[an error occurred while processing this directive]
日本語マニュアル一覧
スイッチ
Catalyst 3750 Metro シリーズ
Catalyst 3750 Metro スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)EY
はじめに
このマニュアルについて
図一覧
表一覧
概要
CLIの使用方法
スイッチのIPアドレスおよびデフォルト ゲートウェイの割り当て
スイッチのクラスタ設定
IE2100 CNSエージェントの設定
スイッチの管理
SDMテンプレートの設定
スイッチベースの認証の設定
802.1xポートベースの認証の設定
インターフェイス特性の設定
SmartPortマクロの設定
VLANの設定
VTPの設定
プライベートVLANの設定
音声VLANの設定
IEEE 802.1Qおよびレイヤ2プロトコル トンネリングの設定
STPの設定
MSTPの設定
オプションのスパニングツリー機能の設定
Flex Linkの設定
DHCP機能およびIPソース ガードの設定
ダイナミックARP検査の設定
IGMPスヌーピングおよびMVRの設定
ポートベースのトラフィック制御の設定
CDPの設定
UDLDの設定
SPANおよびRSPANの設定
RMONの設定
システム メッセージ ロギングの設定
SNMPの設定
ACLによるネットワーク セキュリティの設定
QoSの設定
EtherChannelの設定
IPユニキャスト ルーティングの設定
HSRPの設定
MPLSおよびEoMPLSの設定
IPマルチキャスト ルーティングの設定
MSDPの設定
代替ブリッジングの設定
トラブルシューティング
サポートされているMIB
Cisco IOSファイル システム、コンフィギュレーション ファイル、およびソフトウェア イメージの操作
Cisco IOS Release12.2(25)EYでサポートされていないコマンド

スイッチ
Catalyst 3750 Metro スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)EY

この章では、Catalyst 3750 MetroスイッチにSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN)を設定する方法について説明します。

この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。

この章で説明する内容は、次のとおりです。

SPANおよびRSPANの概要
SPANおよびRSPANの設定
SPANおよびRSPANステータスの表示

SPANおよびRSPANの概要

ポートまたはVLAN(仮想LAN)を通過するネットワーク トラフィックを分析するには、SPANまたはRSPANを使用して、そのスイッチの別のポート、またはネットワーク アナライザなどのモニタリング デバイスやセキュリティ デバイスに接続されている別のスイッチ上のポートにトラフィックのコピーを送信します。SPANは送信元ポートまたは送信元VLAN上で受信、送信、または送受信されたトラフィックを宛先ポートにコピー(ミラーリング)して、分析します。SPANは送信元ポートまたはVLAN上のネットワーク トラフィックのスイッチングに影響を与えません。宛先ポートをSPAN専用にする必要があります。SPANまたはRSPANセッションに必要なトラフィック以外のトラフィックを、宛先ポートが受信または転送することはありません。

SPANを使用してモニタできるのは、送信元ポートを出入りするトラフィックまたは送信元VLANに出入りするトラフィックだけです。送信元VLANにルーティングされるトラフィックはモニタできません。たとえば、着信トラフィックをモニタしている場合、別のVLANから送信元VLANにルーティングされているトラフィックはモニタできません。ただし、送信元VLANで受信し、別のVLANにルーティングされるトラフィックは、モニタできます。

Enhanced-Services(ES)ポートをSPANまたはRSPAN送信元ポートにすることはできません。

SPANまたはRSPAN宛先ポートを使用すると、ネットワーク セキュリティ デバイスからトラフィックを送信できます。たとえば、Cisco Intrusion Detection System(IDS)センサ装置を宛先ポートに接続した場合、IDSデバイスはTCPリセット パケットを送信して疑わしい攻撃者のTCPセッションを停止させることができます。

ここで説明する内容は次のとおりです。

ローカルSPAN
RSPAN
SPANおよびRSPANの概念と用語
SPANおよびRSPANの他の機能との相互作用

ローカルSPAN

ローカルSPANは1つのスイッチ内のSPANセッション全体をサポートします。すべての送信元ポートまたは送信元VLAN、および宛先ポートは、同じスイッチ内にあります。ローカルSPANは、任意のVLAN上の1つまたは複数の送信元ポートあるいは1つまたは複数のVLANから宛先ポートに送信されるトラフィックをコピーして、分析します。たとえば、 図27-1 では、ポート5(送信元ポート)上のすべてのトラフィックがポート10 (宛先ポート)にミラーリングされています。ポート10のネットワーク アナライザは、ポート5に物理的に接続しなくても、ポート5からすべてのネットワーク トラフィックを受信します。

図27-1 単一スイッチでのローカルSPANの設定例

RSPAN

RSPANは複数のスイッチ上で送信元ポート、送信元VLAN、および宛先ポートをサポートするため、ネットワーク内で複数のスイッチのリモート モニタリングを実行できます。各RSPANセッションのトラフィックは、ユーザが指定したRSPAN VLAN上で伝送されます。このRSPAN VLANは、参加しているすべてのスイッチでRSPANセッション専用です。送信元ポートまたはVLANからのRSPANトラフィックはRSPAN VLANにコピーされ、RSPAN VLANを伝送するトランク ポートを介して、RSPAN VLANをモニタする宛先セッションに転送されます。各RSPAN送信元スイッチでは、RSPAN送信元としてポートまたはVLANのいずれかを設定する必要があります。宛先は常に物理ポートになります。

図27-2 に、スイッチAおよびスイッチBに設定されたRSPAN送信元ポート、およびスイッチCに設定されたRSPAN宛先ポートを示します。

図27-2 RSPANの設定例

SPANおよびRSPANの概念と用語

ここでは、SPANおよびRSPANの設定に関連する概念と用語について説明します。

SPANセッション

SPANセッション(ローカルまたはリモート)を使用すると、1つまたは複数のポート、あるいは1つまたは複数のVLAN上でトラフィックをモニタし、モニタしたトラフィックを1つまたは複数の宛先ポートに送信できます。

ローカルSPANセッションは、宛先ポートと送信元ポートまたは送信元VLAN(すべて単一のネットワーク デバイス上にある)の対応付けです。ローカルSPANには、送信元セッションおよび宛先セッションが個別に設定されません。ローカルSPANセッションはユーザが指定した入力および出力のパケット セットを収集し、SPANデータ ストリームを形成して、宛先ポートに転送します。

RSPANは1つまたは複数のRSPAN送信元セッション、1つのRSPAN VLAN、および1つまたは複数のRSPAN宛先セッションで構成されます。RSPAN送信元セッションとRSPAN宛先セッションは、異なるネットワーク デバイス上に別々に設定します。デバイスにRSPAN送信元セッションを設定するには、送信元ポートまたは送信元VLANのセットをRSPAN VLANと関連付けます。このセッションの出力は、RSPAN VLANに送信されるSPANパケットのストリームです。別のデバイスにRSPAN宛先セッションを設定するには、宛先ポートをRSPAN VLANと関連付けます。宛先セッションはRSPAN VLANトラフィックをすべて収集し、RSPAN宛先ポートに送信します。

RSPAN送信元セッションは、パケット ストリームの転送先を除き、ローカルSPANセッションに非常に似ています。RSPAN送信元セッションでは、SPANパケットにRSPAN VLAN IDラベルが再設定され、通常のトランク ポートを介して宛先スイッチに転送されます。

RSPAN宛先セッションはRSPAN VLAN上で受信されたすべてのパケットからVLANタギングを除去し、宛先ポートに送ります。RSPAN宛先セッションの目的は、(レイヤ2制御パケットを除く)すべてのRSPAN VLANパケットをユーザにコピーして、分析することです。

同じRSPAN VLAN内で、複数の送信元セッションと複数の宛先セッションをアクティブにすることができます。RSPAN送信元セッションと宛先セッションを分離する中間スイッチを配置することもできます。これらのスイッチにはRSPANの実行機能は不要ですが、RSPAN VLANの要件を満たす必要があります( RSPAN VLAN を参照)。

SPANセッションでのトラフィックのモニタには、次のような制限があります。

ポートまたはVLANを送信元にすることができますが、同じセッション内に送信元ポートと送信元VLANを混在させることはできません。
スイッチは最大2つの送信元セッションをサポートします。同じスイッチ内でローカルSPANとRSPAN送信元セッションを両方とも実行することができます。スイッチは合計66個の送信元およびRSPAN宛先セッションをサポートします。
ESポートはSPAN送信元セッションをサポートしません。
1つのSPANセッション内で複数の宛先ポートを使用できますが、使用できる宛先ポートの最大数は64です。
個別のまたは重複するSPAN送信元ポートとVLANの集合を使用して、2つの独立したSPANまたはRSPAN送信元セッションを設定できます。スイッチド ポートおよびルーテッド ポートはいずれもSPAN送信元および宛先として設定できます。
SPANセッションは、スイッチの正常な動作を妨げません。ただし、SPANの宛先がオーバーサブスクライブ型ポートである場合(たとえば100 Mbpsポートをモニタする10 Mbpsポートなど)、パケットが廃棄されるか、または消失する可能性があります。
RSPANがイネーブルの場合、モニタ中の各パケットは2回伝送されます。1回は標準トラフィックとして、もう1回はモニタされたパケットとしてです。したがって、多数のポートまたはVLANをモニタすると、大量のネットワーク トラフィックが生成されることがあります。
ディセーブルのポート上でもSPANセッションを設定できます。宛先ポートと、1つまたは複数の送信元ポートまたはVLANをイネーブルにしないかぎり、SPANセッションはアクティブになりません。
スイッチの単一セッション内では、ローカルSPANとRSPANを併用できません。つまり、
RSPAN送信元セッションにローカル宛先ポートを設定したり、RSPAN宛先セッションにローカル送信元ポートを設定したり、同じスイッチ上で、同じRSPAN VLANを使用するRSPAN宛先セッションおよびRSPAN送信元セッションを実行することはできません。.

モニタ対象トラフィック

SPANセッションは、次のトラフィック タイプをモニタできます。

受信(RX)SPAN ― 受信(または入力)SPANの目的は、スイッチが変更または処理を行う前に送信元インターフェイスまたはVLANが受信したすべてのパケットをできるかぎり多くモニタすることです。送信元が受信した各パケットのコピーがそのSPANセッションの宛先ポートに送信されます。

Differentiated Services Code Point(DSCP)の変更など、ルーティングまたはQuality of Service
(QoS;サービス品質)が原因で変更されるパケットは、変更前にコピーされます。

受信処理中にパケットを廃棄する可能性のある機能は、入力SPANには無効です。宛先ポートは、実際の着信パケットが廃棄された場合でも、パケットのコピーを受信します。これらの機能には、標準および拡張IP入力Access Control List(ACL;アクセス制御リスト)、入力QoSポリシング、VLAN ACL、出力QoSポリシングなどがあります。

送信(TX)SPAN ― 送信(または出力)SPANの目的は、スイッチによる変更または処理がすべて実行された後に、送信元インターフェイスから送信されたすべてのパケットをできるかぎり多くモニタすることです。送信元から送信された各パケットのコピーは、そのSPANセッションに対応する宛先ポートに送信されます。コピーは、パケットの変更後送信されます。

ルーティングが原因で変更されたパケット(Time to Live [TTL]、MAC [メディア アクセス制御]アドレス、QoS値の変更など)は、宛先ポートで(変更されて)コピーされます。

送信処理中にパケットを廃棄する可能性のある機能は、SPAN用のコピーにも影響を与えます。これらの機能には、標準および拡張IP出力ACL、出力QoSポリシングなどがあります。

双方向 ― 1つのSPANセッションで、単一のポートまたはVLANの送信パケットと受信パケットを両方モニタできます。これはデフォルト設定です。

ローカルSPANセッション ポートのデフォルト設定では、すべてのタグなしパケットが送信されます。通常、SPANはCisco Discovery Protocol(CDP)、VLAN Trunking Protocol(VTP;VLANトランキング プロトコル)、Dynamic Trunking Protocol(DTP)、Spanning-Tree Protocol(STP;スパニングツリー プロトコル)、Port Aggregation Protocol(PAgP)などのBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)パケットおよびレイヤ2プロトコルをモニタしません。ただし、宛先ポートを設定するときに encapsulation replicate キーワードを入力すると、次のように変更されます。

送信元ポートの場合と同じカプセル化設定(タグなし、IEEE 802.1Q、またはISL [スイッチ間リンク])を使用して、パケットが宛先ポートに送信されます。
BPDUやレイヤ2プロトコル パケットを含むすべてのタイプのパケットがモニタされます。

したがって、カプセル化レプリケーションがイネーブル化されたローカルSPANセッションでは、タグなし、802.1Q、およびISLタグ付きパケットが宛先ポートに混在するする場合があります。

スイッチが輻輳すると、入力送信元ポート、出力送信元ポート、またはSPAN宛先ポートでパケットが廃棄されることがあります。一般に、これらの特性は相互に依存しません。次に例を示します。

パケットは通常どおり転送されますが、SPAN宛先ポートのオーバーサブスクライブが原因でモニタされないことがあります。
入力パケットが標準転送されないにもかかわらず、SPAN宛先ポートに着信することがあります。
スイッチ輻輳が原因で廃棄された出力パケットは、出力SPANからも廃棄されます。

SPANの設定によっては、同じ送信元パケットの複数のコピーがSPAN宛先ポートに送信される場合があります。たとえば、ポートAではRXモニタ用に、ポートBではTXモニタ用に、双方向(RXとTX)SPANセッションが設定されているとします。パケットがポートAを介してスイッチに着信し、ポートBにスイッチングされると、着信パケットと発信パケットの両方が宛先ポートに送信されます。このため、両方のパケットは同じものになります(レイヤ3書き換えが行われた場合には、パケット変更のため異なるパケットになります)。

送信元ポート

送信元ポート(別名 モニタ対象ポート )は、ネットワークトラフィック分析のためにモニタするスイッチド ポートまたはルーテッド ポートです。1つのローカルSPANセッションまたはRSPAN送信元セッションでは、送信元ポートまたはVLANのトラフィックを単一方向または双方向でモニタできます。スイッチは、任意の数の送信元ポート(スイッチで利用可能なポートの最大数まで)と任意の数の送信元VLAN(サポートされているVLANの最大数まで)をサポートします。ただし、スイッチが送信元ポートまたはVLANでサポートするセッション数は最大2つ(ローカルまたはRSPAN)であるため、単一のセッションにポートおよびVLANを混在させることはできません。

送信元ポートには、次の特性があります。

複数のSPANセッションでモニタできます。
各送信元ポートに、モニタする方向(入力、出力、両方)を設定できます。
すべてのポート タイプ(EtherChannel、ファスト イーサネット、ギガビット イーサネットなど)が可能です。
EtherChannel送信元の場合はEtherChannel全体で、または物理ポートがポート チャネルに含まれている場合は物理ポート上で個別に、トラフィックをモニタできます。
アクセス ポート、トランク ポート、ルーテッド ポート、または音声VLANポートに指定できます。
ESポートに指定することはできません。
宛先ポートに指定することはできません。
送信元ポートは同じVLAN内にあっても異なるVLANにあってもかまいません。
単一セッション内で複数の送信元ポートをモニタできます。

送信元VLAN

VLAN-based SPAN(VSPAN)では、1つまたは複数のVLANのネットワーク トラフィックをモニタできます。VLAN内のSPANまたはRSPAN送信元インターフェイスはVLAN IDで指定され、トラフィックはそのVLANのすべてのポートでモニタされます。

VLANには次の特性があります。

送信元VLAN(ESポートを除く)内のすべてのアクティブ ポートは送信元ポートとして含まれ、単一方向または双方向でモニタできます。
指定されたポートでは、モニタ対象のVLAN上のトラフィックのみが宛先ポートに送信されます。
宛先ポートが送信元VLANに所属する場合は、送信元リストから除外され、モニタされません。
ポートが送信元VLANに追加または削除されると、これらのポートで受信された送信元VLANのトラフィックは、モニタ中の送信元に追加または削除されます。
VLAN送信元と同じセッション内のフィルタVLANを使用することはできません。
モニタできるのは、イーサネットVLANだけです。

VLANフィルタリング

トランク ポートを送信元ポートとしてモニタする場合、デフォルトでは、トランク上でアクティブなすべてのVLANがモニタされます。VLANフィルタリングを使用すれば、トランク送信元ポートでのSPANトラフィックのモニタを特定のVLANに制限することができます。

VLANフィルタリングが適用されるのは、トランク ポートまたは音声VLANポートのみです。
VLANフィルタリングはポートベース セッションにのみ適用され、VLAN送信元によるセッションでは使用できません。
VLANフィルタ リストが指定されている場合、トランク ポートまたは音声VLANアクセス ポートではリスト内のVLANのみがモニタされます。
他のポート タイプから着信するSPANトラフィックは、VLANフィルタリングの影響を受けません。つまり、すべてのVLANを他のポートで使用することができます。
VLANフィルタリング機能は、宛先SPANポートに転送されたトラフィックにのみ作用し、通常のトラフィックのスイッチングには影響を与えません。

宛先ポート

各ローカルSPANセッションまたはRSPAN宛先セッションには、送信元ポートまたはVLANからのトラフィックのコピーを受信し、SPANパケットをユーザ(通常はネットワーク アナライザ)に送信する宛先ポート(別名 モニタ側ポート )が必要です。

宛先ポートには、次の特性があります。

ローカルSPANセッションの場合、宛先ポートは送信元ポートと同じスイッチになければなりません。RSPANセッションの場合、宛先ポートはRSPAN宛先セッションを含むスイッチ上にあります。RSPAN送信元セッションのみを実行するスイッチには、宛先ポートはありません。
ポートをSPAN宛先ポートとして設定すると、元のポート設定が上書きされます。SPAN宛先ポートの設定を削除すると、ポートは以前の設定に戻ります。ポートがSPAN宛先ポートとして機能している間にポートの設定が変更されると、SPAN宛先設定が削除されるまで、変更は有効になりません。
EtherChannelグループに含まれていたポートが宛先ポートとして設定されている場合、そのポートはグループから削除されます。削除されたポートがルーテッド ポートであった場合、このポートはルーテッド ポートでなくなります。
任意のイーサネット物理ポートにできます。
セキュア ポートにすることはできません。
送信元ポートに指定することはできません。
EtherChannelグループまたはVLANにはできません。
一度に1つのSPANセッションにしか参加できません(あるSPANセッションの宛先ポートは、別のSPANセッションの宛先ポートになることはできません)。
アクティブな場合、着信トラフィックはディセーブルになります。このポートでは、SPANセッションに必要なトラフィック以外の転送は行われません。宛先ポートでは着信トラフィックの学習または転送は行われません。
入力トラフィックの転送がネットワーク セキュリティ デバイスでイネーブルの場合、宛先ポートはレイヤ2でトラフィックを転送します。
レイヤ2プロトコル(STP、VTP、CDP、DTP、PAgP)のいずれにも参加しません。
任意のSPANセッションの送信元VLANに所属する宛先ポートは、送信元リストから除外され、モニタされません。
スイッチの宛先ポートの最大数は64です。

ローカルSPANおよびRSPAN宛先ポートでは、VLANタギングおよびカプセル化に関する動作が異なります。

ローカルSPANでは、宛先ポートに encapsulation replicate キーワードが指定されている場合、各パケットに元のカプセル化が使用されます(タグなし、ISL、または802.1Q)。これらのキーワードが指定されていない場合、パケットはタグなしフォーマットになります。したがって、 encapsulation replicate がイネーブル化されたローカルSPANセッションの出力に、タグなし、802.1Q、またはISLタグ付きパケットが混在する場合があります。
RSPANの場合、元のVLAN IDはRSPAN VLAN IDで上書きされるため、失われます。したがって、宛先ポート上のすべてのパケットはタグなしになります。

RSPAN VLAN

RSPAN VLANは、RSPAN送信元セッションと宛先セッション間でSPANトラフィックを伝送します。RSPAN VLANには次の特殊な特性があります。

RSPAN VLAN内のすべてのトラフィックは、常にフラッディングされます。
RSPAN VLANではMACアドレスは学習されません。
RSPAN VLANトラフィックが流れるのは、トランク ポート上のみです。
RSPAN VLANは、 remote-span VLANコンフィギュレーション モード コマンドを使用して、VLANコンフィギュレーション モードで設定する必要があります。
STPはRSPAN VLANトランク上で実行できますが、SPAN宛先ポート上では実行できません。
RSPAN VLANは、プライベートVLANのプライマリまたはセカンダリVLANにはできません。

VTPに認識されるVLAN 1〜1005の場合、VLAN IDおよび対応するRSPAN特性はVTPによって伝播されます。拡張VLAN範囲(1006〜4094)内のRSPAN VLAN IDを割り当てる場合は、すべての中間スイッチを手動で設定する必要があります。

通常は、ネットワークに複数のRSPAN VLANを配置し、同時にそれぞれのRSPAN VLANでネットワーク全体のRSPANセッションを定義します。つまり、ネットワーク内の任意の場所にある複数のRSPAN送信元セッションからRSPANセッションにパケットを送信できます。また、ネットワーク全体に対して複数のRSPAN宛先セッションを設定し、同じRSPAN VLANをモニタしたり、ユーザにトラフィックを送信することもできます。セッションはRSPAN VLAN IDによって区別されます。

SPANおよびRSPANの他の機能との相互作用

SPANは次の機能と相互作用します。

ルーティング ― SPANはルーテッド トラフィックをモニタしません。VSPANがモニタするのはスイッチに出入りするトラフィックに限られ、VLAN間でルーティングされるトラフィックはモニタしません。たとえば、VLANが受信モニタされ、スイッチが別のVLANからモニタ対象VLANにトラフィックをルーティングする場合、そのトラフィックはモニタされず、SPAN宛先ポートで受信されません。
STP ― 宛先ポートのSPANまたはRSPANセッションがアクティブな間、宛先ポートはSTPに参加しません。SPANまたはRSPANセッションがディセーブルになると、宛先ポートはSTPに参加できます。送信元ポートでは、SPANはSTPステータスに影響を与えません。STPは、RSPAN VLANを伝送するトランク ポート上でアクティブにできます。
CDP ― SPAN宛先ポートは、SPANセッションがアクティブな間はCDPに参加しません。SPANセッションがディセーブルになると、ポートは再びCDPに参加します。
VTP ― VTPを使用して、スイッチ間でRSPAN VLANをプルーニングできます。
VLANおよびトランキング ― 送信元ポート、または宛先ポートのVLANメンバーシップまたはトランクの設定値は、いつでも変更できます。ただし、宛先ポートのVLANメンバーシップまたはトランクの設定値に対する変更は、SPAN宛先設定を削除しないかぎり有効になりません。送信元ポートのVLANメンバーシップまたはトランク設定の変更はただちに有効になり、個々のSPANセッションは、それに応じて自動的に調整されます。
EtherChannel ― EtherChannelグループを送信元ポートに設定できますが、SPAN宛先ポートには設定できません。グループをSPAN送信元として設定すると、グループ全体がモニタ対象となります。

モニタ対象EtherChannelグループに物理ポートを追加すると、新しいポートがSPAN送信元ポート リストに追加されます。モニタ対象EtherChannelグループからポートを削除すると、SPAN送信元ポート リストから自動的に削除されます。削除したポートがEtherChannelグループ内の唯一のポートである場合、グループ内にポートがなくなるため、データはモニタされません。

EtherChannelグループに属する物理ポートをSPAN送信元ポートとして設定し、引き続きEtherChannelの一部とすることができます。この場合、この物理ポートはEtherChannelに参加しているため、そのポートからのデータはモニタされます。ただし、EtherChannelグループに属する物理ポートをSPAN宛先ポートに設定した場合は、EtherChannelグループから削除されます。SPANセッションからポートが削除されると、EtherChannelグループに復帰します。EtherChannelグループから削除されたポートはグループのメンバーに残りますが、 非アクティブ または スタンドアロン ステートになります。

EtherChannelグループに属する物理ポートが宛先ポートであり、かつ、EtherChannelグループが送信元である場合、ポートはEtherChannelグループおよびモニタ対象ポートのリストから削除されます。

マルチキャスト トラフィックをモニタできます。出力側および入力側ポート モニタの場合は、未編集パケットが1つだけSPAN宛先ポートに送信されます。マルチキャスト パケットが送信される回数は反映されません。
プライベートVLANポートはSPAN宛先ポートにはできません。
セキュア ポートはSPAN宛先ポートにはできません。

SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでもポート セキュリティをイネーブルにしないでください。

802.1xポートはSPAN送信元ポートにできます。SPAN宛先ポートで802.1xをイネーブルにできますが、SPAN宛先として削除するまでは802.1xはディセーブルに設定されます。

SPANセッションでは、宛先ポートで入力転送がイネーブルの場合、出力をモニタしているポートで802.1xをイネーブルにしないでください。RSPAN送信元セッションでは、出力をモニタしているどのポートでも802.1xをイネーブルにしないでください。

SPANおよびRSPANの設定

ここでは、スイッチにSPANを設定する方法について説明します。具体的な設定情報は次のとおりです。

SPANおよびRSPANのデフォルト設定
ローカルSPANの設定
RSPANの設定

SPANおよびRSPANのデフォルト設定

表27-1 に、SPANおよびRSPANのデフォルト設定を示します。

表27-1 SPANおよびRSPANのデフォルト設定

機能

デフォルト設定

SPANのステート(SPANおよびRSPAN)

ディセーブル

モニタする送信元ポートのトラフィック

受信トラフィックと送信トラフィックの両方( both

カプセル化タイプ(宛先ポート)

ネイティブ形式(タグなしパケット)

入力転送(宛先ポート)

ディセーブル

VLANフィルタリング

送信元ポートとして使用されるトランク インターフェイス上で、すべてのVLANがモニタされます。

RSPAN VLAN

設定なし

ローカルSPANの設定

ここでは、スイッチにローカルSPANを設定する方法について説明します。具体的な設定情報は次のとおりです。

SPAN設定時の注意事項
ローカルSPANセッションの作成
ローカルSPANセッションの作成および入力トラフィックの設定
フィルタリングするVLANの指定

SPAN設定時の注意事項

SPANの設定の際は、次の注意事項に従ってください。

各スイッチには、ローカルSPANセッションまたはRSPAN送信元セッションを合計で2つ設定できます。また、各スイッチに、SPANセッション(ローカル、RSPAN送信元、および
RSPAN宛先)を合計で66個設定できます。
SPAN送信元の場合は、セッションごとに、単一のポートまたはVLAN、一連のポートまたはVLAN、または一定範囲のポートまたはVLANのトラフィックをモニタできます。1つのSPANセッションに、送信元ポートおよび送信元VLANを混在させることはできません。
宛先ポートは送信元ポートにできません。また、送信元ポートは宛先ポートにできません。
同じ宛先ポートで2つのSPANセッションを設定することはできません。
スイッチ ポートをSPAN宛先ポートに設定すると、通常のスイッチ ポートではなくなります。SPAN宛先ポートを通過するのは、モニタ対象のトラフィックだけです。
SPANコンフィギュレーション コマンドを入力しても、設定済みのSPANパラメータは削除されません。設定されたSPANパラメータを削除するには、 no monitor session { session_number | all | local | remote }グローバル コンフィギュレーション コマンドを入力する必要があります。
ローカルSPANでは、 encapsulation replicate キーワードが指定されている場合、SPAN宛先ポートを経由する発信パケットには元のカプセル化ヘッダー(タグなし、ISL、またはIEEE 802.1Q)が付加されます。このキーワードが指定されていない場合、パケットはネイティブ形式で送信されます。RSPAN宛先ポートの場合、発信パケットはタグなしです。
ディセーブルに設定されているポートを送信元または宛先ポートにすることはできますが、SPAN機能は、宛先ポートおよび1つまたは複数の送信元ポートまたは送信元VLANがイネーブルになるまでは起動しません。
filter vlan キーワードを使用すると、特定のVLANに対してSPANトラフィックを制限できます。モニタ対象がトランク ポートの場合、このキーワードで指定されたVLAN上のトラフィックのみがモニタされます。デフォルトでは、トランク ポートのすべてのVLANがモニタされます。
1つのSPANセッション内で送信元VLANを混在させたり、複数のVLANをフィルタリングすることはできません。

ローカルSPANセッションの作成

SPANセッションを作成し、送信元(モニタ対象)ポートまたはVLAN、および宛先(モニタ側)ポートを指定するには、イネーブルEXECモードで次の手順を実行します。

コマンド

説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all | local | remote }

セッションの既存のSPAN設定を削除します。

session_number の範囲は、1〜66です。

すべてのSPANセッションを削除するには all を、すべてのローカル セッションを削除するには local を、すべてのリモートSPANセッションを削除するには remote を指定します。

ステップ 3

monitor session session_number source { interface interface-id | vlan vlan-id }
[ , | - ] [ both | rx | tx ]

SPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。

session_number の範囲は、1〜66です。

interface-id には、モニタする送信元ポートまたは送信元VLANを指定します。

送信元 interface-id には、モニタする送信元ポートを指定します。有効なインターフェイスには、物理インターフェイスおよびポート チャネル論理インターフェイス( port-channel
port-channel-number )があります。 有効なポートチャネル番号は1〜12です。
vlan-id には、モニタする送信元VLANを指定します。指定できる範囲は1〜4094です(RSPAN VLANは除く)。

(注) 1つのセッションに、一連のコマンドで定義された複数の送信元(ポートまたはVLAN)を含めることができます。ただし、1つのセッション内で送信元ポートと送信元VLANを併用することはできません。

(任意) [ , | - ] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。

(任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しない場合、SPANは送受信両方のトラフィックをモニタします。

both ― 送受信両方のトラフィックをモニタします。これはデフォルト設定です。
rx ― 受信トラフィックをモニタします。
tx ― 送信トラフィックをモニタします。

(注) monitor session session_number source コマンドを複数回使用すると、複数の送信元ポートを設定できます。

ステップ 4

monitor session session_number destination { interface interface-id [, | -] [ encapsulation replicate ]}

SPANセッションおよび宛先ポート(モニタ側ポート)を指定します。

session_number には、ステップ3で入力したセッション番号を指定します。

(注) ローカルSPANの場合は、送信元および宛先インターフェイスに同じセッション番号を使用する必要があります。

interface-id には、宛先ポートを指定します。宛先インターフェイスには物理ポートを指定する必要があります。EtherChannelやVLANは指定できません。

(任意) [ , | - ] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。

(任意)宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製するように指定するには、 encapsulation replicate を入力します。このように選択しない場合、デフォルトでは、パケットがネイティブ形式(タグなし)で送信されます。

(注) monitor session session_number destination コマンドを複数回使用すると、複数の宛先ポートを設定できます。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show monitor [ session session_number ]

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

SPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。SPANセッションから送信元ポート、宛先ポート、またはVLANを削除する場合は、 no monitor session session_number source { interface interface-id | vlan vlan-id } グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination
interface
interface-id グローバル コンフィギュレーション コマンドを使用します。宛先インターフェイスの場合、このコマンドの no 形式では、 encapsulation replicate キーワードは無視されます。

次に、ローカルSPANセッション1を設定し、送信元ポートから宛先ポートへのトラフィックをモニタする例を示します。最初に、セッション1の既存のSPAN設定を削除し、双方向トラフィックを送信元ギガビット イーサネット ポート1から宛先ギガビット イーサネット ポート2へミラーリングして、カプセル化方式を維持します。

Switch(config)# no monitor session 1

Switch(config)# monitor session 1 source interface gigabitethernet1/0/1

Switch(config)# monitor session 1 destination interface gigabitethernet1/0/2 encapsulation replicate

Switch(config)# end

次に、SPANセッション1のSPAN送信元として設定されたポートを削除する例を示します。

Switch(config)# no monitor session 1 source interface gigabitethernet1/0/1

Switch(config)# end

次に、双方向モニタリングが設定されていたポートで、受信トラフィックのモニタリングをディセーブルにする例を示します。

Switch(config)# no monitor session 1 source interface gigabitethernet1/0/1 rx

ポート1に着信するトラフィックはモニタされませんが、このポートから送信されるトラフィックのモニタは継続されます。

次に、SPANセッション2内の既存の設定を削除し、VLAN 1〜3に属するすべてのポートで受信トラフィックをモニタするようにSPANセッション2を設定し、モニタされたトラフィックを宛先インターフェイスに送信する例を示します。この設定は、VLAN 10に属するすべてのポートですべてのトラフィックをモニタするように変更されます。

Switch(config)# no monitor session 2

Switch(config)# monitor session 2 source vlan 1 - 3 rx

Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2

Switch(config)# monitor session 2 source vlan 10

Switch(config)# end

ローカルSPANセッションの作成および入力トラフィックの設定

SPANセッションを作成して送信元ポート、送信元VLAN、および宛先ポートを指定し、ネットワーク セキュリティ デバイス(Cisco IDSセンサ装置など)用の宛先ポート上の入力トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。

入力トラフィックに関連しないキーワードの詳細については、 ローカルSPANセッションの作成 を参照してください。

コマンド

説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all | local | remote }

セッションの既存のSPAN設定を削除します。

ステップ 3

monitor session session_number source { interface interface-id | vlan vlan-id }
[ , | - ] [ both | rx | tx ]

SPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。

ステップ 4

monitor session session_number destination { interface interface-id [, | -] [ encapsulation replicate ] [ ingress { dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan vlan-id }]}

SPANセッション、宛先ポート、パケット カプセル化、入力側VLAN、およびカプセル化を指定します。

session_number には、ステップ3で入力したセッション番号を指定します。

interface-id には、宛先ポートを指定します。宛先インターフェイスには物理ポートを指定する必要があります。EtherChannelやVLANは指定できません。

(任意) [ , | - ] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマまたはハイフンの前後にはスペースを入力します。

(任意)宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製するように指定するには、 encapsulation replicate を入力します。このように選択しない場合、デフォルトでは、パケットがネイティブ形式(タグなし)で送信されます。

宛先ポートで入力トラフィックの転送をイネーブルにして、カプセル化タイプを指定するには、 ingress に次のキーワードを指定して入力します。

dot1q vlan vlan-id ― 802.1Qカプセル化を使用し、デフォルトVLANとして指定されたVLANを設定して、入力パケットを転送します。
isl ― ISLカプセル化を使用して、入力パケットを転送します。
untagged vlan vlan-id または vlan vlan-id ― タグなしカプセル化タイプを使用し、デフォルトVLANとして指定されたVLANを設定して、入力パケットを転送します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show monitor [ session session_number ]

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

SPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。SPANセッションから送信元ポート、宛先ポート、またはVLANを削除する場合は、 no monitor session session_number source { interface interface-id | vlan vlan-id } グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。宛先インターフェイスの場合、このコマンドの no 形式では、encapsulationおよびingressオプションは無視されます。

次に、SPANセッション2の既存の設定を削除し、送信元ギガビット イーサネット ポート1で受信されたトラフィックをモニタするようにSPANセッション2を設定し、このトラフィックを送信元ポートと同じ出力カプセル化タイプを使用して宛先ギガビット イーサネット ポート2に送信し、802.1Qカプセル化およびデフォルト入力VLANとしてVLAN 6を使用する入力転送をイネーブルにする例を示します。

Switch(config)# no monitor session 2

Switch(config)# monitor session 2 source gigabitethernet1/0/1 rx

Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 encapsulation replicate ingress dot1q vlan 6

Switch(config)# end

フィルタリングするVLANの指定

SPAN送信元トラフィックを特定のVLANに制限するには、イネーブルEXECモードで次の手順を実行します。

コマンド

説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all | local | remote }

セッションの既存のSPAN設定を削除します。

session_number の範囲は、1〜66です。

すべてのSPANセッションを削除するには all を、すべてのローカル セッションを削除するには local を、すべてのリモートSPANセッションを削除するには remote を指定します。

ステップ 3

monitor session session_number source interface interface-id

送信元ポート(モニタ対象ポート)およびSPANセッションの特性を指定します。

session_number の範囲は、1〜66です。

interface-id には、モニタする送信元ポートを指定します。指定されたインターフェイスが、トランク ポートとして設定されている必要があります。

ステップ 4

monitor session session_number filter vlan vlan-id [ , | - ]

SPAN送信元トラフィックを特定のVLANに制限します。

session_number には、ステップ3で指定したセッション番号を入力します。

vlan-id に指定できる範囲は、1〜4094です。

(任意)カンマ( , )を使用して一連のVLANを指定するか、ハイフン( - )を使用して一定範囲のVLANを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。

ステップ 5

monitor session session_number destination { interface interface-id [, | -] [ encapsulation replicate ]}

SPANセッションおよび宛先ポート(モニタ側ポート)を指定します。

session_number には、ステップ3で入力したセッション番号を指定します。

interface-id には、宛先ポートを指定します。宛先インターフェイスには物理ポートを指定する必要があります。EtherChannelやVLANは指定できません。

(任意) [ , | - ] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。

(任意)宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製するように指定するには、 encapsulation replicate を入力します。このように選択しない場合、デフォルトでは、パケットがネイティブ形式(タグなし)で送信されます。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show monitor [ session session_number ]

show running-config

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

トランク ポート上のすべてのVLANをモニタするには、 no monitor session session_number filter グローバル コンフィギュレーション コマンドを使用します。

次に、SPANセッション2の既存の設定を削除し、ギガビット イーサネット トランク ポート2で受信したトラフィックをモニタするようにSPANセッション2を設定し、VLAN 1〜5および9のトラフィックのみをギガビット イーサネット ポート1に送信する例を示します。

Switch(config)# no monitor session 2

Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx

Switch(config)# monitor session 2 filter vlan 1 - 5 , 9

Switch(config)# monitor session 2 destination interface gigabitethernet1/0/1

Switch(config)# end

RSPANの設定

ここでは、スイッチにRSPANを設定する手順について説明します。具体的な設定情報は次のとおりです。

RSPAN設定時の注意事項
RSPAN VLANとしてのVLANの設定
RSPAN送信元セッションの作成
RSPAN宛先セッションの作成
フィルタリングするVLANの指定

RSPAN設定時の注意事項

RSPANの設定時は、次の注意事項に従ってください。

RSPANには、 SPAN設定時の注意事項 のすべての項目が当てはまります。
RSPAN VLANには特殊なプロパティがあるので、RSPAN VLANとして使用するVLANをネットワーク上にいくつか確保しておき、これらのVLANにはアクセス ポートを割り当てないでください。
RSPANトラフィックに出力ACLを適用して、特定のパケットを選択してフィルタリングまたはモニタすることができます。これらのACLは、RSPAN送信元スイッチ内のRSPAN VLAN上で指定します。
RSPANの設定では、送信元ポートと宛先ポートをネットワーク内の複数のスイッチに分散させることができます。
RSPANはBPDUパケット モニタリング、またはその他のレイヤ2スイッチ プロトコルをサポートしません。
RSPAN VLANはトランク ポートにのみ設定されており、アクセス ポートには設定されていません。不要なトラフィックがRSPAN VLANに発生するのを防ぐため、参加しているすべてのスイッチでVLANリモートSPAN機能がサポートされていることを確認してください。
RSPAN VLAN上のアクセス ポート(音声VLANポートを含む)は、非アクティブ ステートになります。
送信元トランク ポートにアクティブなRSPAN VLANが設定されている場合、RSPAN VLANはポートベースRSPANセッションの送信元として組み込まれます。また、RSPAN VLANをSPANセッションの送信元にすることもできます。ただし、スイッチはセッション間にわたるトラフィックをモニタしないため、スイッチのRSPAN送信元セッションの宛先として識別されたRSPAN VLANでは、パケットの出力スパニングがサポートされません。
任意のVLANをRSPAN VLANとして設定するには、次の条件を満たす必要があります。
− すべてのスイッチで、RSPANセッションに同じRSPAN VLANが使用されている。
− 参加するすべてのスイッチがRSPANをサポートしている。
RSPAN VLANを設定してから、RSPAN送信元または宛先セッションを設定してください。
VTPおよびVTPプルーニングがイネーブルの場合、RSPANトラフィックはトランクでプルーニングされ、ネットワーク上でVLAN IDが1005以下のRSPANトラフィックの無用なフラッディングを防止できます。

RSPAN VLANとしてのVLANの設定

最初に、RSPANセッション用のRSPAN VLANに設定するVLANを新規に作成します。RSPANに参加するすべてのスイッチにRSPAN VLANを作成する必要があります。RSPAN VLAN IDが標準範囲(1005以下)であり、VTPがネットワーク内でイネーブルである場合は、1つのスイッチにRSPAN VLANを作成し、VTPがこのRSPAN VLANをVTPドメイン内の他のスイッチに伝播するように設定することができます。拡張範囲VLAN(1005を超えるID)の場合、送信元と宛先の両方のスイッチ、およびすべての中間スイッチにRSPAN VLANを設定する必要があります。

VTPプルーニングを使用して、RSPANトラフィックのフローを効率化するか、またはRSPANトラフィックを伝達する必要のないすべてのトランクから、RSPAN VLANを手動で削除してください。

RSPAN VLANを作成するには、イネーブルEXECモードで次の手順を実行します。

コマンド

説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vlan vlan-id

VLAN IDを入力してVLANを作成するか、または既存のVLANのVLAN IDを入力して、VLANコンフィギュレーション モードを開始します。指定できる範囲は2〜1001および1006〜4094です。

(注) RSPAN VLANをVLAN 1(デフォルトVLAN)またはVLAN ID 1002〜1005(トークンリングやFDDI VLAN専用)にすることはできません。

ステップ 3

remote-span

VLANをRSPAN VLANとして設定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

VLANからRSPANの特性を削除して、標準VLANに変換するには、 no remote-span VLANコンフィギュレーション コマンドを使用します。

次に、RSPAN VLAN 901を作成する例を示します。

Switch(config)# vlan 901

Switch(config-vlan)# remote span

Switch(config-vlan)# end

RSPAN送信元セッションの作成

RSPAN送信元セッションを開始し、モニタ対象の送信元および宛先RSPAN VLANを指定するには、イネーブルEXECモードで次の手順を実行します。

コマンド

説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all | local | remote }

セッションの既存のRSPAN設定を削除します。

session_number の範囲は、1〜66です。

すべてのRSPANセッションを削除するには all を、すべてのローカル セッションを削除するには local を、すべてのリモートSPANセッションを削除するには remote を指定します。

ステップ 3

monitor session session_number source { interface interface-id | vlan vlan-id }
[
, | - ] [ both | rx | tx ]

RSPANセッションおよび送信元ポート(モニタ対象ポート)を指定します。

session_number の範囲は、1〜66です。

RSPANセッションの送信元ポートまたは送信元VLANを入力します。

interface-id には、モニタする送信元ポートを指定します。有効なインターフェイスには、物理インターフェイスおよびポート チャネル論理インターフェイス( port-channel
port-channel-number )があります。 有効なポートチャネル番号は1〜12です。
vlan-id には、モニタする送信元VLANを指定します。指定できる範囲は1〜4094です(RSPAN VLANは除く)。

(注) 1つのセッションに、一連のコマンドで定義された複数の送信元(ポートまたはVLAN)を含めることができます。ただし、1つのセッション内で送信元ポートと送信元VLANを併用することはできません。

(任意) [ , | - ] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。

(任意)モニタするトラフィックの方向を指定します。トラフィックの方向を指定しない場合、送信元インターフェイスは、送受信両方のトラフィックを送信します。

both ― 送受信両方のトラフィックを送信します。
rx ― 受信トラフィックをモニタします。
tx ― 送信トラフィックをモニタします。

ステップ 4

monitor session session_number destination remote vlan vlan-id

RSPANセッションおよび宛先RSPAN VLANを指定します。

session_number には、ステップ3で定義した番号を入力します。

vlan-id には、モニタする送信元RSPAN VLANを指定します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show monitor [ session session_number ]

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

SPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。

SPANセッションから送信元ポートまたはVLANを削除するには、 no monitor session session_number source { interface interface-id | vlan vlan-id } グローバル コンフィギュレーション コマンドを使用します。セッションからRSPAN VLANを削除するには、 no monitor session session_number destination remote vlan vlan-id コマンドを使用します。

次に、セッション1の既存のRSPAN設定を削除し、複数の送信元インターフェイスをモニタするようにRSPANセッション1を設定し、さらに宛先をRSPAN VLAN 901に設定する例を示します。

Switch(config)# no monitor session 1

Switch(config)# monitor session 1 source interface fastethernet1/0/10 tx

Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 rx

Switch(config)# monitor session 1 source interface gigabitethernet1/0/2

Switch(config)# monitor session 1 source interface port-channel 12

Switch(config)# monitor session 1 destination remote vlan 901

Switch(config)# end

RSPAN宛先セッションの作成

RSPAN宛先セッションは別のスイッチ、つまり、送信元セッションが設定されていないスイッチに設定します。

スイッチ上でRSPAN VLANを定義し、RSPAN宛先セッションを作成し、送信元RSPAN VLANおよび宛先ポートを指定するには、イネーブルEXECモードで次の手順を実行します。

コマンド

説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vlan vlan-id

送信元スイッチで作成されたRSPAN VLANのVLAN IDを入力し、VLANコンフィギュレーション モードを開始します。

(注) 両方のスイッチがVTPに参加し、RSPAN VLAN IDが2〜1005である場合は、VTPネットワークを介してRSPAN
VLAN IDが伝播されるため、ステップ2〜4は不要です。

ステップ 3

remote-span

VLANをRSPAN VLANとして識別します。

ステップ 4

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 5

no monitor session { session_number | all | local | remote }

セッションの既存のRSPAN設定を削除します。

session_number の範囲は、1〜66です。

すべてのRSPANセッションを削除するには all を、すべてのローカル セッションを削除するには local を、すべてのリモートSPANセッションを削除するには remote を指定します。

ステップ 6

monitor session session_number source remote vlan vlan-id

RSPANセッションおよび送信元RSPAN VLANを指定します。

session_number の範囲は、1〜66です。

vlan-id には、モニタする送信元RSPAN VLANを指定します。

ステップ 7

monitor session session_number destination interface interface-id

RSPANセッションおよび宛先インターフェイスを指定します。

session_number には、ステップ6で定義した番号を入力します。

(注) RSPAN宛先セッションでは、送信元RSPAN VLANおよび宛先ポートに同じセッション番号を使用する必要があります。

interface-id には、宛先インターフェイスを指定します。宛先インターフェイスには物理インターフェイスを指定する必要があります。

(注) encapsulation replicate はコマンドラインのヘルプ ストリングに表示されていますが、RSPANではサポートされていません。元のVLAN IDはRSPAN VLAN IDによって上書きされ、宛先ポート上のすべてのパケットはタグなしになります。

ステップ 8

end

イネーブルEXECモードに戻ります。

ステップ 9

show monitor [ session session_number ]

show running-config

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

SPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。SPANセッションから宛先ポートを削除するには、 no monitor
session
session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。セッションからRSPAN VLANを削除するには、 no monitor session session_number
source remote vlan
vlan-id コマンドを使用します。

次に、送信元リモートVLANとしてVLAN 901、宛先インターフェイスとしてギガビット イーサネット ポート2を設定する例を示します。

Switch(config)# monitor session 1 source remote vlan 901

Switch(config)# monitor session 1 destination interface gigabitethernet1/0/2

Switch(config)# end

RSPAN宛先セッションの作成および入力トラフィックの設定

RSPAN宛先セッションを作成し、送信元RSPAN VLANおよび宛先ポートを指定し、ネットワーク セキュリティ デバイス(Cisco IDSセンサ装置など)用の宛先ポート上の入力トラフィックをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。

入力トラフィックに関連しないキーワードの詳細については、 RSPAN宛先セッションの作成 を参照してください。この手順では、RSPAN VLANがすでに設定してあると想定しています。

コマンド

説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all | local | remote }

セッションの既存のSPAN設定を削除します。

ステップ 3

monitor session session_number source remote vlan vlan-id

RSPANセッションおよび送信元RSPAN VLANを指定します。

session_number の範囲は、1〜66です。

vlan-id には、モニタする送信元RSPAN VLANを指定します。

ステップ 4

monitor session session_number destination { interface interface-id [, | -] [ ingress { dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan vlan-id }]}

SPANセッション、宛先ポート、パケット カプセル化、入力側VLAN、およびカプセル化を指定します。

session_number には、ステップ4で定義した番号を入力します。

(注) RSPAN宛先セッションでは、送信元RSPAN VLANおよび宛先ポートに同じセッション番号を使用する必要があります。

interface-id には、宛先インターフェイスを指定します。宛先インターフェイスには物理インターフェイスを指定する必要があります。

(注) encapsulation replicate はコマンドラインのヘルプ ストリングに表示されていますが、RSPANではサポートされていません。元のVLAN IDはRSPAN VLAN IDによって上書きされ、宛先ポート上のすべてのパケットはタグなしになります。

(任意) [ , | - ] ― 一連のまたは一定範囲のインターフェイスを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。

宛先ポートで入力トラフィックの転送をイネーブルにして、カプセル化タイプを指定するには、 ingress に次のキーワードを指定して入力します。

dot1q vlan vlan-id ― 802.1Qカプセル化を使用し、デフォルトVLANとして指定されたVLANを設定して、入力パケットを転送します。
isl ― ISLカプセル化を使用して、入力パケットを転送します。
untagged vlan vlan-id または vlan vlan-id ― タグなしカプセル化タイプを使用し、デフォルトVLANとして指定されたVLANを設定して、入力パケットを転送します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show monitor [ session session_number ]

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

RSPANセッションを削除する場合は、 no monitor session session_number グローバル コンフィギュレーション コマンドを使用します。RSPANセッションから宛先ポートを削除するには、 no monitor
session
session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。このコマンドの no 形式では、ingressオプションは無視されます。

次に、VLAN 901をRSPANセッション2の送信元リモートVLANに設定し、ギガビット イーサネット送信元ポート2を宛先インターフェイスとして設定し、VLAN 6がデフォルト入力VLANとして設定されたインターフェイス上で入力転送をイネーブルにする例を示します。

Switch(config)# monitor session 2 source remote vlan 901

Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 ingress vlan 6

Switch(config)# end

フィルタリングするVLANの指定

RSPAN送信元トラフィックを特定のVLANに制限するようにRSPAN送信元セッションを設定するには、イネーブルEXECモードで次の手順を実行します。

コマンド

説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no monitor session { session_number | all | local | remote }

セッションの既存のSPAN設定を削除します。

session_number の範囲は、1〜66です。

すべてのSPANセッションを削除するには all を、すべてのローカル セッションを削除するには local を、すべてのリモートSPANセッションを削除するには remote を指定します。

ステップ 3

monitor session session_number source interface interface-id

送信元ポート(モニタ対象ポート)およびSPANセッションの特性を指定します。

session_number の範囲は、1〜66です。

interface-id には、モニタする送信元ポートを指定します。指定されたインターフェイスが、トランク ポートとして設定されている必要があります。

ステップ 4

monitor session session_number filter vlan vlan-id [ , | - ]

SPAN送信元トラフィックを特定のVLANに制限します。

session_number には、ステップ3で指定したセッション番号を入力します。

vlan-id に指定できる範囲は、1〜4094です。

(任意)カンマ( , )を使用して一連のVLANを指定するか、ハイフン( - )を使用して一定範囲のVLANを指定します。カンマの前後およびハイフンの前後にスペースを1つずつ入力します。

ステップ 5

monitor session session_number destination remote vlan vlan-id

RSPANセッションおよび宛先リモートVLAN(RSPAN VLAN)を指定します。

session_number には、ステップ3で指定したセッション番号を入力します。

vlan-id には、モニタ対象トラフィックを宛先ポートに伝送するRSPAN VLANを指定します。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show monitor [ session session_number ]

show running-config

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

トランク ポート上のすべてのVLANをモニタするには、 no monitor session session_number filter vlan グローバル コンフィギュレーション コマンドを使用します。

次に、RSPANセッション2の既存の設定を削除し、トランク ポートで受信されたトラフィックをモニタするようにRSPANセッション2を設定し、VLAN 1〜5および9のトラフィックのみを宛先RSPAN VLAN 902に送信する例を示します。

Switch(config)# no monitor session 2

Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx

Switch(config)# monitor session 2 filter vlan 1 - 5 , 9

Switch(config)# monitor session 2 destination remote vlan 902

Switch(config)# end

SPANおよびRSPANステータスの表示

現在のSPANまたはRSPAN設定を表示するには、 show monitor ユーザEXECコマンドを使用します。 show running-config イネーブルEXECコマンドを使用すれば、設定されたSPANセッションまたはRSPANセッションを表示することもできます。


[an error occurred while processing this directive]