 |
SPANを使用すると、SwitchProbeデバイスまたはその他のRemote Monitoring(RMON)プローブやセキュリティ デバイスに接続されているスイッチ上の別のポートにトラフィックのコピーを送信することによって、ポートまたはVLANを通過するネットワーク トラフィックを分析できます。SPANは、1つの送信元ポートで送受信したトラフィック、および1つまたは複数の送信元ポートまたはVLANで受信したトラフィックを分析するために宛先ポートにミラーリングします。
たとえば、 SPANの設定例 では、ポート5(送信元ポート)上のすべてのトラフィックがポート10(宛先ポート)にミラーリングされています。ポート10のネットワーク アナライザは、ポート5に物理的に接続しなくても、ポート5からすべてのネットワーク トラフィックを受信します。
SPANでモニタ対象となるのは、送信元ポートに入出力するトラフィックまたは送信元VLAN(仮想LAN)に入るトラフィックだけです。入力側送信元ポートまたは送信元VLANにルーティングされるトラフィックはモニタできません。たとえば、着信トラフィックをモニタしている場合、別のVLANから送信元VLANにルーティングされているトラフィックはモニタしません。ただし、送信元VLANで受信し、別のVLANにルーティングされるトラフィックはモニタします。
RSPANは、ネットワーク内の複数のスイッチのリモート モニタリング機能をイネーブルにして、SPANを拡張します。各RSPANセッションのトラフィックは、ユーザが指定したRSPAN VLAN上で伝送されます。このRSPAN VLANは、参加しているすべてのスイッチでRSPANセッション専用です。送信元からのSPANトラフィックは、リフレクタ ポートを経由してRSPAN VLANにコピーされてから、トランク ポートを介して転送されます。トランク ポートは、RSPAN VLANをモニタするRSPAN宛先セッションにRSPAN VLANを搬送します( RSPAN設定の例 を参照)。
SPANおよびRSPANは、送信元ポートまたは送信元VLANでのネットワーク トラフィックのスイッチングに影響しません。送信元インターフェイスによって送受信されたパケットの コピー は、宛先インターフェイスに送信されます。
SPANまたはRSPAN宛先ポートを使用して、ネットワーク セキュリティ デバイスから送信されたトラフィックを転送できます。たとえば、Cisco Intrusion Detection System(IDS;侵入検知システム)センサ装置を宛先ポートに接続した場合、IDS デバイスはTCPリセット パケットを送信して疑わしい攻撃者のTCPセッションを停止させることができます。
ここでは、SPANおよびRSPANの設定に関連する概念と用語について説明します。
ローカルSPANセッションは、送信元ポートと宛先ポートおよび送信元VLANとの対応づけです。RSPANセッションは、送信元ポートおよびネットワーク上の送信元VLANとRSPAN VLANとの対応づけです。宛先の送信元はRSPAN VLANです。
モニタ対象のネットワーク トラフィックの送信元を指定するパラメータを使用して、SPANセッションを設定できます。SPANセッションでのトラフィックのモニタには、次のような制限があります。
個別のまたは重複するSPAN送信元ポートとVLANの集合を使用して、2つの独立したSPANまたはRSPANセッションを設定できます。スイッチド ポートおよびルーテッド ポートはいずれもSPAN送信元および宛先として設定できます。
SPANセッションは、スイッチの正常な動作を妨げません。ただし、SPANの宛先がオーバーサブスクライブ型ポートである場合、たとえば100 Mbpsポートをモニタする10 Mbpsポートでは、パケットが廃棄されるか、または消失する可能性があります。
ディセーブルのポート上でもSPANセッションを設定できます。宛先ポートと、1つまたは複数の送信元ポートまたはVLANをイネーブルにしない限り、SPANセッションはアクティブになりません。 show monitor session session_number イネーブルEXECコマンドを使用すると、SPANセッションの動作ステータスが表示されます。
SPANセッションには、次のトラフィック タイプがあります。
タグ付きパケット(ISL[スイッチ間リンク]またはIEEE 802.1Q)では、タギングは入力ポートで削除されます。宛先ポートでは、タギングがイネーブルの場合、パケットは、ISLまたは802.1Qヘッダー付きで表示されます。タギングが指定されていない場合は、パケットはネイティブのフォーマットで表示されます。
ルーティングが原因で変更されたパケットは、Rx SPAN用に変更されることなくコピーされます。つまり、元のパケットがコピーされます。Quality of Service(QoS;サービス品質)が原因で変更されたパケット(たとえば、変更済みDifferentiated Services Code Point[DSCP])は、Rx SPAN用に変更してコピーされます。
機能によっては受信処理中にパケットを廃棄することがありますが、この機能はSPANには無効です。実際の着信パケットが廃棄された場合でも、宛先ポートはパケットのコピーを受信します。パケットを廃棄する可能性のある機能には、標準および拡張IP入力Access Control List(ACL;アクセス制御リスト)、ユニキャストおよび入力側QoSポリシング用の標準および拡張IP出力ACL、VLANマップ、入力側QoSポリシング、ポリシーベース ルーティングなどがあります。パケットの廃棄を引き起こすスイッチ輻輳も、SPANには無効です。
1つのSPANセッションでは、出力側送信元ポートが1つだけ許可されます。出力方向ではVLANモニタはサポートされません。
ルーティングが原因で変更されたパケット(たとえば、Time-to-Live[TTL]またはMACアドレス変更付き)は、宛先ポートでコピーされます。QoSが原因で変更されたパケットは、SPAN送信元とは異なるDSCP(IPパケット)またはCoS(非IPパケット)を設定されることがあります。
送信処理中にパケットを廃棄する可能性のある機能は、SPAN用のコピーに影響を与えます。このような機能には、VLANマップ、マルチキャスト パケットに対応する標準および拡張IP出力ACL、出力側QoSポリシングがあります。出力ACLの場合は、SPAN送信元がパケットを廃棄すると、SPANの宛先もパケットを廃棄します。出力側QoSポリシングの場合は、SPAN送信元がパケットを廃棄しても、SPAN宛先はパケットを廃棄するとは限りません。送信元ポートがオーバーサブスクライブ型である場合、宛先ポートは別の廃棄動作を行います。
送信元ポート(別名 モニタ対象ポート )は、ネットワーク トラフィック分析のためにモニタするスイッチド ポートまたはルーテッド ポートです。1つのローカルSPANセッションまたはRSPAN送信元セッションで、受信(Rx)、送信(Tx)、または双方向(both)などの送信元ポート トラフィックをモニタできます。ただし、VLANでは、受信トラフィックしかモニタできません。スイッチは、任意の数の送信元ポート(スイッチで利用可能なポートの最大数まで)と任意の数の送信元入力側VLAN(サポートされているVLANの最大数まで)をサポートします。
トランク ポートを、送信元ポートとして設定できます。デフォルトでは、トランク上でアクティブなすべてのVLANがモニタされます。VLANフィルタリングを使用すれば、特定のVLANだけをトランク送信元ポートでのSPANトラフィックのモニタ対象にすることができます。選択されたVLANのスイッチド トラフィックのみが宛先ポートに送信されます。この機能は、宛先SPANポートに転送されたトラフィックのみに作用し、通常のトラフィックのスイッチングには影響を与えません。この機能は、VLAN送信元によるセッションでは許可されません。
各ローカルSPANセッションまたはRSPAN宛先セッションには、送信元ポートおよびVLANからのトラフィックのコピーを受信する宛先ポート(別名 モニタリング ポート )を設定する必要があります。
リフレクタ ポートは、RSPAN VLANにパケットをコピーするためのメカニズムで加入しているRSPAN送信元セッションからのトラフィックのみを転送します。リフレクタ ポートとして設定されているポートに接続している装置は、RSPAN送信元セッションがディセーブルになるまで接続が切断されています。
対応する送信元ポートおよびVLANからのトラフィック量を処理できるだけの帯域幅がリフレクタ ポートにない場合は、超過パケットは廃棄されます。10/100ポートは100 Mbpsで反映します。ギガビット ポートは1 Gbpsで反映します。
VLANベースSPAN(VSPAN)では、1つまたは複数のVLANのネットワーク トラフィックをモニタできます。受信(Rx)トラフィックのみをモニタするようにVSPANを設定できますが、この場合、設定はそのVLANのすべてのポートに適用されます。
ローカルSPAN を使用すれば、マルチキャスト パケットおよびBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)パケットをはじめ、Cisco Discovery Protocol(CDP)、VLAN Trunk Protocol(VTP;VLANトランキング プロトコル)、Dynamic Trunking Protocol(DTP)、Spanning-Tree Bridge Protocol(STP;スパニングツリー ブリッジ プロトコル)、Port Aggregation Protocol(PAgP)、Link Aggregation Control Protocol(LACP)パケットなど、すべてのネットワーク トラフィックをモニタできます。RSPANでは、レイヤ2プロトコルをモニタすることはできません。詳細については、 RSPAN設定時の注意事項 を参照してください。
SPANの設定によっては、同じ送信元パケットの複数のコピーがSPAN宛先ポートに送信される場合があります。たとえば、送信元a1受信モニタおよびa2受信/送信モニタから宛先ポートd1まで、双方向(受信と送信の両方)SPANセッションが設定されているとします。パケットがa1からスイッチに入り、a2へスイッチングされると、着信パケットおよび発信パケットの両方が宛先ポートd1に送信されます。このため、両方のパケットは同じものになります(レイヤ3書き換えが行われた場合には、付加されたレイヤ3情報のため異なるパケットになります)。
モニタ対象EtherChannelグループにポートを追加すると、新しいポートがSPAN送信元ポート リストに追加されます。モニタ対象EtherChannelグループからポートを削除すると、SPAN送信元ポート リストから自動的に削除されます。そのポートがEtherChannelグループの唯一のポートである場合は、EtherChannelグループはSPANから削除されます。
EtherChannelグループに属する物理ポートを、SPAN送信元、宛先、またはリフレクタ ポートに設定した場合は、EtherChannelグループから削除されます。SPANセッションからポートが削除されると、EtherChannelグループに復帰します。EtherChannelグループから削除されたポートはグループのメンバーに残りますが、 ダウン または スタンドアロン ステートになります。
EtherChannelグループに属する物理ポートが宛先ポートまたはリフレクタ ポートであり、かつ、EtherChannelグループが送信元である場合、ポートはEtherChannelグループおよびモニタ対象ポートのリストから削除されます。
出力モニタの場合、SPAN宛先ポートに送信されたパケットは、SPAN送信元ポートに送信されたパケットと異なる場合があります。SPAN送信元ポートでの出力側QoSポリシングによって、パケット分類が変更されることがあるためです。QoSポリシングは、SPAN宛先ポートでは適用されません。
SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでもポート セキュリティをイネーブルにしないでください。
SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートで802.1xをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでも802.1xをイネーブルにしないでください。
各スイッチでは、最大2つのSPANまたはRSPANセッションを設定(およびNVRAMに格納)することができます。SPAN、RSPAN送信元、およびRSPAN宛先セッション間で、2つのセッションを分割できます。セッションごとに送信元として、複数のポートまたはVLANを設定できます。
SPANおよびRSPANのデフォルト設定 に、SPANおよびRSPANのデフォルト設定を示します。
ここでは、スイッチにSPANを設定する方法について説明します。具体的な設定情報は次のとおりです。
SPANセッションを作成し、送信元(モニタ対象)および宛先(モニタリング)ポートを指定するには、イネーブルEXECコマンドで次の手順を実行します。
次の例は、SPANセッションとしてセッション1を設定し、宛先ポートで送信元ポートのトラフィックをモニタする手順を示します。最初に、セッション1の既存のSPAN設定を消去し、次に双方向トラフィックを送信元ポート1から宛先ポート10へミラーリングします。
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastEthernet0/1
Switch(config)# monitor session 1 destination interface fastEthernet0/10 encapsulation dot1q
SPANセッションを作成して送信元および宛先ポートを指定し、ネットワーク セキュリティ デバイス(Cisco IDS センサ装置など)用の宛先ポート上の入トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
次に、802.1Qカプセル化が未サポートのセキュリティ デバイスを使用して、VLAN 5 の入トラフィック用の宛先ポートを設定する方法の例を示します。
Switch(config)# monitor session 1 destination interface Fa 0/5 ingress vlan 5
次の例では、802.1Qカプセル化をサポートするセキュリティ デバイスを使用して、VLAN 5 の入トラフィック用の宛先ポートを設定する方法を示します。
Switch(config)# monitor session 1 destination interface Fa 0/5 encapsulation dot1q ingress vlan 5
次に、宛先ポートで入トラフィック転送をディセーブルにする方法の例を示します。
Switch(config)# monitor session 1 destination interface Fa 0/5 encapsulation dot1q
セッションのSPAN送信元としてのポートを削除するには、イネーブルEXECモードで次の手順を実行します。
SPANセッションから送信元ポートまたは宛先ポートを削除するには、 no monitor session session_number source interface interface-id または no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。カプセル化タイプをデフォルト(ネイティブ)に戻すには、 encapsulation キーワードを使用するのではなく、 monitor session session_number destination interface interface-id を実行します。
次の例は、SPANセッション1のSPAN送信元としてのポート1を削除する手順を示します。
Switch(config)# no monitor session 1 source interface fastEthernet0/1
次の例は、双方向モニタ用に設定された、ポート1での受信トラフィック モニタをディセーブルにする手順を示します。
Switch(config)# no monitor session 1 source interface fastEthernet0/1 rx
ポート1での受信トラフィックのモニタはディセーブルになりますが、このポートから送信されるトラフィックは引き続きモニタされます。
VLANのモニタは、ポートのモニタと似ています。モニタするVLANを指定するには、イネーブルEXECモードで次の手順を実行します。
SPANセッションから1つまたは複数の送信元VLANまたは宛先ポートを削除するには、 no monitor session session_number source vlan vlan-id rx または no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。
次の例は、SPANセッション2に既存の設定があれば消去し、VLAN 1〜3に所属するすべてのポートで受信トラフィックをモニタするようにSPANセッション2を設定し、宛先ポート7に送信する手順を示します。この例ではさらに、その設定を変更して、VLAN 10に所属するすべてのポートで受信トラフィックをモニタするようにしています。
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source vlan 1 - 3 rx
Switch(config)# monitor session 2 destination interface gigabitethernet0/7
特定のVLANに対するSPAN送信元トラフィックを制限するには、イネーブルEXECモードで次の手順を実行します。
トランク ポート上のすべてのVLANをモニタするには、 no monitor session session_number filter グローバル コンフィギュレーション コマンドを使用します。
次の例では、SPANセッション2に既存の設定があればクリアし、トランク ポート4での受信トラフィックをモニタするようにSPANセッション2を設定し、VLAN 1〜5および9のトラフィックのみを宛先ポート8に送信する手順を示します。
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source interface gigabitethernet0/4 rx
Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
Switch(config)# monitor session 2 destination interface gigabitethernet0/8
ここでは、スイッチにRSPANを設定する手順について説明します。具体的な設定情報は次のとおりです。
最初に、RSPANに参加するどのスイッチにおけるRSPANセッションにも 存在しない RSPAN VLANを作成します。ネットワークでVTPがイネーブルになっている場合、1つのスイッチでRSPAN VLANを作成して、VTPがそのRSPAN VLANを、VLAN IDが1005より小さいVTPドメイン内の他のスイッチに伝播させることができます。RSPAN VLANの作成方法については、 イーサネットVLANの作成または変更 を参照してください。
VTPプルーニングを使用して、RSPANトラフィックのフローを効率化するか、またはRSPANトラフィックを伝送する必要のないすべてのトランクから、RSPAN VLANを手動で削除してください。
RSPAN VLANを作成したら、イネーブルEXECモードを開始します。次の手順に従ってRSPAN送信元セッションを開始し、送信元(モニタ対象)ポートおよび宛先RSPAN VLANを指定します。
|
|
||
|
|
no monitor session { session_number | all | local | remote } |
session_number には、1または2を指定します。 すべてのRSPANセッションを削除するには all を、すべてのローカル セッションを削除するには local を、すべてのリモートSPANセッションを削除するには remote を指定します。 |
|
|
monitor session session_number source interface interface-id [ , | - ] [ both | rx | tx ] |
RSPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。 session_number には、1または2を指定します。 interface-id には、モニタする送信元ポートを指定します。有効なインターフェイスには、物理インターフェイスとポートチャネル論理インターフェイス( port-channel port-channel-number )があります。 (任意) [ , | - ] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマおよびハイフンの前後にはスペースを1つ入れます。 (任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しない場合、送信元インターフェイスは、送受信両方のトラフィックを送信します。追加の送信元ポートでは、受信( rx )トラフィックをモニタできます。 |
|
|
monitor session
session_number
|
RSPANセッション、宛先リモートVLAN、およびリフレクタ ポートを指定します。 session_number には、1または2を入力します。 vlan-id には、モニタ対象トラフィックを宛先ポートに伝送するRSPAN VLANを指定します(RSPAN VLANの作成方法については、 イーサネットVLANの作成または変更 を参照)。 interface には、RSPANトラフィックをRSPAN VLANにフラッディングするインターフェイスを指定します。 |
|
|
||
|
|
||
|
|
次の例は、セッション1の既存のRSPAN設定をクリアし、複数の送信元インターフェイスをモニタするようにRSPANセッション1を設定し、宛先RSPAN VLANおよびリフレクタ ポートを設定する手順を示します。
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastEthernet0/10 tx
Switch(config)# monitor session 1 source interface fastEthernet0/2 rx
Switch(config)# monitor session 1 source interface fastEthernet0/3 rx
Switch(config)# monitor session 1 source interface port-channel 102 rx
Switch(config)# monitor session 1 destination remote vlan 901 reflector-port fastEthernet0/1
RSPAN宛先セッションを作成し、送信元RSPAN VLANおよび宛先ポートを指定するには、イネーブルEXECコマンドで次の手順を実行します。
|
|
||
|
|
RSPANセッションおよび送信元RSPAN VLANを指定します。 |
|
|
|
monitor session
session_number
|
RSPANセッションおよび宛先インターフェイスを指定します。 session_number には、1または2を指定します。 |
|
|
||
|
|
||
|
|
次の例は、VLAN 901を送信元リモートVLANに、ポート5を宛先インターフェイスに設定する手順を示します。
Switch(config)# monitor session 1 source remote vlan 901
Switch(config)# monitor session 1 destination interface fastEthernet0/5
RSPAN宛先セッションを作成して送信元RSPAN VLANを指定し、ネットワーク セキュリティ デバイス(Cisco IDS センサ装置など)用の宛先ポート上の入トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
次の例では、送信元リモートVLANとしてVLAN 901を設定し、802.1Qカプセル化をサポートするセキュリティ デバイスを使用してVLAN 5 の入トラフィック用の宛先ポートを設定する方法を示します。
Switch(config)# monitor session 1 source remote vlan 901
Switch(config)# monitor session 1 destination interface fastEthernet0/5 ingress vlan 5
セッションのRSPAN送信元としてのポートを削除するには、イネーブルEXECモードで次の手順を実行します。
次の例は、RSPANセッション1のRSPAN送信元としてのポート1を削除する手順を示します。
Switch(config)# no monitor session 1 source interface fastEthernet0/1
次の例は、双方向モニタ用に設定された、ポート1での受信トラフィック モニタをディセーブルにする手順を示します。
Switch(config)# no monitor session 1 source interface fastEthernet0/1 rx
ポート1での受信トラフィックのモニタはディセーブルになっていますが、このポートから送信されたトラフィックは引き続きモニタされます。
VLANのモニタは、ポートのモニタと似ています。モニタするVLANを指定するには、イネーブルEXECモードで次の手順を実行します。
RSPANセッションから1つまたは複数の送信元VLANを削除するには、 no monitor session session_number source vlan vlan-id rx グローバル コンフィギュレーション コマンドを使用します。
次の例は、RSPANセッション2に既存の設定があればクリアし、VLAN 1〜3に所属するすべてのポートで受信トラフィックをモニタするようにSPANセッション2を設定し、リフレクタ ポート7を使用して宛先リモートVLAN 902に送信する方法を示します。この例ではさらに、その設定を変更して、VLAN 10に所属するすべてのポートで受信トラフィックをモニタするようにしています。
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source vlan 1 - 3 rx
Switch(config)# monitor session 2 destination remote vlan 902 reflector-port gigabitethernet0/7
特定のVLANに対するRSPAN送信元トラフィックを制限するには、イネーブルEXECモードで次の手順を実行します。
トランク ポート上のすべてのVLANをモニタするには、 no monitor session session_number filter vlan グローバル コンフィギュレーション コマンドを使用します。
次の例は、RSPANセッション2に既存の設定があればクリアし、トランク ポート4の受信したトラフィックをモニタするようにRSPANセッション2を設定し、VLAN 1〜5および9のトラフィックのみを、リフレクタ ポートとしてポート8を備えたVLAN 902に送信する方法を示します。
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source interface gigabitethernet0/4 rx
Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
Switch(config)# monitor session 2 destination remote vlan 902 reflector-port gigabitethernet0/8
現在のSPANまたはRSPAN設定を表示するには、 show monitor イネーブルEXECコマンドを使用します。
次の例は、SPAN送信元セッション1を示す show monitor イネーブルEXECコマンドの出力です。
Switch# show monitor session 1
All contents copyright (C) 1992--2003 Cisco Systems K.K.
