CBS 220シリーズスイッチでのRSPANの設定
目的
この記事では、CBS220シリーズスイッチでリモートスイッチポートアナライザ(RSPAN)を設定する方法について説明します。
はじめに
スイッチポートアナライザ(SPAN)、またはポートミラーリングまたはポートモニタリングと呼ばれることもあるスイッチは、ネットワークアナライザによる分析用にネットワークトラフィックを選択します。ネットワーク アナライザは、Cisco SwitchProbe デバイスのこともあれば、その他の Remote Monitoring(RMON; リモート モニタリング)プローブのこともあります。
スイッチは、特定のポートまたはVLANでトラフィックアクティビティのコピーを作成し、このコピーをAnalyzerのネットワーク/デバイスに接続されているポートに送信します。この機能を適用すると、特定のポートのトラフィックアクティビティを監視し、ネットワークに侵入しようとする侵入者をチェックできます。これにより、ネットワークとそのリソースのセキュリティが確保されます。モニタリングポートに接続されたネットワークアナライザは、診断、デバッグ、およびパフォーマンスモニタリングのためにデータパケットを処理します。
リモートスイッチポートアナライザ(RSPAN)は、SPANを拡張したものです。RSPANは、ネットワーク全体で複数のスイッチのモニタリングを有効にし、アナライザポートをリモートスイッチで定義できるようにすることで、SPANを拡張します。これは、ネットワークキャプチャデバイスを一元化できることを意味します。
RSPANは、RSPANセッションの送信元ポートからのトラフィックを、RSPANセッション専用のVLANにミラーリングすることで機能します。その後、このVLANは他のスイッチにトランキングされ、RSPANセッショントラフィックを複数のスイッチ間で転送できるようになります。セッションの宛先ポートを含むスイッチでは、RSPANセッションVLANからのトラフィックは単に宛先ポートからミラーアウトされるだけです。
RSPANトラフィックフロー
- 各 RSPAN セッションのトラフィックは、すべての参加スイッチの当該 RSPAN セッション専用であるユーザ指定の RSPAN VLAN で伝送されます。
- 開始デバイスの送信元インターフェイスからのトラフィックは、リフレクタポートを介してRSPAN VLANにコピーされます。これは、設定する必要がある物理ポートです。RSPANセッションの構築にのみ使用される
- このリフレクタポートは、RSPAN VLANにパケットをコピーするメカニズムです。所属するRSPANソースセッションからのトラフィックのみを転送するRSPAN ソース セッションがディセーブルになるまで、リフレクタ ポートとして設定されているポートに接続されているどのデバイスでも接続が失われます。
- その後、RSPANトラフィックは、中間デバイスのトランクポートを経由して、最終的なスイッチの宛先セッションに転送されます。
- 宛先スイッチはRSPAN VLANをモニタし、宛先ポートにコピーします。
RSPANポートメンバーシップルール
- すべてのスイッチ:RSPAN VLANのメンバーシップにはタグのみを付けることができます。
- スイッチの起動
- SPAN送信元インターフェイスは、RSPAN VLANのメンバになることはできません。
- リフレクタポートをこのVLANのメンバにすることはできません。
- リモートVLANにはメンバーシップを設定しないことをお勧めします。
- 中間スイッチ
- ミラーリングされたトラフィックの通過に使用されないすべてのポートからRSPANメンバーシップを削除することを推奨します。
- 通常、RSPANリモートVLANには2つのポートがあります。
- 最終スイッチ
- ミラーリングされたトラフィックの場合、送信元ポートはRSPAN VLANのメンバーである必要があります。
- 宛先インターフェイスを含む他のすべてのポートからRSPANメンバーシップを削除することを推奨します。
該当するデバイス|ソフトウェアバージョン
- CBS220シリーズ(データシート) | 2.0.0.17 (最新バージョンをダウンロード)
目次
- スイッチでのRSPAN VLANの設定
- スタートスイッチでのセッションソースの設定
- スタートスイッチでのセッション宛先の設定
- 最終スイッチでのセッションソースの設定
- 最終スイッチでのセッション宛先の設定
ネットワークでのRSPANの設定
スイッチでのRSPAN VLANの設定
RSPAN VLANは、RSPAN送信元セッションと宛先セッション間のSPANトラフィックを伝送します。次の特徴があります。
- RSPAN VLANのすべてのトラフィックは常にフラッディングされます。
- RSPAN VLANでは、Media Access Control(MAC;メディアアクセス制御)アドレス学習は行われません。
- RSPAN VLANトラフィックは、トランクポート上だけを流れます。
- STPはRSPAN VLANトランクでは実行できますが、SPAN宛先ポートでは実行できません。
- RSPAN VLANは、VLANコンフィギュレーションモードの開始スイッチと終了スイッチの両方で、remote-span VLANコンフィギュレーションモードコマンドを使用して設定する必要があります。または、次の指示に従います。
手順 1
スタートスイッチのWebユーザインターフェイス(UI)にログインします。
手順 2
VLAN Management > VLAN Settingsの順に選択します。
手順 3
[Add] をクリックします。
手順 4
VLANフィールドにRSPAN VLAN番号を入力し、VLAN Nameを入力して、Applyをクリックします。
VLANの設定の詳細については、「Cisco Business 220シリーズスイッチでのVLANの設定」を参照してください。
手順 5
(オプション)Saveをクリックして、実行コンフィギュレーションファイルを更新します。
手順 6
Status and Statistics > SPAN & RSPAN > RSPAN VLANの順に選択します。
ステップ7
RSPAN VLANドロップダウンリストからVLAN IDを選択します。このVLANはRSPAN専用である必要があります。
この例では、VLAN 200が選択されています。
手順 8
[APPLY] をクリックします。
手順 9
(オプション)Saveをクリックして、実行コンフィギュレーションファイルを更新します。
手順 10
最終スイッチでは、ステップ1 ~ 9を繰り返してRSPAN VLANを設定します。
これで、スタートスイッチと最終スイッチの両方でRSPANセッション専用のVLANが設定されました。
スタートスイッチでのセッションソースの設定
単一のローカルSPANまたはRSPANセッションソースでは、受信(Rx)、送信(Tx)、または双方向(両方)などのポートトラフィックをモニタできます。 スイッチは、任意の数の送信元ポート(スイッチで利用可能なポートの最大数まで)、および任意の数のソース VLAN をサポートします。送信元ポートをミラー化するように設定するには、次の手順を実行します。
手順 1
Status and Statistics > SPAN & RSPAN > Session Sourcesの順に選択します。
手順 2
[Add] をクリックします。
手順 3
Session IDドロップダウンリストからセッション番号を選択します。セッションIDは、RSPANセッションごとに一貫している必要があります。
この例では、Session 1が選択されています。
手順 4
ドロップダウンメニューから、目的の発信元インターフェイスのオプションボタンをクリックします。
送信元インターフェイスを宛先ポートと同じにすることはできません。
次のオプションがあります。
- Port:Portドロップダウンリストから、送信元ポートとして設定するポートを選択できます。
- VLAN:モニタするVLANをVLANドロップダウンリストから選択できます。VLANは、ホストの場所に関係なく、ホストのグループが同じ物理ネットワーク上にいるかのように通信するのに役立ちます。このオプションを選択すると、編集できません。
- リモートVLAN:定義済みのRSPAN VLANを表示します。このオプションを選択すると、編集できません。
この例では、ポートGE2が選択されています。
手順 5
(オプション)ステップ4でPortを選択した場合は、監視するトラフィックのタイプに応じて適切なMonitor Typeオプションボタンをクリックします。
次のオプションがあります。
- RxおよびTx:このオプションは、着信および発信パケットのポートミラーリングを許可します。このオプションはデフォルトで選択されています。
- Rx:このオプションは、着信パケットのポートミラーリングを許可します。
- Tx:このオプションは、発信パケットのポートミラーリングを許可します。
この例では、RxとTxが選択されています。
手順 6
[APPLY] をクリックします。
ステップ7
(オプション)Saveをクリックして、実行コンフィギュレーションファイルを更新します。
これで、スタートスイッチでセッションソースが設定されました。
スタートスイッチでのセッション宛先の設定
モニタリングセッションは、1つ以上の送信元ポートと1つの宛先ポートで構成されます。開始デバイスと終了デバイスに宛先ポートを設定する必要があります。開始デバイスでは、これはリフレクタポートです。最後のデバイスでは、これはアナライザポートです。宛先ポートを追加するには、次の手順を実行します。
手順 1
Status and Statistics > SPAN & RSPAN > Session Destinationsの順に選択します。
手順 2
[Add] をクリックします。
手順 3
Session IDドロップダウンリストからセッション番号を選択します。これは、設定済みのセッションソースから選択されたIDと同じである必要があります。
この例では、Session 1が選択されています。
手順 4
Destination TypeフィールドからRemote VLANオプションボタンをクリックします。
宛先インターフェイスを送信元ポートと同じにすることはできません。リモートVLANを選択すると、ネットワークトラフィックが自動的に有効になります。
手順 5
Reflector Portフィールドで、ドロップダウンリストから目的のオプションを選択します。
手順 6
[APPLY] をクリックします。
ステップ7
(オプション)Saveをクリックして、実行コンフィギュレーションファイルを更新します。
これで、スタートスイッチでセッションの宛先が設定されました。
最終スイッチでのセッションソースの設定
手順 1
Status and Statistics > SPAN & RSPAN > Session Sourcesの順に選択します。
手順 2
[Add] をクリックします。
手順 3
(オプション)Session IDドロップダウンリストからセッション番号を選択します。セッションIDは、セッションごとに一貫している必要があります。
この例では、Session 1が選択されています。
手順 4
Source InterfaceフィールドでRemote VLANオプションボタンをクリックします。
リモートVLANのモニタタイプは自動的に設定されます。
手順 5
Applyをクリックし、次にCloseをクリックします。
手順 6
(オプション)Saveをクリックして、実行コンフィギュレーションファイルを更新します。
これで、最終的なスイッチでセッションソースを設定できました。
最終スイッチでのセッション宛先の設定
手順 1
Status and Statistics > SPAN & RSPAN > Session Destinationsの順に選択します。
手順 2
[Add] をクリックします。
手順 3
Session IDドロップダウンリストからセッション番号を選択します。これは、設定済みのセッションソースから選択されたIDと同じである必要があります。
この例では、Session 1が選択されています。
手順 4
Destination TypeフィールドでLocalオプションボタンをクリックします。
手順 5
Portフィールドで、ドロップダウンリストから目的のオプションを選択します。
この例では、ポートGE3が選択されています。
手順 6
(オプション)Network Trafficフィールドで、Enableチェックボックスにチェックマークを付けてネットワークトラフィックを有効にします。
ステップ7
Applyをクリックし、次にCloseをクリックします。
手順 8
(オプション)Saveをクリックして、実行コンフィギュレーションファイルを更新します。
これで、最終スイッチでセッションの宛先が設定されました。
結論
やったぞ!CBS220スイッチでRSPANセッションを正しく設定できました。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
17-Jun-2021 |
初版 |
フィードバック