネーブルになるまで、SPAN 機能は停止します。

SPAN セッションの作成およびモニタ対象ポートの指定

SPAN セッションを作成し、送信元(モニタ対象)ポートおよび宛先(モニタ側)ポートを指定するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all }

セッションに対応する既存の SPAN 設定を消去します。

session_number には 1 を指定します。

すべての SPAN セッションを削除するには、 all を指定します。

ステップ 3

monitor session session_number source interface interface-id [ , | - ] [ both | rx | tx ]

SPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。

session_number には 1 を指定します。

interface-id には、モニタする送信元ポートを指定します。有効なインターフェイスは、物理インターフェイスおよびポートチャネル論理インターフェイス
port-channel port-channel-number )です。

(任意)[ , | - ] -- 一連のインターフェイスまたはインターフェイス範囲を指定します。カンマの前後にスペースを 1 つずつ入力します。ハイフンの前後にスペースを 1 つずつ入力します。

(任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しなかった場合、送信元インターフェイスは送信トラフィックと受信トラフィックの両方を送信します。

both -- 送信トラフィックと受信トラフィックの両方をモニタします。

rx -- 受信トラフィックをモニタします。

tx -- 送信トラフィックをモニタします。

ステップ 4

monitor session session_number destination interface interface-id [ encapsulation { dot1q }]

SPAN セッションおよび宛先ポート(モニタ側ポート)を指定します。

session_number には 1 を指定します。

interface-id には、宛先ポートを指定します。有効なインターフェイスには物理インターフェイスが含まれます。

(任意)発信パケットのカプセル化ヘッダーを指定します。指定しなかった場合、パケットはネイティブ形式で送信されます。

dot1q -- IEEE 802.1Q のカプセル化を使用します。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show monitor [ session session_number ]

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、SPAN セッションとしてセッション 1 を設定し、宛先ポートへの送信元ポートのトラフィックをモニタする例を示します。最初に、セッション 1 の既存の SPAN 設定を消去し、双方向トラフィックを送信元ポート 1 から宛先ポート 8 へミラーリングします。

Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastethernet0/1
Switch(config)# monitor session 1 destination interface fastethernet0/8 encapsulation dot1q
Switch(config)# end

SPAN セッションの作成および入力トラフィックのイネーブル化

SPAN セッションの作成、送信元ポートおよび宛先ポートの指定、さらにネットワーク セキュリティ装置(Cisco IDS センサ機器など)の宛先ポート上の入トラフィックのイネーブル化を行うには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all | local }

セッションに対応する既存の SPAN 設定を消去します。

session_number には 1 を指定します。

すべての SPAN セッションを削除するには、 all または local を指定します。コマンドライン ヘルプには表示されますが、 remote キーワードはサポートされません。

ステップ 3

monitor session session_number source interface interface-id [ , | - ] [ both | rx | tx ]

SPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。

session_number には 1 を指定します。

interface-id には、モニタする送信元ポートを指定します。有効なインターフェイスは、物理インターフェイスおよびポートチャネル論理インターフェイス
port-channel port-channel-number )です。

(任意)[ , | - ] -- 一連のインターフェイスまたはインターフェイス範囲を指定します。カンマの前後にスペースを 1 つずつ入力します。ハイフンの前後にスペースを 1 つずつ入力します。

(任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しなかった場合、送信元インターフェイスは送信トラフィックと受信トラフィックの両方を送信します。

both -- 送信トラフィックと受信トラフィックの両方をモニタします。

rx -- 受信トラフィックをモニタします。

tx -- 送信トラフィックをモニタします。

ステップ 4

monitor session session_number destination interface interface-id [ encapsulation { dot1q }] [ ingress vlan vlan id ]

SPAN セッション、宛先ポート(モニタ側ポート)、パケットのカプセル化および入力 VLAN を指定します。

session_number には 1 を指定します。

interface-id には、宛先ポートを指定します。有効なインターフェイスには物理インターフェイスが含まれます。

(任意)発信パケットのカプセル化ヘッダーを指定します。指定しなかった場合、パケットはネイティブ形式で送信されます。

dot1q -- IEEE 802.1Q のカプセル化を使用します。

(任意) ingress vlan vlan id を入力して入力転送をイネーブルにし、デフォルト VLAN を指定します。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show monitor [ session session_number ]

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、IEEE 802.1Q のカプセル化をサポートしないセキュリティ装置を使用して、入力トラフィックの宛先ポートを VLAN 5 上に設定する例を示します。

Switch(config)# monitor session 1 destination interface fastethernet0/5 ingress vlan 5
 

次に、IEEE 802.1Q のカプセル化をサポートするセキュリティ装置を使用して、入力トラフィックの宛先ポートを VLAN 5 上に設定する例を示します。

Switch(config)# monitor session 1 destination interface fastethernet0/5 encapsulation dot1q ingress vlan 5
 

次に、入力トラフィック転送を宛先ポート上でディセーブルにする例を示します。

Switch(config)# monitor session 1 destination interface fastethernet0/5 encapsulation dot1q
 

SPAN セッションからのポートの削除

セッションの SPAN 送信元としてのポートを削除するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session session_number source interface interface-id [ , | - ] [ both | rx | tx ]

削除する送信元ポート(モニタ対象ポート)および SPAN セッションの特性を指定します。

session には 1 を指定します。

interface-id には、モニタを中止する送信元ポートを指定します。有効なインターフェイスは、物理インターフェイスおよびポートチャネル論理インターフェイス
port-channel port-channel-number )です。

(任意)[ , | - ] を使用して、一連のインターフェイスまたはインターフェイス範囲を指定します。このオプションが有効なのは、受信トラフィックだけをモニタする場合です。カンマの前後にスペースを 1 つずつ入力します。ハイフンの前後にスペースを 1 つずつ入力します。

(任意)モニタを中止するトラフィックの方向( both rx 、または tx )を指定します。トラフィックの方向を指定しなかった場合は、送信と受信の両方がディセーブルになります。

ステップ 3

end

特権 EXEC モードに戻ります。

ステップ 4

show monitor [ session session_number ]

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

SPAN セッションから送信元ポートまたは宛先ポートを削除するには、 no monitor session
session_number
source interface interface-id グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。カプセル化タイプをデフォルト(ネイティブ)に戻すには、 encapsulation キーワードを指定しないで monitor session session_number destination interface interface-id を使用します。

次に、SPAN セッション 1 の SPAN 送信元としてのポートを削除する例を示します。

Switch(config)# no monitor session 1 source interface fastethernet0/1
Switch(config)# end
 

次に、双方向モニタが設定されていたポートで、受信トラフィックのモニタをディセーブルにする例を示します。

Switch(config)# no monitor session 1 source interface fastethernet0/1 rx
 

ポート 1 で受信するトラフィックのモニタはディセーブルになりますが、このポートから送信されるトラフィックのモニタは継続されます。

SPAN ステータスの表示

現在の SPAN 設定のステータスを表示するには、 show monitor 特権 EXEC コマンドを使用します。

次に、SPAN 送信元セッション 1 に対する show monitor 特権 EXEC コマンドの出力例を示します。

Switch# show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
RX Only : None
TX Only : None
Both : Fa0/4
Source VLANs :
RX Only : None
TX Only : None
Both : None
Destination Ports : Fa0/5
Encapsulation: DOT1Q
Ingress: Enabled, default VLAN = 5
Filter VLANs : None