この章では、Catalyst 3550スイッチにSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN)を設定する方法について説明します。
SPANおよびRSPANの概要
SPANを使用すると、SwitchProbeデバイスまたはその他のRemote Monitoring(RMON)プローブやセキュリティ デバイスに接続されているスイッチの別のポートにトラフィックのコピーを送信することによって、ポートまたはVLAN(仮想LAN)を通過するネットワーク トラフィックを分析できます。SPANは、1つの送信元ポートで送信や受信(または送受信)したトラフィック、および1つまたは複数の送信元ポートまたは送信元VLANで受信したトラフィックを分析するために宛先ポートにミラーリングします。
たとえば、 図24-1 では、ポート4(送信元ポート)のすべてのトラフィックがポート8(宛先ポート)にミラーリングされています。ポート8のネットワーク アナライザは、ポート4に物理的に接続しなくても、ポート4からすべてのネットワーク トラフィックを受信します。
図24-1 SPANの設定例
SPANでモニタ対象となるのは、送信元ポートに入出力するトラフィックまたは送信元VLANに入るトラフィックだけです。入力側送信元ポートまたは送信元VLANにルーティングされるトラフィックはモニタできません。たとえば、着信トラフィックをモニタしている場合、別のVLANから送信元VLANにルーティングされているトラフィックはモニタしません。ただし、送信元VLANで受信し、別のVLANにルーティングされるトラフィックはモニタします。
RSPANは、ネットワーク内の複数のスイッチのリモート モニタリング機能をイネーブルにして、SPANを拡張します。各RSPANセッションのトラフィックは、ユーザが指定したRSPAN VLAN上で伝送されます。このRSPAN VLANは、参加しているすべてのスイッチでRSPANセッション専用です。送信元からのSPANトラフィックは、リフレクタ ポートを経由してRSPAN VLANにコピーされてから、トランク ポートを介して転送されます。トランク ポートは、RSPAN VLANをモニタするRSPAN宛先セッションにRSPAN VLANを搬送します( 図24-2 を参照)。
図24-2 RSPAN設定の例
SPANおよびRSPANは、送信元ポートまたは送信元VLANでのネットワーク トラフィックのスイッチングに影響しません。送信元インターフェイスによって送受信されたパケットの コピー は、宛先インターフェイスに送信されます。
SPANまたはRSPAN宛先ポートを使用して、ネットワーク セキュリティ デバイスから送信されたトラフィックを転送できます。たとえば、Cisco Intrusion Detection System(IDS;侵入検知システム)センサ装置を宛先ポートに接続した場合、IDS デバイスはTCPリセット パケットを送信して疑わしい攻撃者のTCPセッションを停止させることができます。
SPANおよびRSPANの概念と用語
ここでは、SPANおよびRSPANの設定に関連する概念と用語について説明します。
SPANセッション
ローカルSPANセッションは、送信元ポートと宛先ポートおよび送信元VLANとの対応付けです。RSPANセッションは、送信元ポートおよびネットワーク上の送信元VLANとRSPAN VLANとの対応付けです。宛先の送信元はRSPAN VLANです。
モニタ対象のネットワーク トラフィックの送信元を指定するパラメータを使用して、SPANセッションを設定できます。SPANセッションでのトラフィックのモニタには、次のような制限があります。
- 一連のまたは一定範囲のポートまたはVLAN上の着信トラフィックをモニタできます。
- 単一のポートの発信トラフィックをモニタできます。複数ポートの発信トラフィックはモニタできません。
- VLAN上の発信トラフィックはモニタできません。
個別のまたは重複するSPAN送信元ポートとVLANの集合を使用して、2つの独立したSPANまたはRSPANセッションを設定できます。スイッチド ポートおよびルーテッド ポートはいずれもSPAN送信元および宛先として設定できます。
SPANセッションは、スイッチの正常な動作を妨げません。ただし、SPANの宛先がオーバーサブスクライブ型ポートである場合、たとえば100 Mbpsポートをモニタする10 Mbpsポートでは、パケットが廃棄されるか、または消失する可能性があります。
ディセーブルのポートでもSPANセッションを設定できます。宛先ポートと、1つまたは複数の送信元ポートまたはVLANをイネーブルにしないかぎり、SPANセッションはアクティブになりません。 show monitor session session_number イネーブルEXECコマンドを使用すると、SPANセッションの動作ステータスが表示されます。
システムの電源投入後、宛先ポートが動作可能になるまで、SPANセッションは非アクティブなままです。
トラフィック タイプ
SPANセッションには、次のトラフィック タイプがあります。
- 受信(rx)SPAN ― 受信(または入力)SPANの目的は、スイッチが変更または処理を行う前に送信元インターフェイスまたはVLANが受信したすべてのパケットをできるかぎり多くモニタすることです。送信元が受信した各パケットのコピーがそのSPANセッションの宛先ポートに送信されます。1つのSPANセッションで、一連のまたは一定範囲の入力ポートまたはVLANをモニタできます。
タグ付きパケット(ISL[スイッチ間リンク]またはIEEE 802.1Q)では、タギングは入力ポートで削除されます。宛先ポートでは、タギングがイネーブルの場合、パケットは、ISLまたはIEEE 802.1Qヘッダー付きで表示されます。タギングが指定されていない場合は、パケットはネイティブのフォーマットで表示されます。
ルーティングが原因で変更されたパケットは、rx SPAN用に変更されることなくコピーされます。つまり、元のパケットがコピーされます。Quality of Service(QoS;サービス品質)が原因で変更されたパケット(たとえば、変更済みDifferentiated Services Code Point[DSCP])は、rx SPAN用に変更してコピーされます。
機能によっては受信処理中にパケットを廃棄することがありますが、この機能はSPANには無効です。実際の着信パケットが廃棄された場合でも、宛先ポートはパケットのコピーを受信します。パケットを廃棄する可能性のある機能には、標準および拡張IP入力Access Control List(ACL;アクセス制御リスト)、ユニキャストおよび入力側QoSポリシング用の標準および拡張IP出力ACL、VLANマップ、入力側QoSポリシング、ポリシーベース ルーティングなどがあります。パケットの廃棄を引き起こすスイッチ輻輳も、SPANには無効です。
- 送信(tx)SPAN ― 送信(または出力)SPANの目的は、スイッチによる変更または処理がすべて実行されたあとに、送信元インターフェイスから送信されたすべてのパケットをできるかぎり多くモニタすることです。送信元から送信された各パケットのコピーは、そのSPANセッションに対応する宛先ポートに送信されます。コピーは、パケットの変更後送信されます。
1つのSPANセッションでは、出力側送信元ポートが1つだけ許可されます。出力方向ではVLANモニタはサポートされません。
ルーティングが原因で変更されたパケット(たとえば、Time to Live [TTL]またはMAC[メディア アクセス制御]アドレス変更付き)は、宛先ポートでコピーされます。QoSが原因で変更されたパケットは、SPAN送信元とは異なるDSCP(IPパケット)またはClass of Service(CoS;サービス クラス)(非IPパケット)を設定されることがあります。
送信処理中にパケットを廃棄する可能性のある機能は、SPAN用のコピーにも影響を与えます。これらの機能には、VLANマップ、マルチキャスト パケットの標準および拡張IP出力ACL、出力QoSポリシングなどがあります。出力ACLの場合は、SPAN送信元がパケットを廃棄すると、SPANの宛先もパケットを廃棄します。出力側QoSポリシングの場合は、SPAN送信元がパケットを廃棄しても、SPAN宛先はパケットを廃棄するとは限りません。送信元ポートがオーバーサブスクライブ型である場合、宛先ポートは別の廃棄動作を行います。
送信元ポート
送信元ポート(別名 モニタ対象ポート )は、ネットワーク トラフィック分析のためにモニタするスイッチド ポートまたはルーテッド ポートです。1つのローカルSPANセッションまたはRSPAN送信元セッションで、受信(rx)、送信(tx)、または双方向(both)などの送信元ポート トラフィックをモニタできます。ただし、VLANでは、受信トラフィックしかモニタできません。スイッチは、任意の数の送信元ポート(スイッチで利用可能なポートの最大数まで)と任意の数の送信元入力側VLAN(サポートされているVLANの最大数まで)をサポートします。
- すべてのポート タイプ(EtherChannel、ファスト イーサネット、ギガビット イーサネットなど)が可能です。
- 複数のSPANセッションでモニタできます。
- 宛先ポートに指定することはできません。
- 各送信元ポートに、モニタする方向(入力、出力、両方)を設定できます。EtherChannelの送信元に設定する場合、モニタする方向はグループ内のすべての物理ポートに適用されます。
- 送信元ポートは同じVLAN内にあっても異なるVLANにあってもかまいません。
- VLAN SPAN送信元の場合、送信元VLAN内のすべてのアクティブ ポートは、送信元ポートとして組み入れられます。
トランク ポートを、送信元ポートとして設定できます。デフォルトでは、トランク上でアクティブなすべてのVLANがモニタされます。VLANフィルタリングを使用すれば、特定のVLANだけをトランク送信元ポートでのSPANトラフィックのモニタ対象にできます。選択されたVLANのスイッチド トラフィックのみが宛先ポートに送信されます。この機能は、宛先SPANポートに転送されたトラフィックのみに作用し、通常のトラフィックのスイッチングには影響を与えません。この機能は、VLAN送信元によるセッションでは許可されません。
宛先ポート
各ローカルSPANセッションまたはRSPAN宛先セッションには、送信元ポートおよびVLANからのトラフィックのコピーを受信する宛先ポート(別名 モニタリング ポート )を設定する必要があります。
- 送信元ポートと同じスイッチになければなりません(ローカルSPANセッションの場合)。
- 任意のイーサネット物理ポートにできます。
- 一度に1つのSPANセッションにしか加入できません(あるSPANセッションの宛先ポートは、別のSPANセッションの宛先ポートになることはできません)。
- 送信元ポートまたはリフレクタ ポートになることはできません。
- EtherChannelグループまたはVLANにはできません。
- EtherChannelグループがSPAN送信元として指定されている場合でも、EtherChannelグループに割り当てられた物理ポートに指定できます。ポートは、SPAN宛先ポートとして設定されている間、グループから削除されます。
- このポートでは、SPANセッションに必要なトラフィック以外の転送は行われません。
- 入力トラフィックの転送がネットワーク セキュリティ デバイスでイネーブルの場合、宛先ポートはレイヤ2でトラフィックを転送します。
- SPANセッションがアクティブな間は、スパニングツリーに加入しません。
- 宛先ポートである場合は、どのレイヤ2プロトコル(Cisco Discovery Protocol [CDP]、VLAN Trunk Protocol[VTP;VLANトランク プロトコル]、Dynamic Trunking Protocol [DTP]、Spanning-Tree Protocol[STP;スパニングツリー プロトコル]、Port Aggregation Protocol [PAgP]、またはLink Aggregation Control Protocol [LACP])にも加入しません。
- SPANセッションの送信元VLANに属する宛先ポートは、送信元リストから除外され、モニタされません。
- 宛先ポートではアドレス学習は実行されません。
リフクレタ ポート
リフレクタ ポートは、RSPAN VLANにパケットをコピーするためのメカニズムで、加入しているRSPAN送信元セッションからのトラフィックのみを転送します。リフレクタ ポートとして設定されているポートに接続しているデバイスは、RSPAN送信元セッションがディセーブルになるまで接続が切断されています。
- ループバックを設定されたポートです。
- EtherChannelグループにはできません。トランキングは行わず、プロトコル フィルタリングも実行できません。
- EtherChannelグループがSPAN送信元として指定されている場合でも、EtherChannelグループに割り当てられた物理ポートに指定できます。ポートは、リフレクタ ポートとして設定されている間、グループから削除されます。
- リフレクタ ポートとして使用されるポートは、SPAN送信元または宛先ポートにすることはできません。また、ポートは、一度に複数のセッションでリフレクタ ポートにすることもできません。
- すべてのVLANに対して不可視です。
- リフレクタ ポートでのループバック トラフィック用のネイティブVLANは、RSPAN VLANです。
- リフレクタ ポートは、タグなしトラフィックをスイッチにループバックします。ループバックされたトラフィックは、RSPAN VLANに入り、RSPAN VLANを伝送するいずれかのトランク ポートにフラッディングされます。
- リフレクタ ポートでは、スパニングツリーは自動的にディセーブルになります。
対応する送信元ポートおよびVLANからのトラフィック量を処理できるだけの帯域幅がリフレクタ ポートにない場合は、超過パケットは廃棄されます。10/100ポートは100 Mbpsで反映します。ギガビット ポートは1 Gbpsで反映します。
VSPAN
VLAN-based SPAN(VSPAN)では、1つまたは複数のVLANのネットワーク トラフィックをモニタできます。受信(rx)トラフィックのみをモニタするようにVSPANを設定できますが、この場合、設定はそのVLANのすべてのポートに適用されます。
- モニタ対象のVLAN上のトラフィックのみが宛先ポートに送信されます。
- 宛先ポートが送信元VLANに所属する場合は、送信元リストから除外され、モニタされません。
- ポートが送信元VLANに追加または削除されると、これらのポートで受信された送信元VLANのトラフィックは、モニタ中の送信元に追加または削除されます。
- VLANプルーニングとVLAN許可リストは、SPANモニタには無効です。
- VSPANがモニタするのはスイッチに入るトラフィックに限られ、VLAN間をルーティングするトラフィックはモニタしません。たとえば、VLANが受信でモニタされ、マルチレイヤ スイッチが別のVLANからのトラフィックをモニタ対象のVLANにルーティングする場合、そのトラフィックはモニタ対象とはならず、SPAN宛先ポートで受信されません。
- 同じセッション内のフィルタVLANをVLAN送信元と併用することはできません。
- モニタできるのは、イーサネットVLANだけです。
SPANトラフィック
ローカルSPANを使用すると、マルチキャスト パケットおよびBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)パケットをはじめ、CDP、VTP、DTP、STP、PAgP、LACPパケットなど、すべてのネットワーク トラフィックをモニタできます。RSPANでは、レイヤ2プロトコルをモニタすることはできません。詳細については、 RSPAN設定時の注意事項 を参照してください。
SPANの設定によっては、同じ送信元パケットの複数のコピーがSPAN宛先ポートに送信される場合があります。たとえば、送信元a1受信モニタおよびa2送受信モニタから宛先ポートd1まで、双方向(受信と送信の両方)SPANセッションが設定されているとします。パケットがa1からスイッチに入り、a2へスイッチングされると、着信パケットおよび発信パケットの両方が宛先ポートd1に送信されます。このため、両方のパケットは同じものになります(レイヤ3書き換えが行われた場合には、付加されたレイヤ3情報のため異なるパケットになります)。
SPANおよびRSPANのほかの機能との相互作用
- ルーティング ― 入力SPANはルーティング トラフィックをモニタしません。VSPANがモニタするのはスイッチに入るトラフィックに限られ、VLAN間をルーティングするトラフィックはモニタしません。たとえば、VLANが受信モニタされ、マルチレイヤ スイッチが別のVLANからモニタ対象VLANにトラフィックをルーティングする場合、そのトラフィックはモニタされず、SPAN宛先ポートで受信されません。
- STP ― 宛先ポートまたはリフレクタ ポートは、SPANまたはRSPANセッションがアクティブな間、STPに加入しません。SPANまたはRSPANセッションがディセーブルになると、これらのポートはSTPに加入します。送信元ポートでは、SPANはSTPステータスに影響を与えません。STPは、RSPAN VLANを伝送するトランク ポート上でアクティブにできます。
- CDP ― SPAN宛先ポートは、SPANセッションがアクティブな間はCDPに加入しません。SPANセッションがディセーブルになると、ポートは再びCDPに関与します。
- VTP ― VTPを使用して、スイッチ間でRSPAN VLANをプルーニングできます。
- VLANおよびトランキング ― 送信元、宛先、およびリフレクタ ポートのVLANメンバーシップまたはトランク設定は、いつでも変更できます。ただし、宛先ポートまたはリフレクタ ポートのVLANメンバーシップまたはトランク設定に対する変更は、SPANまたはRSPANセッションをディセーブルにするまでは有効になりません。送信元ポートのVLANメンバーシップまたはトランク設定の変更はただちに有効になり、対応するSPANセッションは、変更に応じて自動的に調整されます。
- EtherChannel ― EtherChannelグループを送信元ポートに設定できますが、SPAN宛先ポートには設定できません。グループをSPAN送信元として設定すると、グループ全体がモニタ対象となります。
モニタ対象EtherChannelグループにポートを追加すると、新しいポートがSPAN送信元ポート リストに追加されます。モニタ対象EtherChannelグループからポートを削除すると、SPAN送信元ポート リストから自動的に削除されます。そのポートがEtherChannelグループの唯一のポートである場合は、EtherChannelグループはSPANから削除されます。
EtherChannelグループに属する物理ポートを、SPAN送信元、宛先、またはリフレクタ ポートに設定した場合は、EtherChannelグループから削除されます。SPANセッションからポートが削除されると、EtherChannelグループに復帰します。EtherChannelグループから削除されたポートはグループのメンバーに残りますが、 ダウン または スタンドアロン ステートになります。
EtherChannelグループに属する物理ポートが宛先ポートまたはリフレクタ ポートであり、かつEtherChannelグループが送信元である場合、ポートはEtherChannelグループおよびモニタ対象ポートのリストから削除されます。
- QoS ― 入力モニタの場合、SPAN宛先ポートに送信されたパケットは、SPAN送信元ポートで実際に受信したパケットと異なることがあります。パケットが入力側QoS分類およびポリシングのあとで転送されたためです。パケットのDSCPは、受信されたパケットと異なる場合があります。
出力モニタの場合、SPAN宛先ポートに送信されたパケットは、SPAN送信元ポートに送信されたパケットと異なる場合があります。SPAN送信元ポートでの出力側QoSポリシングによって、パケット分類が変更されることがあるためです。QoSポリシングは、SPAN宛先ポートでは適用されません。
- マルチキャスト トラフィックをモニタできます。出力側および入力側ポート モニタの場合は、未編集パケットが1つだけSPAN宛先ポートに送信されます。マルチキャスト パケットが送信された回数は反映されません。
- ポート セキュリティ ― セキュア ポートはSPAN宛先ポートにはできません。
SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでもポート セキュリティをイネーブルにしないでください。
- 802.1X ― SPAN宛先ポートまたはリフレクタ ポートで802.1Xをイネーブルにできますが、SPAN宛先ポートまたはリフレクタ ポートとして削除するまでは、802.1Xはディセーブルに設定されます。SPAN送信元ポートでは、802.1Xをイネーブルにできます。
SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートで802.1Xをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでも802.1Xをイネーブルにしないでください。
SPANおよびRSPANのセッション限度
スイッチ上に、1つのローカルSPANセッションまたは複数のRSPANセッションを設定(およびNVRAM [不揮発性RAM]に格納)できます。各スイッチでは、最大2つのSPANまたはRSPANセッションを設定(およびNVRAMに格納)できます。SPAN、RSPAN送信元、およびRSPAN宛先セッション間で、2つのセッションを分割できます。セッションごとに送信元として、複数のポートまたはVLANを設定できます。
SPANおよびRSPANのデフォルト設定
表24-1 に、SPANおよびRSPANのデフォルト設定を示します。
|
受信トラフィックと送信トラフィックの両方( both )。追加の送信元ポートまたはVLANでは、受信( rx )トラフィックだけをモニタできます。 |
|
SPANの設定
ここでは、スイッチにSPANを設定する方法について説明します。具体的な設定情報は次のとおりです。
- SPAN設定時の注意事項
- SPANセッションの作成とモニタするポートの指定
- SPANセッションの作成と入力トラフィックのイネーブル化
- SPANセッションからのポートの削除
- モニタするVLANの指定
- フィルタリングするVLANの指定
SPAN設定時の注意事項
- SPANセッションは、 SPANおよびRSPANのセッション限度 に記載された限度内であれば、RSPANセッションと共存できます。
- 宛先ポートは送信元ポートにできません。また、送信元ポートは宛先ポートにできません。
- 宛先ポートはSPANセッションごとに1つしか設定できません。同じ宛先ポートで2つのSPANセッションを設定することはできません。
- EtherChannelポートはSPAN送信元ポートにできますが、SPAN宛先ポートにはできません。
- 802.1XポートはSPAN送信元ポートにできます。SPAN宛先ポートまたはリフレクタ ポートで802.1Xをイネーブルにできますが、SPAN宛先ポートまたはリフレクタ ポートとして削除するまでは、802.1Xはディセーブルに設定されます。
- SPAN送信元ポートの場合は、1つのポートの送信トラフィック、あるいは一連のまたは一定範囲のポートまたはVLANの受信トラフィックをモニタできます。
- スイッチ ポートをSPAN宛先ポートに設定すると、通常のスイッチ ポートではなくなります。SPAN宛先ポートを通過するのは、モニタ対象のトラフィックだけです。
- トランク ポートは、送信元ポートにも宛先ポートにも設定できます。SPAN宛先ポートを通過する送信パケットは、設定済みのカプセル化ヘッダー(ISLまたはIEEE 802.1Qのいずれか)を伝送します。カプセル化タイプが定義されていない場合、パケットはネイティブ フォームで送信されます。
- ディセーブルに設定されているポートを送信元または宛先ポートにすることはできますが、SPAN機能は、宛先ポートおよび1つ以上の送信元ポートまたは送信元VLANがイネーブルになるまでは起動しません。
- 受信トラフィックの場合、複数の送信元ポートと送信元VLANを1つのSPANセッションで混在させることができます。送信元VLANとフィルタVLANを1つのSPANセッションで混在させることはできません。送信元VLANまたはフィルタVLANのどちらかを組み入れることはできますが、同時に組み入れることはできません。
- filter vlan キーワードを使用すると、特定のVLANに対してSPANトラフィックを制限できます。モニタ対象がトランク ポートの場合、このキーワードで指定されたVLAN上のトラフィックのみがモニタされます。デフォルトでは、トランク ポートのすべてのVLANがモニタされます。
- SPAN宛先ポートは、どのVLANスパニングツリーにも加入しません。SPANのモニタ対象トラフィックにBPDUが含まれているので、SPANセッションのSPAN宛先ポートで受信されたスパニングツリーBPDUは、SPAN送信元ポートからのコピーです。
- SPANがイネーブルのときに設定変更を行うと、次のような結果になります。
- − 宛先ポートのVLAN設定を変更すると、SPANがディセーブルになるまで変更は有効になりません。
- − すべての送信元ポートまたは宛先ポートをディセーブルにすると、送信元ポートおよび宛先ポートの両方がイネーブルになるまでSPAN機能は停止します。
- − 送信元がVLANである場合は、モニタされるポートの数は、モニタ対象のVLAN間でポートを移動するに伴って変化します。
SPANセッションの作成とモニタするポートの指定
SPANセッションを作成し、送信元(モニタ対象)および宛先(モニタ側)ポートを指定するには、イネーブルEXECモードで次の手順を実行します。
次の例は、SPANセッション1を設定し、宛先ポートで送信元ポートのトラフィックをモニタする手順を示します。最初に、セッション1の既存のSPAN設定を消去し、次に双方向トラフィックを送信元ポート1から宛先ポート8にミラーリングします。
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastethernet0/1
Switch(config)# monitor session 1 destination interface fastethernet0/8 encapsulation dot1q
SPANセッションの作成と入力トラフィックのイネーブル化
SPANセッションを作成して送信元および宛先ポートを指定し、ネットワーク セキュリティ デバイス(Cisco IDSセンサ装置など)用の宛先ポートの入力トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
次に、IEEE 802.1Qカプセル化が未サポートのセキュリティ デバイスを使用して、VLAN 5の入力トラフィック用の宛先ポートを設定する方法の例を示します。
Switch(config)# monitor session 1 destination interface fastethernet0/5 ingress vlan 5
次の例では、IEEE 802.1Qカプセル化をサポートするセキュリティ デバイスを使用して、VLAN 5の入力トラフィック用の宛先ポートを設定する方法を示します。
Switch(config)# monitor session 1 destination interface fastethernet0/5 encapsulation dot1q ingress vlan 5
次に、宛先ポートで入力トラフィック転送をディセーブルにする方法の例を示します。
Switch(config)# monitor session 1 destination interface fastethernet0/5 encapsulation dot1q
SPANセッションからのポートの削除
セッションのSPAN送信元としてのポートを削除するには、イネーブルEXECモードで次の手順を実行します。
SPANセッションから送信元ポートまたは宛先ポートを削除するには、 no monitor session session_number source interface interface-id または no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。カプセル化タイプをデフォルト(ネイティブ)に戻すには、 encapsulation キーワードを使用するのではなく、 monitor session session_number destination interface interface-id を実行します。
次の例は、SPANセッション1のSPAN送信元としてのポートを削除する手順を示します。
Switch(config)# no monitor session 1 source interface fastethernet0/1
次の例は、双方向モニタ用に設定された、ポートでの受信トラフィック モニタをディセーブルにする手順を示します。
Switch(config)# no monitor session 1 source interface fastethernet0/1 rx
ポート1での受信トラフィックのモニタはディセーブルになりますが、このポートから送信されるトラフィックは引き続きモニタされます。
モニタするVLANの指定
VLANのモニタは、ポートのモニタと似ています。モニタするVLANを指定するには、イネーブルEXECモードで次の手順を実行します。
SPANセッションから1つまたは複数の送信元VLANまたは宛先ポートを削除するには、 no monitor session session_number source vlan vlan-id rx または no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。
次の例は、SPANセッション2に既存の設定があれば消去し、VLAN 1〜3に所属するすべてのポートで受信トラフィックをモニタするようにSPANセッション2を設定し、宛先ポート7に送信する手順を示します。この例ではさらに、その設定を変更して、VLAN 10に所属するすべてのポートで受信トラフィックをモニタするようにしています。
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source vlan 1 - 3 rx
Switch(config)# monitor session 2 destination interface gigabitethernet0/7
Switch(config)# monitor session 2 source vlan 10 rx
フィルタリングするVLANの指定
特定のVLANに対するSPAN送信元トラフィックを制限するには、イネーブルEXECモードで次の手順を実行します。
トランク ポート上のすべてのVLANをモニタするには、 no monitor session session_number filter グローバル コンフィギュレーション コマンドを使用します。
次の例では、SPANセッション2に既存の設定があればクリアし、トランク ポート4での受信トラフィックをモニタするようにSPANセッション2を設定し、VLAN 1〜5およびVLAN 9のトラフィックのみを宛先ポート8に送信する手順を示します。
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source interface gigabitethernet0/4 rx
Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
Switch(config)# monitor session 2 destination interface gigabitethernet0/8
RSPANの設定
ここでは、スイッチにRSPANを設定する手順について説明します。具体的な設定情報は次のとおりです。
- RSPAN設定時の注意事項
- RSPAN VLANとしてのVLAN設定
- RSPAN送信元セッションの作成
- RSPAN宛先セッションの作成
- RSPAN宛先セッションの作成と入力トラフィックのイネーブル化
- RSPANセッションからのポートの削除
- モニタするVLANの指定
- フィルタリングするVLANの指定
RSPAN設定時の注意事項
- RSPANには、 SPAN設定時の注意事項 のすべての項目が当てはまります。
- RSPAN VLANには特殊なプロパティがあるので、RSPAN VLANとして使用するVLANをネットワーク上にいくつか確保しておき、これらのVLANにはアクセス ポートを割り当てないでください。
- RSPANトラフィックに出力ACLを適用して、特定のパケットを選択してフィルタリングまたはモニタできます。これらのACLは、RSPAN送信元スイッチ内のRSPAN VLAN上で指定します。
- RSPANセッションは、 SPANおよびRSPANのセッション限度 に記載された限度内であれば、SPANセッションと共存できます。
- RSPANの設定では、送信元ポートと宛先ポートをネットワーク内の複数のスイッチに分散させることができます。
- RSPANリフレクタ ポートとして指定されているポートを、RSPAN送信元ポートまたはRSPAN宛先ポートにすることはできません。
- スイッチ ポートをリフレクタ ポートに設定すると、通常のスイッチ ポートではなくなります。リフレクタ ポートを通過するのは、ループバックされたトラフィックだけです。
- RSPANはBPDUパケット モニタリング、その他のレイヤ2スイッチ プロトコルをサポートしません。
- RSPAN VLANはトランク ポートにのみ設定されており、アクセス ポートには設定されていません。不要なトラフィックがRSPAN VLANに発生するのを防ぐため、参加しているすべてのスイッチでVLANリモートSPAN機能がサポートされていることを確認してください。RSPAN VLANのアクセス ポートは自動的にディセーブルになります。
- 送信元トランク ポートにアクティブなRSPAN VLANが設定されている場合、RSPAN VLANはポートベースRSPANセッションの送信元として組み込まれます。また、RSPAN VLANをSPANセッションの送信元にすることもできます。
- 任意のVLANをRSPAN VLANとして設定するには、次の条件を満たす必要があります。
- − RSPAN VLANに、アクセス ポートが設定されていない。
- − すべてのスイッチで、RSPANセッションに同じRSPAN VLANが使用されている。
- − 参加するすべてのスイッチがRSPANをサポートしている。
- RSPAN VLANを作成してから、RSPAN送信元または宛先セッションを設定する必要があります。
- VTPおよびVTPプルーニングがイネーブルの場合、RSPANトラフィックはトランクでプルーニングされ、ネットワーク上でVLAN IDが1005より小さいRSPANトラフィックの不要なフラッディングを防止できます。
- RSPANトラフィックはRSPAN VLANのネットワーク上で伝送されるため、ミラーリングされたパケットの元のVLANアソシエーションは消失します。したがって、RSPANでは、IDSデバイスからユーザが指定した単一VLANへのトラフィック転送のみをサポートします。
RSPAN VLANとしてのVLAN設定
最初に、RSPANセッション用のRSPAN VLANにするVLANを新規に作成します。RSPANに参加するすべてのスイッチにRSPAN VLANを作成する必要があります。RSPAN VLAN IDが標準範囲(1005以下)内で、ネットワークのVTPがイネーブルの場合、1つのスイッチにRSPAN VLANを作成して、それをVTPドメイン内の他のスイッチにVTPから伝播させることができます。拡張範囲VLAN(1006以上)では、送信元と宛先スイッチの両方、および中間スイッチにRSPAN VLANを設定する必要があります。
VTPプルーニングを使用して、RSPANトラフィックのフローを効率化するか、またはRSPANトラフィックを伝送する必要のないすべてのトランクから、RSPAN VLANを手動で削除してください。
RSPAN VLANを作成するには、イネーブルEXECモードで次の手順を実行します。
VLANからリモートSPANの特性を削除して標準のVLANに戻すには、 no remote-span VLANコンフィギュレーション コマンドを使用します。
Switch(config-vlan)# remote span
RSPAN送信元セッションの作成
RSPAN送信元セッションを開始し、モニタ対象の送信元および宛先RSPAN VLANを指定するには、イネーブルEXECモードで次の手順を実行します。
|
no monitor session { session_number | all | local | remote } |
session_number には、1または2を指定します。 すべてのRSPANセッションを削除するには all を、すべてのローカル セッションを削除するには local を、すべてのリモートSPANセッションを削除するには remote を指定します。 |
|
|
monitor session session_number source interface interface-id [ , | - ] [ both | rx | tx ] |
RSPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。 session_number には、1または2を指定します。 interface-id には、モニタする送信元ポートを指定します。有効なインターフェイスには、物理インターフェイスとポートチャネル論理インターフェイス( port-channel port-channel-number )があります。 (任意) [ , | - ] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマおよびハイフンの前後にはスペースを1つ入れます。 (任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しない場合、送信元インターフェイスは、送受信両方のトラフィックを送信します。追加の送信元ポートでは、受信( rx )トラフィック のみ をモニタできます。 |
|
|
monitor session session_number destination remote vlan vlan-id reflector-port interface |
RSPANセッション、宛先リモートVLAN、およびリフレクタ ポートを指定します。 session_number には、1または2を入力します。 vlan-id には、モニタ対象トラフィックを宛先ポートに伝送するRSPAN VLANを指定します。(RSPAN VLANの作成方法については、 イーサネットVLANの作成または変更 を参照)。 interface には、RSPANトラフィックをRSPAN VLANにフラッディングするインターフェイスを指定します。 |
|
次の例は、セッション1の既存のRSPAN設定をクリアし、複数の送信元インターフェイスをモニタするようにRSPANセッション1を設定し、宛先RSPAN VLANおよびリフレクタ ポートを設定する手順を示します。
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastethernet0/10 tx
Switch(config)# monitor session 1 source interface fastethernet0/2 rx
Switch(config)# monitor session 1 source interface fastethernet0/3 rx
Switch(config)# monitor session 1 source interface port-channel 102 rx
Switch(config)# monitor session 1 destination remote vlan 901 reflector-port fastethernet0/1
RSPAN宛先セッションの作成
RSPAN宛先セッションを作成し、送信元RSPAN VLANおよび宛先ポートを指定するには、イネーブルEXECモードで次の手順を実行します。
|
RSPANセッションおよび送信元RSPAN VLANを指定します。 |
||
|
monitor session session_number destination interface interface-id [ encapsulation { dot1q | isl } ] |
RSPANセッションおよび宛先インターフェイスを指定します。 session_number には、1または2を指定します。 |
|
次の例は、VLAN 901を送信元リモートVLANに、ポート5を宛先インターフェイスに設定する手順を示します。
Switch(config)# monitor session 1 source remote vlan 901
Switch(config)# monitor session 1 destination interface fastethernet0/5
RSPAN宛先セッションの作成と入力トラフィックのイネーブル化
RSPAN宛先セッションを作成して送信元RSPAN VLANを指定し、ネットワーク セキュリティ デバイス(Cisco IDSセンサ装置など)用の宛先ポート上の入力トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
次の例では、送信元リモートVLANとしてVLAN 901を設定し、802.1Qカプセル化をサポートするセキュリティ デバイスを使用してVLAN 5の入力トラフィック用の宛先ポートを設定する方法を示します。
Switch(config)# monitor session 1 source remote vlan 901
Switch(config)# monitor session 1 destination interface fastEthernet0/5 ingress vlan 5
RSPANセッションからのポートの削除
セッションのRSPAN送信元としてのポートを削除するには、イネーブルEXECモードで次の手順を実行します。
次の例は、RSPANセッション1のRSPAN送信元としてのポート1を削除する手順を示します。
Switch(config)# no monitor session 1 source interface fastEthernet0/1
次の例は、双方向モニタ用に設定された、ポート1での受信トラフィック モニタをディセーブルにする手順を示します。
Switch(config)# no monitor session 1 source interface fastEthernet0/1 rx
ポート1での受信トラフィックのモニタはディセーブルになっていますが、このポートから送信されたトラフィックは引き続きモニタされます。
モニタするVLANの指定
VLANのモニタは、ポートのモニタと似ています。モニタするVLANを指定するには、イネーブルEXECモードで次の手順を実行します。
RSPANセッションから1つまたは複数の送信元VLANを削除するには、 no monitor session session_number source vlan vlan-id rx グローバル コンフィギュレーション コマンドを使用します。
次の例は、RSPANセッション2に既存の設定があればクリアし、VLAN 1〜3に所属するすべてのポートで受信トラフィックをモニタするようにRSPANセッション2を設定し、リフレクタ ポート7を使用して宛先リモートVLAN 902に送信する方法を示します。この例ではさらに、その設定を変更して、VLAN 10に所属するすべてのポートで受信トラフィックをモニタするようにしています。
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source vlan 1 - 3 rx
Switch(config)# monitor session 2 destination remote vlan 902 reflector-port gigabitethernet0/7
Switch(config)# monitor session 2 source vlan 10 rx
フィルタリングするVLANの指定
特定のVLANに対するRSPAN送信元トラフィックを制限するには、イネーブルEXECモードで次の手順を実行します。
トランク ポート上のすべてのVLANをモニタするには、 no monitor session session_number filter vlan グローバル コンフィギュレーション コマンドを使用します。
次の例は、RSPANセッション2に既存の設定があればクリアし、トランク ポート4の受信したトラフィックをモニタするようにRSPANセッション2を設定し、VLAN 1〜5およびVLAN 9のトラフィックのみを、リフレクタ ポートとしてポート8を使用した宛先リモートVLAN 902に送信する方法を示します。
Switch(config)# no monitor session 2
Switch(config)# monitor session 2 source interface gigabitethernet0/4 rx
Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
Switch(config)# monitor session 2 destination remote vlan 902 reflector-port gigabitethernet0/8
SPANおよびRSPANステータスの表示
現在のSPANまたはRSPAN設定を表示するには、 show monitor イネーブルEXECコマンドを使用します。
次の例は、SPAN送信元セッション1を示す show monitor イネーブルEXECコマンドの出力です。
Switch# show monitor session 1
