 |
SPANおよびRSPANの設定
この章では、Catalyst 3750スイッチにSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN)を設定する方法について説明します。特に明記しないかぎり、
スイッチ
という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
-
この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
この章で説明する内容は、次のとおりです。
SPANおよびRSPANの概要
ポートまたはVLANを通過するネットワーク トラフィックを分析するには、SPANまたはRSPANを使用して、そのスイッチの別のポート、またはネットワーク アナライザなどのモニタリング デバイスやセキュリティ デバイスに接続されている別のスイッチ上のポートにトラフィックのコピーを送信します。SPANは送信元ポートまたは送信元VLAN上で受信、送信、または送受信されたトラフィックを宛先ポートにコピー(ミラーリング)して、分析します。SPANは送信元ポートまたはVLAN上のネットワーク トラフィックのスイッチングに影響を与えません。宛先ポートをSPAN専用にする必要があります。SPANまたはRSPANセッションに必要なトラフィック以外のトラフィックを、宛先ポートが受信または転送することはありません。
SPANを使用してモニタできるのは、送信元ポートを出入りするトラフィックまたは送信元VLANに出入りするトラフィックだけです。送信元VLANにルーティングされるトラフィックはモニタできません。たとえば、着信トラフィックをモニタしている場合、別のVLANから送信元VLANにルーティングされているトラフィックはモニタできません。ただし、送信元VLANで受信し、別のVLANにルーティングされるトラフィックは、モニタできます。
SPANまたはRSPAN宛先ポートを使用すると、ネットワーク セキュリティ デバイスからトラフィックを送信できます。たとえば、Cisco Intrusion Detection System(IDS;侵入検知システム)センサ装置を宛先ポートに接続した場合、IDSデバイスはTCPリセット パケットを送信して疑わしい攻撃者のTCPセッションを停止させることができます。
ここで説明する内容は次のとおりです。
ローカルSPAN
ローカルSPANは1つのスイッチ内のSPANセッション全体をサポートします。すべての送信元ポートまたは送信元VLAN、および宛先ポートは、同じスイッチまたはスイッチ スタック内にあります。ローカルSPANは、任意のVLAN上の1つまたは複数の送信元ポートあるいは1つまたは複数のVLANから宛先ポートに送信されるトラフィックをコピーして、分析します。たとえば、
単一スイッチでのローカルSPANの設定例
では、ポート5(送信元ポート)上のすべてのトラフィックがポート10 (宛先ポート)にミラーリングされています。ポート10のネットワーク アナライザは、ポート5に物理的に接続しなくても、ポート5からすべてのネットワーク トラフィックを受信します。
RSPAN
RSPANを使用すると、複数のスイッチ(または複数のスイッチ スタック)上で送信元ポート、送信元VLAN、および宛先ポートがサポートされるため、ネットワーク内で複数のスイッチのリモート モニタリングが可能になります(
RSPANの設定例
を参照)。各RSPANセッションのトラフィックは、ユーザが指定したRSPAN VLAN上で伝送されます。このRSPAN VLANは、参加しているすべてのスイッチでRSPANセッション専用です。送信元ポートまたはVLANからのRSPANトラフィックはRSPAN VLANにコピーされ、RSPAN VLANを伝送するトランク ポートを介して、RSPAN VLANをモニタする宛先セッションに転送されます。各RSPAN送信元スイッチでは、RSPAN送信元としてポートまたはVLANのいずれかを設定する必要があります。宛先は常に物理ポートになります。
SPANおよびRSPANの概念と用語
ここでは、SPANおよびRSPANの設定に関連する概念と用語について説明します。
SPANセッション
SPANセッション(ローカルまたはリモート)を使用すると、1つまたは複数のポート、あるいは1つまたは複数のVLAN上でトラフィックをモニタし、モニタしたトラフィックを1つまたは複数の宛先ポートに送信できます。
ローカルSPANセッションは、宛先ポートと送信元ポートまたは送信元VLAN(すべて単一のネットワーク デバイス上にある)の対応づけです。ローカルSPANには、送信元セッションおよび宛先セッションが個別に設定されません。ローカルSPANセッションはユーザが指定した入力および出力のパケット セットを収集し、SPANデータ ストリームを形成して、宛先ポートに転送します。
RSPANは1つまたは複数のRSPAN送信元セッション、1つのRSPAN VLAN、および1つまたは複数のRSPAN宛先セッションで構成されます。RSPAN送信元セッションとRSPAN宛先セッションは、異なるネットワーク デバイス上に別々に設定します。デバイスにRSPAN送信元セッションを設定するには、送信元ポートまたは送信元VLANのセットをRSPAN VLANと関連づけます。このセッションの出力は、RSPAN VLANに送信されるSPANパケットのストリームです。別のデバイスにRSPAN宛先セッションを設定するには、宛先ポートをRSPAN VLANと関連づけます。宛先セッションはRSPAN VLANトラフィックをすべて収集し、RSPAN宛先ポートに送信します。
RSPAN送信元セッションは、パケット ストリームの転送先を除き、ローカルSPANセッションに非常に似ています。RSPAN送信元セッションでは、SPANパケットにRSPAN VLAN IDラベルが再設定され、通常のトランク ポートを介して宛先スイッチに転送されます。
RSPAN宛先セッションはRSPAN VLAN上で受信されたすべてのパケットからVLANタギングを除去し、宛先ポートに送ります。RSPAN宛先セッションの目的は、(レイヤ2制御パケットを除く)すべてのRSPAN VLANパケットをユーザにコピーして、分析することです。
同じRSPAN VLAN内で、複数の送信元セッションと複数の宛先セッションをアクティブにすることができます。RSPAN送信元セッションと宛先セッションを分離する中間スイッチを配置することもできます。これらのスイッチにはRSPANの実行機能は不要ですが、RSPAN VLANの要件を満たす必要があります(
RSPAN VLAN
を参照)。
SPANセッションでのトラフィックのモニタには、次のような制限があります。
-
ポートまたはVLANを送信元にすることができますが、同じセッション内に送信元ポートと送信元VLANを混在させることはできません。
-
スイッチは最大2つの送信元セッションをサポートします。同じスイッチ スタック内でローカルSPANとRSPAN送信元セッションを両方とも実行することができます。スイッチ スタックは合計66個の送信元およびRSPAN宛先セッションをサポートします。
-
1つのSPANセッションに複数の宛先ポートを設定できますが、1つのスイッチ スタックに設定できる宛先ポートは最大で64個です。
-
個別のまたは重複するSPAN送信元ポートとVLANの集合を使用して、2つの独立したSPANまたはRSPAN送信元セッションを設定できます。スイッチド ポートおよびルーテッド ポートはいずれもSPAN送信元および宛先として設定できます。
-
SPANセッションは、スイッチの正常な動作を妨げません。ただし、SPANの宛先がオーバーサブスクライブ型ポートである場合(たとえば100 Mbpsポートをモニタする10 Mbpsポートなど)、パケットが廃棄されるか、または消失する可能性があります。
-
RSPANがイネーブルの場合、モニタ中の各パケットは2回伝送されます。1回は標準トラフィックとして、もう1回はモニタされたパケットとしてです。したがって、多数のポートまたはVLANをモニタすると、大量のネットワーク トラフィックが生成されることがあります。
-
ディセーブルのポート上でもSPANセッションを設定できます。宛先ポートと、1つまたは複数の送信元ポートまたはVLANをイネーブルにしない限り、SPANセッションはアクティブになりません。
-
スイッチの単一セッション内では、ローカルSPANとRSPANを併用できません。つまり、RSPAN送信元セッションにローカル宛先ポートを設定したり、RSPAN宛先セッションにローカル送信元ポートを設定したり、同じスイッチ スタック上で、同じRSPAN VLANを使用するRSPAN宛先セッションおよびRSPAN送信元セッションを実行することはできません。
モニタ対象トラフィック
SPANセッションは、次のトラフィック タイプをモニタできます。
-
受信(RX)SPAN ― 受信(または入力)SPANの目的は、スイッチが変更または処理を行う前に送信元インターフェイスまたはVLANが受信したすべてのパケットをできる限り多くモニタすることです。送信元が受信した各パケットのコピーがそのSPANセッションの宛先ポートに送信されます。
Differentiated Services Code Point(DSCP)の変更など、ルーティングまたはQuality of Service(QoS;サービス品質)が原因で変更されるパケットは、変更前にコピーされます。
受信処理中にパケットを廃棄する可能性のある機能は、入力SPANには無効です。宛先ポートは、実際の着信パケットが廃棄された場合でも、パケットのコピーを受信します。これらの機能には、標準および拡張IP入力Access Control List(ACL;アクセス制御リスト)、入力QoSポリシング、VLAN ACL、出力QoSポリシングなどがあります。
-
送信(TX)SPAN ― 送信(または出力)SPANの目的は、スイッチによる変更または処理がすべて実行された後に、送信元インターフェイスから送信されたすべてのパケットをできる限り多くモニタすることです。送信元から送信された各パケットのコピーは、そのSPANセッションに対応する宛先ポートに送信されます。コピーは、パケットの変更後送信されます。
ルーティングが原因で変更されたパケット(Time to Live[TTL]、MACアドレス、QoS値の変更など)は、宛先ポートで(変更されて)コピーされます。
送信処理中にパケットを廃棄する可能性のある機能は、SPAN用のコピーにも影響を与えます。これらの機能には、標準および拡張IP出力ACL、出力QoSポリシングなどがあります。
-
双方向 ― 1つのSPANセッションで、単一のポートまたはVLANの送信パケットと受信パケットを両方モニタできます。これはデフォルト設定です。
ローカルSPANセッション ポートのデフォルト設定では、すべてのタグなしパケットが送信されます。通常、SPANはCisco Discovery Protocol(CDP)、VLAN Trunk Protocol(VTP;VLANトランク プロトコル)、Dynamic Trunking Protocol(DTP)、Spanning Tree Protocol(STP;スパニングツリー プロトコル)、Port Aggregation Protocol(PAgP;ポート集約プロトコル)などのBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)パケットおよびレイヤ2プロトコルをモニタしません。ただし、宛先ポートを設定するときに
encapsulation replicate
キーワードを入力すると、次のように変更されます。
-
送信元ポートの場合と同じカプセル化設定(タグなし、IEEE 802.1Q、またはISL[スイッチ間リンク])を使用して、パケットが宛先ポートに送信されます。
-
BPDUやレイヤ2プロトコル パケットを含むすべてのタイプのパケットがモニタされます。
したがって、カプセル化レプリケーションがイネーブル化されたローカルSPANセッションでは、タグなし、802.1Q、およびISLタグ付きパケットが宛先ポートに混在するする場合があります。
スイッチが輻輳すると、入力送信元ポート、出力送信元ポート、またはSPAN宛先ポートでパケットが廃棄されることがあります。一般に、これらの特性は相互に依存しません。次に例を示します。
-
パケットは通常どおり転送されますが、SPAN宛先ポートのオーバーサブスクライブが原因でモニタされないことがあります。
-
入力パケットが標準転送されないにもかかわらず、SPAN宛先ポートに着信することがあります。
-
スイッチ輻輳が原因で廃棄された出力パケットは、出力SPANからも廃棄されます。
SPANの設定によっては、同じ送信元パケットの複数のコピーがSPAN宛先ポートに送信される場合があります。たとえば、ポートAではRXモニタ用に、ポートBではTXモニタ用に、双方向(RXとTX)SPANセッションが設定されているとします。パケットがポートAを介してスイッチに着信し、ポートBにスイッチングされると、着信パケットと発信パケットの両方が宛先ポートに送信されます。このため、両方のパケットは同じものになります(レイヤ3書き換えが行われた場合には、パケット変更のため異なるパケットになります)。
送信元ポート
送信元ポート(別名
モニタ対象ポート
)は、ネットワーク トラフィック分析のためにモニタするスイッチド ポートまたはルーテッド ポートです。1つのローカルSPANセッションまたはRSPAN送信元セッションでは、送信元ポートまたはVLANのトラフィックを単一方向または双方向でモニタできます。スイッチは、任意の数の送信元ポート(スイッチで利用可能なポートの最大数まで)と任意の数の送信元VLAN(サポートされているVLANの最大数まで)をサポートします。ただし、スイッチが送信元ポートまたはVLANでサポートするセッション数は最大2つ(ローカルまたはRSPAN)であるため、単一のセッションにポートおよびVLANを混在させることはできません。
送信元ポートには、次の特性があります。
-
複数のSPANセッションでモニタできます。
-
各送信元ポートに、モニタする方向(入力、出力、両方)を設定できます。
-
すべてのポート タイプ(EtherChannel、ファスト イーサネット、ギガビット イーサネットなど)が可能です。
-
EtherChannel送信元の場合はEtherChannel全体で、または物理ポートがポート チャネルに含まれている場合は物理ポート上で個別に、トラフィックをモニタできます。
-
アクセス ポート、トランク ポート、ルーテッド ポート、または音声VLANポートに指定できます。
-
宛先ポートに指定することはできません。
-
送信元ポートは同じVLAN内にあっても異なるVLANにあってもかまいません。
-
単一セッション内で複数の送信元ポートをモニタできます。
送信元VLAN
VLAN-based SPAN(VSPAN)では、1つまたは複数のVLANのネットワーク トラフィックをモニタできます。VLAN内のSPANまたはRSPAN送信元インターフェイスはVLAN IDで指定され、トラフィックはそのVLANのすべてのポートでモニタされます。
VLANには次の特性があります。
-
送信元VLAN内のすべてのアクティブ ポートは送信元ポートとして含まれ、単一方向または双方向でモニタできます。
-
指定されたポートでは、モニタ対象のVLAN上のトラフィックのみが宛先ポートに送信されます。
-
宛先ポートが送信元VLANに所属する場合は、送信元リストから除外され、モニタされません。
-
ポートが送信元VLANに追加または削除されると、これらのポートで受信された送信元VLANのトラフィックは、モニタ中の送信元に追加または削除されます。
-
VLAN送信元と同じセッション内のフィルタVLANを使用することはできません。
-
モニタできるのは、イーサネットVLANだけです。
VLANフィルタリング
トランク ポートを送信元ポートとしてモニタする場合、デフォルトでは、トランク上でアクティブなすべてのVLANがモニタされます。VLANフィルタリングを使用すれば、トランク送信元ポートでのSPANトラフィックのモニタを特定のVLANに制限することができます。
-
VLANフィルタリングが適用されるのは、トランク ポートまたは音声VLANポートのみです。
-
VLANフィルタリングはポートベース セッションにのみ適用され、VLAN送信元によるセッションでは使用できません。
-
VLANフィルタ リストが指定されている場合、トランク ポートまたは音声VLANアクセス ポートではリスト内のVLANのみがモニタされます。
-
他のポート タイプから着信するSPANトラフィックは、VLANフィルタリングの影響を受けません。つまり、すべてのVLANを他のポートで使用することができます。
-
VLANフィルタリング機能は、宛先SPANポートに転送されたトラフィックにのみ作用し、通常のトラフィックのスイッチングには影響を与えません。
宛先ポート
各ローカルSPANセッションまたはRSPAN宛先セッションには、送信元ポートまたはVLANからのトラフィックのコピーを受信し、SPANパケットをユーザ(通常はネットワーク アナライザ)に送信する宛先ポート(別名
モニタ側ポート
)が必要です。
宛先ポートには、次の特性があります。
-
ローカルSPANセッションの場合、宛先ポートは送信元ポートと同じスイッチ スタックになければなりません。RSPANセッションの場合、宛先ポートはRSPAN宛先セッションを含むスイッチ上にあります。RSPAN送信元セッションのみを実行するスイッチまたはスイッチ スタックには、宛先ポートはありません。
-
ポートをSPAN宛先ポートとして設定すると、元のポート設定が上書きされます。SPAN宛先ポートの設定を削除すると、ポートは以前の設定に戻ります。ポートがSPAN宛先ポートとして機能している間にポートの設定が変更されると、SPAN宛先設定が削除されるまで、変更は有効になりません。
-
EtherChannelグループに含まれていたポートが宛先ポートとして設定されている場合、その
ポートはグループから削除されます。削除されたポートがルーテッド ポートであった場合、このポートはルーテッド ポートでなくなります。
-
任意のイーサネット物理ポートにできます。
-
セキュア ポートにすることはできません。
-
送信元ポートに指定することはできません。
-
EtherChannelグループまたはVLANにはできません。
-
一度に1つのSPANセッションにしか参加できません(あるSPANセッションの宛先ポートは、別のSPANセッションの宛先ポートになることはできません)。
-
アクティブな場合、着信トラフィックはディセーブルになります。このポートでは、SPANセッションに必要なトラフィック以外の転送は行われません。宛先ポートでは着信トラフィックの学習または転送は行われません。
-
入トラフィックの転送がネットワーク セキュリティ デバイスでイネーブルの場合、宛先ポートはレイヤ2でトラフィックを転送します。
-
レイヤ2プロトコル(STP、VTP、CDP、DTP、PAgP)のいずれにも参加しません。
-
任意のSPANセッションの送信元VLANに所属する宛先ポートは、送信元リストから除外され、モニタされません。
-
スイッチ スタックの宛先ポートの最大数は64です。
ローカルSPANおよびRSPAN宛先ポートでは、VLANタギングおよびカプセル化に関する動作が異なります。
-
ローカルSPANでは、宛先ポートに
encapsulation replicate
キーワードが指定されている場合、各パケットに元のカプセル化が使用されます(タグなし、ISL、または802.1Q)。これらのキーワードが指定されていない場合、パケットはタグなしフォーマットになります。したがって、
encapsulation replicate
がイネーブル化されたローカルSPANセッションの出力に、タグなし、802.1Q、またはISLタグ付きパケットが混在する場合があります。
-
RSPANの場合、元のVLAN IDはRSPAN VLAN IDで上書きされるため、失われます。したがって、宛先ポート上のすべてのパケットはタグなしになります。
RSPAN VLAN
RSPAN VLANは、RSPAN送信元セッションと宛先セッション間でSPANトラフィックを伝送します。RSPAN VLANには次の特殊な特性があります。
-
RSPAN VLAN内のすべてのトラフィックは、常にフラッディングされます。
-
RSPAN VLANではMACアドレスは学習されません。
-
RSPAN VLANトラフィックが流れるのは、トランク ポート上のみです。
-
RSPAN VLANは、
remote-span
VLANコンフィギュレーション モード コマンドを使用して、VLANコンフィギュレーション モードで設定する必要があります。
-
STPはRSPAN VLANトランク上で実行できますが、SPAN宛先ポート上では実行できません。
VTPに認識されるVLAN 1〜1005の場合、VLAN IDおよび対応するRSPAN特性はVTPによって伝播されます。拡張VLAN範囲(1006〜4094)内のRSPAN VLAN IDを割り当てる場合は、すべての中間スイッチを手動で設定する必要があります。
通常は、ネットワークに複数のRSPAN VLANを配置し、同時にそれぞれのRSPAN VLANでネットワーク全体のRSPANセッションを定義します。つまり、ネットワーク内の任意の場所にある複数のRSPAN送信元セッションからRSPANセッションにパケットを送信できます。また、ネットワーク全体に対して複数のRSPAN宛先セッションを設定し、同じRSPAN VLANをモニタしたり、ユーザにトラフィックを送信することもできます。セッションはRSPAN VLAN IDによって区別されます。
SPANおよびRSPANの他の機能との相互作用
SPANは次の機能と相互作用します。
-
ルーティング ― SPANはルーテッド トラフィックをモニタしません。VSPANがモニタするのはスイッチに出入りするトラフィックに限られ、VLAN間でルーティングされるトラフィックはモニタしません。たとえば、VLANが受信モニタされ、スイッチが別のVLANからモニタ対象VLANにトラフィックをルーティングする場合、そのトラフィックはモニタされず、SPAN宛先ポートで受信されません。
-
STP ― 宛先ポートのSPANまたはRSPANセッションがアクティブな間、宛先ポートはSTPに参加しません。SPANまたはRSPANセッションがディセーブルになると、宛先ポートはSTPに参加できます。送信元ポートでは、SPANはSTPステータスに影響を与えません。STPは、RSPAN VLANを伝送するトランク ポート上でアクティブにできます。
-
CDP ― SPAN宛先ポートは、SPANセッションがアクティブな間はCDPに参加しません。SPANセッションがディセーブルになると、ポートは再びCDPに参加します。
-
VTP ― VTPを使用して、スイッチ間でRSPAN VLANをプルーニングできます。
-
VLANおよびトランキング ― 送信元ポート、または宛先ポートのVLANメンバーシップまたはトランクの設定値は、いつでも変更できます。ただし、宛先ポートのVLANメンバーシップまたはトランクの設定値に対する変更は、SPAN宛先設定を削除しない限り有効になりません。送信元ポートのVLANメンバーシップまたはトランク設定の変更はただちに有効になり、個々のSPANセッションは、それに応じて自動的に調整されます。
-
EtherChannel ― EtherChannelグループを送信元ポートに設定できますが、SPAN宛先ポートには設定できません。グループをSPAN送信元として設定すると、グループ全体がモニタ対象となります。
モニタ対象EtherChannelグループに物理ポートを追加すると、新しいポートがSPAN送信元ポート リストに追加されます。モニタ対象EtherChannelグループからポートを削除すると、SPAN送信元ポート リストから自動的に削除されます。削除したポートがEtherChannelグループ内の唯一のポートである場合、グループ内にポートがなくなるため、データはモニタされません。
EtherChannelグループに属する物理ポートをSPAN送信元ポートとして設定し、引き続きEtherChannelの一部とすることができます。この場合、この物理ポートはEtherChannelに参加しているため、そのポートからのデータはモニタされます。ただし、EtherChannelグループに属する物理ポートをSPAN宛先ポートに設定した場合は、EtherChannelグループから削除されます。SPANセッションからポートが削除されると、EtherChannelグループに復帰します。EtherChannelグループから削除されたポートはグループのメンバーに残りますが、
非アクティブ
または
スタンドアロン
ステートになります。
EtherChannelグループに属する物理ポートが宛先ポートであり、かつ、EtherChannelグループが送信元である場合、ポートはEtherChannelグループおよびモニタ対象ポートのリストから削除されます。
-
マルチキャスト トラフィックをモニタできます。出力側および入力側ポート モニタの場合は、未編集パケットが1つだけSPAN宛先ポートに送信されます。マルチキャスト パケットが送信される回数は反映されません。
-
セキュア ポートはSPAN宛先ポートにはできません。
SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでもポート セキュリティをイネーブルにしないでください。
-
802.1xポートはSPAN送信元ポートにできます。SPAN宛先ポートで802.1xをイネーブルにできますが、SPAN宛先として削除するまでは802.1xはディセーブルに設定されます。
SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートで802.1xをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでも802.1xをイネーブルにしないでください。
SPAN/RSPANおよびスイッチ スタック
スイッチ スタックは1つの論理スイッチとして扱われるため、ローカルSPAN送信元ポートおよび宛先ポートをスタック内の異なるスイッチに設定することができます。したがって、スタックにスイッチを追加または削除すると、ローカルSPANセッションや、RSPAN送信元または宛先セッションに影響が及ぶことがあります。スタックからスイッチを削除すると、アクティブ セッションが非アクティブになることがあります。スタックにスイッチを追加すると、非アクティブ セッションがアクティブになることがあります。
スイッチ スタックの詳細については、
スイッチ スタックの管理
を参照してください。
SPANおよびRSPANの設定
ここでは、スイッチにSPANを設定する方法について説明します。具体的な設定情報は次のとおりです。
SPANおよびRSPANのデフォルト設定
SPANおよびRSPANのデフォルト設定
に、SPANおよびRSPANのデフォルト設定を示します。
SPANおよびRSPANのデフォルト設定
|
機能
|
デフォルト設定
|
|
SPANのステート(SPANおよびRSPAN)
|
ディセーブル
|
|
モニタする送信元ポートのトラフィック
|
受信トラフィックと送信トラフィックの両方(
both
)
|
|
カプセル化タイプ(宛先ポート)
|
ネイティブ形式(タグなしパケット)
|
|
入力転送(宛先ポート)
|
ディセーブル
|
|
VLANフィルタリング
|
送信元ポートとして使用されるトランク インターフェイス上で、すべてのVLANがモニタされます。
|
|
RSPAN VLAN
|
設定なし
|
ローカルSPANの設定
ここでは、スイッチにローカルSPANを設定する方法について説明します。具体的な設定情報は次のとおりです。
SPAN設定時の注意事項
SPANの設定の際は、次の注意事項に従ってください。
-
各スイッチ スタックには、ローカルSPANセッションまたはRSPAN送信元セッションを合計で2つ設定できます。また、各スイッチ スタックに、SPANセッション(ローカル、RSPAN送信元、およびRSPAN宛先)を合計で66個設定できます。
-
SPAN送信元の場合は、セッションごとに、単一のポートまたはVLAN、一連のポートまたはVLAN、または一定範囲のポートまたはVLANのトラフィックをモニタできます。1つのSPANセッションに、送信元ポートおよび送信元VLANを混在させることはできません。
-
宛先ポートは送信元ポートにできません。また、送信元ポートは宛先ポートにできません。
-
同じ宛先ポートで2つのSPANセッションを設定することはできません。
-
スイッチ ポートをSPAN宛先ポートに設定すると、通常のスイッチ ポートではなくなります。SPAN宛先ポートを通過するのは、モニタ対象のトラフィックだけです。
-
SPANコンフィギュレーション コマンドを入力しても、設定済みのSPANパラメータは削除されません。設定されたSPANパラメータを削除するには、
no monitor session
{
session_number
|
all
|
local
|
remote
}グローバル コンフィギュレーション コマンドを入力する必要があります。
-
ローカルSPANでは、
encapsulation replicate
キーワードが指定されている場合、SPAN宛先ポートを経由する発信パケットには元のカプセル化ヘッダー(タグなし、ISL、またはIEEE 802.1Q)が付加されます。このキーワードが指定されていない場合、パケットはネイティブ形式で送信されます。RSPAN宛先ポートの場合、発信パケットはタグなしです。
-
ディセーブルに設定されているポートを送信元または宛先ポートにすることはできますが、SPAN機能は、宛先ポートおよび1つまたは複数の送信元ポートまたは送信元VLANがイネーブルになるまでは起動しません。
-
filter vlan
キーワードを使用すると、特定のVLANに対してSPANトラフィックを制限できます。モニタ対象がトランク ポートの場合、このキーワードで指定されたVLAN上のトラフィックのみがモニタされます。デフォルトでは、トランク ポートのすべてのVLANがモニタされます。
-
1つのSPANセッション内で送信元VLANを混在させたり、VLANをフィルタリングすることはできません。
ローカルSPANセッションの作成
SPANセッションを作成し、送信元(モニタ対象)ポートまたはVLAN、および宛先(モニタ側)ポートを指定するには、イネーブルEXECモードで次の手順を実行します。
|
|
コマンド
|
説明
|
-
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
-
|
no monitor session
{
session_number
|
all
|
local
|
remote
}
|
セッションの既存のSPAN設定を削除します。
session_number
の範囲は、1〜66です。
すべてのSPANセッションを削除するには
all
を、すべてのローカル セッションを削除するには
local
を、すべてのリモートSPANセッションを削除するには
remote
を指定します。
|
-
|
monitor session
session_number
source
{
interface
interface-id |
vlan
vlan-id
}
[
,
|
-
]
[
both
|
rx
|
tx
]
|
SPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。
session_number
の範囲は、1〜66です。
interface-id
には、モニタする送信元ポートまたは送信元VLANを指定します。
-
送信元
interface-id
には、モニタする送信元ポートを指定します。有効なインターフェイスには、物理インターフェイスおよびポート チャネル論理インターフェイス(
port-channel
port-channel-number
)があります。
有効なポートチャネル番号は1〜12です。
-
vlan-id
には、モニタする送信元VLANを指定します。指定できる範囲は1〜4094です(RSPAN VLANは除く)。
-
1つのセッションに、一連のコマンドで定義された複数の送信元(ポートまたはVLAN)を含めることができます。ただし、1つのセッション内で送信元ポートと送信元VLANを併用することはできません。
(任意)
[
,
|
-
] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。
(任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しない場合、SPANは送受信両方のトラフィックをモニタします。
-
both
― 送受信両方のトラフィックをモニタします。これはデフォルト設定です。
-
rx
― 受信トラフィックをモニタします。
-
tx
― 送信トラフィックをモニタします。
-
monitor session
session_number
source
コマンドを複数回使用すると、複数の送信元ポートを設定できます。
|
-
|
monitor session
session_number
destination
{
interface
interface-id
[, | -] [
encapsulation
replicate
]}
|
SPANセッションおよび宛先ポート(モニタ側ポート)を指定します。
session_number
には、ステップ3で入力したセッション番号を指定します。
-
ローカルSPANの場合は、送信元および宛先インターフェイスに同じセッション番号を使用する必要があります。
interface-id
には、宛先ポートを指定します。宛先インターフェイスには物理ポートを指定する必要があります。EtherChannelやVLANは指定できません。
(任意)
[
,
|
-
] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。
(任意)宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製するように指定するには、
encapsulation replicate
を入力します。このキーワードを選択しない場合、デフォルトでは、パケットがネイティブ形式(タグなし)で送信されます。
-
monitor session
session_number
destination
コマンドを複数回使用すると、複数の宛先ポートを設定できます。
|
-
|
end
|
イネーブルEXECモードに戻ります。
|
-
|
show monitor
[
session
session_number
]
show running-config
|
設定を確認します。
|
-
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|
SPANセッションを削除する場合は、
no
monitor session
session_number
グローバル コンフィギュレーション コマンドを使用します。SPANセッションから送信元ポート、宛先ポート、またはVLANを削除する場合は、
no monitor session
session_number
source
{
interface
interface-id |
vlan
vlan-id
}
グローバル コンフィギュレーション コマンドまたは
no monitor session
session_number
destination interface
interface-id
グローバル コンフィギュレーション コマンドを使用します。宛先インターフェイスの場合、このコマンドの
no
形式では、
encapsulation replicate
キーワードは無視されます。
次に、SPANセッション1を設定し、送信元ポートから宛先ポートへのトラフィックをモニタする例を示します。最初に、セッション1の既存のSPAN設定を削除し、双方向トラフィックをスイッチ1の送信元ポートGigabitEthernet 0/1から宛先ポートGigabitEthernet 0/3へミラーリングして、カプセル化方式を維持します。
Switch(config)#
no monitor session 1
Switch(config)#
monitor session 1 source interface gigabitethernet1/0/1
Switch(config)#
monitor session 1 destination interface gigabitethernet1/0/3 encapsulation replicate
Switch(config)#
end
次に、SPANセッション1のSPAN送信元である、スイッチ1のポート0/1を削除する例を示します。
Switch(config)#
no monitor session 1 source interface gigabitethernet1/0/1
Switch(config)#
end
次に、双方向モニタ用に設定された、スイッチ1のポート0/1での受信トラフィック モニタをディセーブルにする例を示します。
Switch(config)#
no monitor session 1 source interface gigabitethernet1/0/1 rx
ポート0/1での受信トラフィックのモニタはディセーブルになりますが、このポートから送信されるトラフィックは引き続きモニタされます。
次に、SPANセッション2内の既存の設定を削除し、VLAN 1〜3に属するすべてのポートで受信トラフィックをモニタするようにSPANセッション2を設定し、モニタされたトラフィックをスイッチ1の宛先ポートGigabitEthernet 0/2に送信する例を示します。この設定は、VLAN 10に属するすべてのポートですべてのトラフィックをモニタするように変更されます。
Switch(config)#
no monitor session 2
Switch(config)#
monitor session 2 source vlan 1 - 3 rx
Switch(config)#
monitor session 2 destination interface gigabitethernet1/0/2
Switch(config)#
monitor session 2 source vlan 10
Switch(config)#
end
ローカルSPANセッションの作成および入力トラフィックの設定
SPANセッションを作成して送信元ポート、送信元VLAN、および宛先ポートを指定し、ネットワーク セキュリティ デバイス(Cisco IDSセンサ装置など)用の宛先ポート上の入力トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
|
|
コマンド
|
説明
|
-
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
-
|
no monitor session
{
session_number
|
all
|
local
|
remote
}
|
セッションの既存のSPAN設定を削除します。
|
-
|
monitor session
session_number
source
{
interface
interface-id |
vlan
vlan-id
}
[
,
|
-
]
[
both
|
rx
|
tx
]
|
SPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。
|
-
|
monitor session
session_number
destination
{
interface
interface-id
[, | -] [
encapsulation
replicate
]
[
ingress
{
dot1q
vlan
vlan-id
| isl | untagged
vlan
vlan-id
| vlan
vlan-id
}]}
|
SPANセッション、宛先ポート、パケット カプセル化、入力側VLAN、およびカプセル化を指定します。
session_number
には、ステップ3で入力したセッション番号を指定します。
interface-id
には、宛先ポートを指定します。宛先インターフェイスには物理ポートを指定する必要があります。EtherChannelやVLANは指定できません。
(任意)
[
,
|
-
] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマまたはハイフンの前後にはスペースを入力します。
(任意)宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製するように指定するには、
encapsulation replicate
を入力します。このキーワードを選択しない場合、デフォルトでは、パケットがネイティブ形式(タグなし)で送信されます。
宛先ポートで入トラフィックの転送をイネーブルにして、カプセル化タイプを指定するには、
ingress
に次のキーワードを指定して入力します。
-
dot1q vlan
vlan-id
― 802.1Qカプセル化を使用し、デフォルトVLANとして指定されたVLANを設定して、入力パケットを転送します。
-
isl
― ISLカプセル化を使用して、入力パケットを転送します。
-
untagged vlan
vlan-id
または
vlan
vlan-id
― タグなしカプセル化タイプを使用し、デフォルトVLANとして指定されたVLANを設定して、入力パケットを転送します。
|
-
|
end
|
イネーブルEXECモードに戻ります。
|
-
|
show monitor
[
session
session_number
]
show running-config
|
設定を確認します。
|
-
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|
SPANセッションを削除する場合は、
no
monitor session
session_number
グローバル コンフィギュレーション コマンドを使用します。SPANセッションから送信元ポート、宛先ポート、またはVLANを削除する場合は、
no monitor session
session_number
source
{
interface
interface-id |
vlan
vlan-id
}
グローバル コンフィギュレーション コマンドまたは
no monitor session
session_number
destination interface
interface-id
グローバル コンフィギュレーション コマンドを使用します。宛先インターフェイスの場合、このコマンドの
no
形式では、encapsulationおよびingressオプションは無視されます。
次に、SPANセッション2の既存の設定を削除し、スイッチ1の送信元ポートGigabitEthernet 0/1で受信されたトラフィックをモニタするようにSPANセッション2を設定し、このトラフィックを送信元ポートと同じ出力カプセル化タイプを使用してスイッチ1の宛先ポートGigabitEthernet 0/2に送信し、802.1Qカプセル化およびデフォルト入力VLANとしてVLAN 6を使用する入力転送をイネーブルにする例を示します。
Switch(config)#
no monitor session 2
Switch(config)#
monitor session 2 source gigabitethernet1/0/1 rx
Switch(config)#
monitor session 2 destination interface gigabitethernet1/0/2 encapsulation replicate ingress dot1q vlan 6
Switch(config)#
end
フィルタリングするVLANの指定
SPAN送信元トラフィックを特定のVLANに制限するには、イネーブルEXECモードで次の手順を実行します。
|
|
コマンド
|
説明
|
-
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
-
|
no monitor session
{
session_number
|
all
|
local
|
remote
}
|
セッションの既存のSPAN設定を削除します。
session_number
の範囲は、1〜66です。
すべてのSPANセッションを削除するには
all
を、すべてのローカル セッションを削除するには
local
を、すべてのリモートSPANセッションを削除するには
remote
を指定します。
|
-
|
monitor session
session_number
source interface
interface-id
|
送信元ポート(モニタ対象ポート)およびSPANセッションの特性を指定します。
session_number
の範囲は、1〜66です。
interface-id
には、モニタする送信元ポートを指定します。指定されたインターフェイスは、トランク ポートとして設定されている必要があります。
|
-
|
monitor session
session_number
filter vlan
vlan-id
[
,
|
-
]
|
SPAN送信元トラフィックを特定のVLANに制限します。
session_number
には、ステップ3で指定したセッション番号を入力します。
vlan-id
に指定できる範囲は、1〜4094です。
(任意)カンマ(
,
)を使用して一連のVLANを指定するか、ハイフン(
-
)を使用して一定範囲のVLANを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。
|
-
|
monitor session
session_number
destination
{
interface
interface-id
[, | -] [
encapsulation
replicate
]}
|
SPANセッションおよび宛先ポート(モニタ側ポート)を指定します。
session_number
には、ステップ3で入力したセッション番号を指定します。
interface-id
には、宛先ポートを指定します。宛先インターフェイスには物理ポートを指定する必要があります。EtherChannelやVLANは指定できません。
(任意)
[
,
|
-
] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。
(任意)宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製するように指定するには、
encapsulation replicate
を入力します。このように選択しない場合、デフォルトでは、パケットがネイティブ形式(タグなし)で送信されます。
|
-
|
end
|
イネーブルEXECモードに戻ります。
|
-
|
show monitor
[
session
session_number
]
show running-config
|
設定を確認します。
|
-
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|
トランク ポート上のすべてのVLANをモニタするには、
no monitor session
session_number
filter
グローバル コンフィギュレーション コマンドを使用します。
次に、SPANセッション2の既存の設定を削除し、スイッチ1のトランク ポートGigabitEthernet 0/4での受信トラフィックをモニタするようにSPANセッション2を設定し、VLAN 1〜5およびVLAN 9のトラフィックのみをスイッチ1の宛先ポートGigabitEthernet 0/3に送信する例を示します。
Switch(config)#
no monitor session 2
Switch(config)#
monitor session 2 source interface gigabitethernet1/0/4 rx
Switch(config)#
monitor session 2 filter vlan 1 - 5 , 9
Switch(config)#
monitor session 2 destination interface gigabitethernet1/0/3
Switch(config)#
end
RSPANの設定
ここでは、スイッチにRSPANを設定する手順について説明します。具体的な設定情報は次のとおりです。
RSPAN設定時の注意事項
RSPANの設定時は、次の注意事項に従ってください。
-
RSPANには、
SPAN設定時の注意事項
のすべての項目が当てはまります。
-
RSPAN VLANには特殊なプロパティがあるので、RSPAN VLANとして使用するVLANをネットワーク上にいくつか確保しておき、これらのVLANにはアクセス ポートを割り当てないでください。
-
RSPANトラフィックに出力ACLを適用して、特定のパケットを選択してフィルタリングまたはモニタすることができます。これらのACLは、RSPAN送信元スイッチ内のRSPAN VLAN上で指定します。
-
RSPANの設定では、送信元ポートと宛先ポートをネットワーク内の複数のスイッチに分散させることができます。
-
RSPANはBPDUパケット モニタリングその他のレイヤ2スイッチ プロトコルをサポートしません。
-
RSPAN VLANはトランク ポートにのみ設定されており、アクセス ポートには設定されていません。不要なトラフィックがRSPAN VLANに発生するのを防ぐため、参加しているすべてのスイッチでVLANリモートSPAN機能がサポートされていることを確認してください。
-
RSPAN VLAN上のアクセス ポート(音声VLANポートを含む)は、非アクティブ ステートになります。
-
送信元トランク ポートにアクティブなRSPAN VLANが設定されている場合、RSPAN VLANはポートベースRSPANセッションの送信元として組み込まれます。また、RSPAN VLANをSPANセッションの送信元にすることもできます。ただし、スイッチはセッション間にわたるトラフィックをモニタしないため、スイッチのRSPAN送信元セッションの宛先として識別されたRSPAN VLANでは、パケットの出力スパニングがサポートされません。
-
任意のVLANをRSPAN VLANとして設定するには、次の条件を満たす必要があります。
-
すべてのスイッチで、RSPANセッションに同じRSPAN VLANが使用されている。
-
参加するすべてのスイッチがRSPANをサポートしている。
-
RSPAN VLANを設定してから、RSPAN送信元または宛先セッションを設定してください。
-
VTPおよびVTPプルーニングがイネーブルの場合、RSPANトラフィックはトランクでプルーニングされ、ネットワーク上でVLAN IDが1005以下のRSPANトラフィックの無用なフラッディングを防止できます。
RSPAN VLANとしてのVLANの設定
最初に、RSPANセッション用のRSPAN VLANに設定するVLANを新規に作成します。RSPANに参加するすべてのスイッチにRSPAN VLANを作成する必要があります。RSPAN VLAN IDが標準範囲(1005以下)であり、VTPがネットワーク内でイネーブルである場合は、1つのスイッチにRSPAN VLANを作成し、VTPがこのRSPAN VLANをVTPドメイン内の他のスイッチに伝播するように設定することができます。拡張範囲VLAN(1005を超えるID)の場合、送信元と宛先の両方のスイッチ、およびすべての中間スイッチにRSPAN VLANを設定する必要があります。
VTPプルーニングを使用して、RSPANトラフィックのフローを効率化するか、またはRSPANトラフィックを伝達する必要のないすべてのトランクから、RSPAN VLANを手動で削除してください。
RSPAN VLANを作成するするには、イネーブルEXECモードで次の手順を実行します。
|
|
コマンド
|
説明
|
-
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
-
|
vlan
vlan-id
|
VLAN IDを入力してVLANを作成するか、または既存のVLANのVLAN IDを入力して、VLANコンフィギュレーション モードを開始します。指定できる範囲は2〜1001および1006〜4094です。
-
RSPAN VLANをVLAN 1(デフォルトVLAN)またはVLAN ID 1002〜1005(トークンリングやFDDI VLAN専用)にすることはできません。
|
-
|
remote-span
|
VLANをRSPAN VLANとして設定します。
|
-
|
end
|
イネーブルEXECモードに戻ります。
|
-
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|
VLANからRSPANの特性を削除して、標準VLANに変換するには、
no
remote-span
VLANコンフィギュレーション コマンドを使用します。
次に、RSPAN VLAN 901を作成する例を示します。
Switch(config)#
vlan 901
Switch(config-vlan)#
remote span
Switch(config-vlan)#
end
RSPAN送信元セッションの作成
RSPAN送信元セッションを開始し、モニタ対象の送信元および宛先RSPAN VLANを指定するには、イネーブルEXECモードで次の手順を実行します。
|
|
コマンド
|
説明
|
-
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
-
|
no monitor session
{
session_number
|
all
|
local
|
remote
}
|
セッションの既存のRSPAN設定を削除します。
session_number
の範囲は、1〜66です。
すべてのRSPANセッションを削除するには
all
を、すべてのローカル セッションを削除するには
local
を、すべてのリモートSPANセッションを削除するには
remote
を指定します。
|
-
|
monitor session
session_number
source
{
interface
interface-id |
vlan
vlan-id
} [
,
|
-
]
[
both
|
rx
|
tx
]
|
RSPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。
session_number
の範囲は、1〜66です。
RSPANセッションの送信ポートまたは送信元VLANを入力します。
-
interface-id
には、モニタする送信元ポートを指定します。有効なインターフェイスには、物理インターフェイスおよびポート チャネル論理インターフェイス(
port-channel
port-channel-number
)があります。
有効なポートチャネル番号は1〜12です。
-
vlan-id
には、モニタする送信元VLANを指定します。指定できる範囲は1〜4094です(RSPAN VLANは除く)。
-
1つのセッションに、一連のコマンドで定義された複数の送信元(ポートまたはVLAN)を含めることができます。ただし、1つのセッション内で送信元ポートと送信元VLANを併用することはできません。
(任意)
[
,
|
-
] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。
(任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しない場合、送信元インターフェイスは、送受信両方のトラフィックを送信します。
-
both
― 送受信両方のトラフィックを送信します。
-
rx
― 受信トラフィックをモニタします。
-
tx
― 送信トラフィックをモニタします。
|
-
|
monitor session
session_number
destination
remote vlan
vlan-id
|
RSPANセッションおよび宛先RSPAN VLANを指定します。
session_number
には、ステップ3で定義した番号を入力します。
vlan-id
には、モニタする送信元RSPAN VLANを指定します。
|
-
|
end
|
イネーブルEXECモードに戻ります。
|
-
|
show monitor
[
session
session_number
]
show running-config
|
設定を確認します。
|
-
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|
SPANセッションを削除する場合は、
no
monitor session
session_number
グローバル コンフィギュレーション コマンドを使用します。
SPANセッションから送信元ポートまたはVLANを削除するには、
no monitor session
session_number
source
{
interface
interface-id |
vlan
vlan-id
}
グローバル コンフィギュレーション コマンドを使用します。セッションからRSPAN VLANを削除するには、
no monitor session
session_number
destination remote vlan
vlan-id
コマンドを使用します。
次に、セッション1の既存のRSPAN設定を削除し、複数の送信元インターフェイスをモニタするようにRSPANセッション1を設定し、さらに宛先をRSPAN VLAN 901に設定する例を示します。
Switch(config)#
no monitor session 1
Switch(config)#
monitor session 1 source interface gigabitethernet1/0/1 tx
Switch(config)#
monitor session 1 source interface gigabitethernet1/0/2 rx
Switch(config)#
monitor session 1 source interface gigabitethernet2/0/3
Switch(config)#
monitor session 1 source interface port-channel 12
Switch(config)#
monitor session 1 destination remote vlan 901
Switch(config)#
end
RSPAN宛先セッションの作成
RSPAN宛先セッションは別のスイッチまたはスイッチ スタック(送信元セッションが設定されていないスイッチまたはスイッチ スタック)に設定します。
スイッチ上でRSPAN VLANを定義し、RSPAN宛先セッションを作成し、送信元RSPAN VLANおよび宛先ポートを指定するには、イネーブルEXECモードで次の手順を実行します。
|
|
コマンド
|
説明
|
-
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
-
|
vlan
vlan-id
|
送信元スイッチで作成されたRSPAN VLANのVLAN IDを入力し、VLANコンフィギュレーション モードを開始します。
-
両方のスイッチがVTPに参加し、RSPAN VLAN IDが2〜1005である場合は、VTPネットワークを介してRSPAN VLAN IDが伝播されるため、ステップ2〜4は不要です。
|
-
|
remote-span
|
VLANをRSPAN VLANとして識別します。
|
-
|
exit
|
グローバル コンフィギュレーション モードに戻ります。
|
-
|
no monitor session
{
session_number
|
all
|
local
|
remote
}
|
セッションの既存のRSPAN設定を削除します。
session_number
の範囲は、1〜66です。
すべてのRSPANセッションを削除するには
all
を、すべてのローカル セッションを削除するには
local
を、すべてのリモートSPANセッションを削除するには
remote
を指定します。
|
-
|
monitor session
session_number
source
remote vlan
vlan-id
|
RSPANセッションおよび送信元RSPAN VLANを指定します。
session_number
の範囲は、1〜66です。
vlan-id
には、モニタする送信元RSPAN VLANを指定します。
|
-
|
monitor session
session_number
destination
interface
interface-id
|
RSPANセッションおよび宛先インターフェイスを指定します。
session_number
には、ステップ6で定義した番号を入力します。
-
RSPAN宛先セッションでは、送信元RSPAN VLANおよび宛先ポートに同じセッション番号を使用する必要があります。
interface-id
には、宛先インターフェイスを指定します。宛先インターフェイスには物理インターフェイスを指定する必要があります。
-
encapsulation replicate
はコマンドラインのヘルプ ストリングに表示されていますが、RSPANではサポートされていません。元のVLAN IDはRSPAN VLAN IDによって上書きされ、宛先ポート上のすべてのパケットはタグなしになります。
|
-
|
end
|
イネーブルEXECモードに戻ります。
|
-
|
show monitor
[
session
session_number
]
show running-config
|
設定を確認します。
|
-
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|
SPANセッションを削除する場合は、
no
monitor session
session_number
グローバル コンフィギュレーション コマンドを使用します。SPANセッションから宛先ポートを削除するには、
no monitor session
session_number
destination interface
interface-id
グローバル コンフィギュレーション コマンドを使用します。セッションからRSPAN VLANを削除するには、
no monitor session
session_number
source remote vlan
vlan-id
コマンドを使用します。
次に、送信元リモートVLANとしてVLAN 901、宛先インターフェイスとしてスイッチ2のポート0/4を設定する例を示します。
Switch(config)#
monitor session 1 source remote vlan 901
Switch(config)#
monitor session 1 destination interface gigabitethernet2/0/4
Switch(config)#
end
RSPAN宛先セッションの作成および入トラフィックの設定
RSPAN宛先セッションを作成し、送信元RSPAN VLANおよび宛先ポートを指定し、ネットワーク セキュリティ デバイス(Cisco IDSセンサ装置など)用の宛先ポート上の入トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
-
入トラフィックに関連しないキーワードの詳細については、
RSPAN宛先セッションの作成
を参照してください。この手順では、RSPAN VLANがすでに設定してあると想定しています。
|
|
コマンド
|
説明
|
-
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
-
|
no monitor session
{
session_number
|
all
|
local
|
remote
}
|
セッションの既存のSPAN設定を削除します。
|
-
|
monitor session
session_number
source
remote vlan
vlan-id
|
RSPANセッションおよび送信元RSPAN VLANを指定します。
session_number
の範囲は、1〜66です。
vlan-id
には、モニタする送信元RSPAN VLANを指定します。
|
-
|
monitor session
session_number
destination
{
interface
interface-id
[, | -] [
ingress
{
dot1q
vlan
vlan-id
| isl | untagged
vlan
vlan-id
| vlan
vlan-id
}]}
|
SPANセッション、宛先ポート、パケット カプセル化、入力側VLAN、およびカプセル化を指定します。
session_number
には、ステップ3で定義した番号を入力します。
-
RSPAN宛先セッションでは、送信元RSPAN VLANおよび宛先ポートに同じセッション番号を使用する必要があります。
interface-id
には、宛先インターフェイスを指定します。宛先インターフェイスには物理インターフェイスを指定する必要があります。
-
encapsulation replicate
はコマンドラインのヘルプ ストリングに表示されていますが、RSPANではサポートされていません。元のVLAN IDはRSPAN VLAN IDによって上書きされ、宛先ポート上のすべてのパケットはタグなしになります。
(任意)
[
,
|
-
] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。
宛先ポートで入トラフィックの転送をイネーブルにして、カプセル化タイプを指定するには、
ingress
に次のキーワードを指定して入力します。
-
dot1q vlan
vlan-id
― 802.1Qカプセル化を使用し、デフォルトVLANとして指定されたVLANを設定して、入力パケットを転送します。
-
isl
― ISLカプセル化を使用して、入力パケットを転送します。
-
untagged vlan
vlan-id
または
vlan
vlan-id
― タグなしカプセル化タイプを使用し、デフォルトVLANとして指定されたVLANを設定して、入力パケットを転送します。
|
-
|
end
|
イネーブルEXECモードに戻ります。
|
-
|
show monitor
[
session
session_number
]
show running-config
|
設定を確認します。
|
-
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|
RSPANセッションを削除する場合は、
no
monitor session
session_number
グローバル コンフィギュレーション コマンドを使用します。RSPANセッションから宛先ポートを削除するには、
no monitor session
session_number
destination interface
interface-id
グローバル コンフィギュレーション コマンドを使用します。このコマンドの
no
形式では、ingressオプションは無視されます。
次に、VLAN 901をRSPANセッション2の送信元リモートVLANに設定し、スイッチ1の送信元ポートGigabitEthernet 0/2を宛先インターフェイスとして設定し、VLAN 6がデフォルト入力VLANとして設定されたインターフェイス上で入力転送をイネーブルにする例を示します。
Switch(config)#
monitor session 2 source remote vlan 901
Switch(config)#
monitor session 2 destination interface gigabitethernet1/0/2 ingress vlan 6
Switch(config)#
end
フィルタリングするVLANの指定
RSPAN送信元トラフィックを特定のVLANに制限するようにRSPAN送信元セッションを設定するには、イネーブルEXECモードで次の手順を実行します。
|
|
コマンド
|
説明
|
-
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
-
|
no monitor session
{
session_number
|
all
|
local
|
remote
}
|
セッションの既存のSPAN設定を削除します。
session_number
の範囲は、1〜66です。
すべてのSPANセッションを削除するには
all
を、すべてのローカル セッションを削除するには
local
を、すべてのリモートSPANセッションを削除するには
remote
を指定します。
|
-
|
monitor session
session_number
source interface
interface-id
|
送信元ポート(モニタ対象ポート)およびSPANセッションの特性を指定します。
session_number
の範囲は、1〜66です。
interface-id
には、モニタする送信元ポートを指定します。指定されたインターフェイスが、トランク ポートとして設定されている必要があります。
|
-
|
monitor session
session_number
filter vlan
vlan-id
[
,
|
-
]
|
SPAN送信元トラフィックを特定のVLANに制限します。
session_number
には、ステップ3で指定したセッション番号を入力します。
vlan-id
に指定できる範囲は、1〜4094です。
(任意)カンマ(
,
)を使用して一連のVLANを指定するか、ハイフン(
-
)を使用して一定範囲のVLANを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。
|
-
|
monitor session
session_number
destination
remote vlan
vlan-id
|
RSPANセッションおよび宛先リモートVLAN(RSPAN VLAN)を指定します。
session_number
には、ステップ3で指定したセッション番号を入力します。
vlan-id
には、モニタ対象トラフィックを宛先ポートに伝送するRSPAN VLANを指定します。
|
-
|
end
|
イネーブルEXECモードに戻ります。
|
-
|
show monitor
[
session
session_number
]
show running-config
|
設定を確認します。
|
-
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|
トランク ポート上のすべてのVLANをモニタするには、
no monitor session
session_number
filter vlan
グローバル コンフィギュレーション コマンドを使用します。
次に、RSPANセッション2の既存の設定を削除し、スイッチ1のトランク ポート0/4での受信トラフィックをモニタするようにRSPANセッション2を設定し、VLAN 1〜5および9のトラフィックのみを宛先RSPAN VLAN 902に送信する例を示します。
Switch(config)#
no monitor session 2
Switch(config)#
monitor session 2 source interface gigabitethernet1/0/4 rx
Switch(config)#
monitor session 2 filter vlan 1 - 5 , 9
Switch(config)#
monitor session 2 destination remote vlan 902
Switch(config)#
end
SPANおよびRSPANステータスの表示
現在のSPANまたはRSPAN設定を表示するには、
show monitor
ユーザEXECコマンドを使用します。
show running-config
イネーブルEXECコマンドを使用すれば、設定されたSPANセッションまたはRSPANセッションを表示することもできます。
次に、2つの送信元セッションが設定されたスイッチに対する出力例を示します。
Switch#
show monitor
Session 1
---------
Type :Local Session
Source Ports:
RX Only: Gi4/0/24
TX Only: None
Both: Gi2/0/1-2,Gi4/0/5-6
Source VLANs:
RX Only: None
TX Only: None
Both: None
Source RSPAN VLAN:None
Destination Ports:Gi2/0/18
Encapsulation:Replicate
Filter VLANs: None
Dest RSPAN VLAN: None
Session 2
---------
Type :Remote Source Session
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: 10
Both: 1-9
Source RSPAN VLAN:None
Destination Ports:None
Filter VLANs: None
Dest RSPAN VLAN: 105
次に、入トラフィック転送がイネーブルの場合の
show monitor
session all
ユーザEXECコマンドの出力例を示します。
Switch#
show monitor session all
Session 1
---------
Type :Local Session
Source Ports :
Both :Gi1/0/2
Destination Ports :Gi2/0/3
Encapsulation :Replicate
Ingress:Enabled, default VLAN = 5
Ingress encapsulation:DOT1Q
Session 2
---------
Type :Local Session
Source Ports :
Both :Gi3/0/1
Destination Ports :Gi3/0/4
Encapsulation :Replicate
Ingress:Enabled
Ingress encapsulation:ISL
次に、入トラフィック転送がイネーブルの場合の設定例および
show running-config
イネーブルEXECコマンドの出力例を示します。SPANおよびRSPANセッションは出力の末尾付近に表示されます。
Switch(config)#
monitor session 2 source remote vlan 901
Switch(config)#
monitor session 2 destination interface gigabitethernet1/0/2 ingress vlan 6
Switch(config)#
end
Switch#
show running-config
Building configuration...
Current configuration : 8238 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime
no service password-encryption
service sequence-numbers
(テキスト出力は省略)
!
!
monitor session 2 destination interface Gi1/0/2 ingress vlan 6
end
All contents copyright (C) 1992--2004 Cisco Systems K.K.
