この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
スイッチド ポート アナライザ(SPAN)機能(ポート ミラーリングまたはポート モニタリングとも呼ばれる)は、ネットワーク アナライザによる分析のためにネットワーク トラフィックを選択します。ネットワーク アナライザは、Cisco SwitchProbe、ファイバ チャネル アナライザ、またはその他のリモート モニタリング(RMON)プローブです。
スイッチド ポート アナライザ(SPAN)機能(ポート ミラーリングまたはポート モニタリングとも呼ばれる)は、ネットワーク アナライザによる分析のためにネットワーク トラフィックを選択します。ネットワーク アナライザは、Cisco SwitchProbe またはその他のリモート モニタリング(RMON)プローブです。
SPAN 送信元とは、トラフィックをモニタリングできるインターフェイスを表します。Cisco Nexus デバイスは、SPAN 送信元として、、ポート チャネル、、および VLAN をサポートします。VLAN VSAN では、指定された VLAN でサポートされているすべてのインターフェイスが SPAN 送信元として含まれます。の送信元インターフェイスで、入力方向、出力方向、または両方向の SPAN トラフィックを選択できます:
入力送信元(Rx):この送信元ポートを介してデバイスに入るトラフィックは、SPAN 宛先ポートにコピーされます。
出力送信元(Tx):この送信元ポートを介してデバイスから出るトラフィックは、SPAN 宛先ポートにコピーされます。
送信元ポート(モニタリング対象ポートとも呼ばれる)は、ネットワーク トラフィック分析のためにモニタリングするスイッチド インターフェイスです。スイッチは、任意の数の入力送信元ポート(スイッチで使用できる最大数のポート)と任意の数のソース VLAN をサポートします。
送信元ポートの特性は、次のとおりです。
イーサネット、ポート チャネル、または VLAN ポート タイプにできます。
VLAN の SPAN 送信元は、6 VLANS を超えることはできません。
ACL フィルタが設定されていない場合、方向または SPAN 宛先のいずれかが異なっていれば、複数のセッションに対して同じ送信元を設定することができます。ただし、各 SPAN RX の送信元は、ACL フィルタを使用して、1 つの SPAN セッションにのみ設定する必要があります。
宛先ポートには設定できません。
モニターする方向(入力、出力、または両方)を設定できます。VLAN 送信元の場合、モニタリング方向は入力のみであり、グループ内のすべての物理ポートに適用されます。VLAN SPAN セッションでは RX/TX オプションは使用できません。
ACL を使用して入力トラフィックをフィルタし、ACL 基準に一致する情報のパケットのみがミラーリングされるようにすることができます。
同じ VLAN 内または異なる VLAN 内に存在できます。
SPAN 宛先とは、送信元ポートをモニタリングするインターフェイスを表します。Cisco Nexus 3600 プラットフォーム スイッチは、SPAN 宛先としてイーサネット インターフェイスをサポートします。
各ローカル SPAN セッションには、送信元ポートまたは VLAN からトラフィックのコピーを受信する宛先ポート(モニタリング ポートとも呼ばれる)が必要です。宛先ポートの特性は、次のとおりです。
すべての物理ポートが可能です。送信元イーサネット、FCoE、およびファイバ チャネル ポートは宛先ポートにできません。
すべての物理ポートが可能です。送信元イーサネットおよび FCoE ポートは、宛先ポートにできません。
送信元ポートにはなれません。
ポート チャネルにはできません。
SPAN セッションがアクティブなときは、スパニングツリーに参加しません。
任意の SPAN セッションの送信元 VLAN に属する場合、送信元リストから除外され、モニタリングされません。
すべてのモニタリング対象送信元ポートの送受信トラフィックのコピーを受信します。
同じ宛先インターフェイスを、複数の SPAN セッションに使用することはできません。ただし、インターフェイスは SPAN および ERSPAN セッションの宛先として機能できます。
 Note |
スケールの情報については、リリース特定の『Cisco Nexus 3600 NX-OS 確認済み拡張ガイド』を参照してください。 |
SPAN には、次の注意事項と制限事項があります。
同じ送信元(イーサネットまたはポートチャネル)は、複数のセッションの一部にすることができます。宛先が異なる 2 つのモニター セッションを設定することはできますが、同じ送信元 VLAN はサポートされていません。
複数の ACL フィルタは、同じ送信元でサポートされます。
Cisco Nexus 3600 プラットフォーム スイッチ インターフェイスのアクセス ポートの出力 SPAN コピーには、常に dot1q ヘッダーがあります。
同じ送信元インターフェイスで 2 つの SPAN または ERSPAN セッションを 1 つのフィルタだけで設定することはできません。同じ送信元が複数の SPAN または ERSPAN セッションで使用されている場合は、すべてのセッションに異なるフィルタを設定するか、セッションにフィルタを設定しないでください。
ACL フィルタリングは、Rx SPAN に対してのみサポートされます。Tx SPAN は、送信元インターフェイスで出力されるすべてのトラフィックをミラーリングします。
TCAM カービングは、Cisco Nexus 3600 プラットフォーム スイッチの SPAN/ERSPAN には必要ありません。
ACL フィルタリングは、TCAM(Ternary Content Addressable Memory)幅の制限により、IPv6 および MAC ACL ではサポートされていません。
SPAN TCAM サイズは、ASIC に応じて 128 または 256 です。1 つのエントリがデフォルトでインストールされ、4 つは ERSPAN 用に予約されます。
同じ送信元が複数の SPAN セッションで設定されていて、各セッションに ACL フィルタが設定されている場合、送信元インターフェイスは、最初のアクティブ SPAN セッションに対してのみプログラムされます。その他のセッションの ACE にプログラムされているハードウェア エントリは、この送信元インターフェイスには含まれません。
許可と拒否の両方のアクセス コントロール エントリ(ACE)は、同様に処理されます。ACE と一致するパケットは、ACL の許可エントリまたは拒否エントリを含んでいるかどうかに関係なく、ミラーリングされます。
Note |
拒否 ACE により、パケットがドロップされることはありません。SPAN セッションに設定されている ACL によってのみ、パケットをミラーリングするかどうかが決まります。 |
パフォーマンス向上のため、SPAN には RX タイプの送信元トラフィックのみを使用することをお勧めします。RX トラフィックがカットスルーであるのに対し、TX はストア アンド フォワードであるためです。したがって、両方向(RX および TX)をモニターする場合、パフォーマンスは RX のみをモニターするときほど良好になりません。両方向のトラフィックをモニターする必要がある場合は、より多くの物理ポートで RX をモニターすると、トラフィックの両側をキャプチャすることができます。
Cisco NX-OS リリース 10.2(3)F 以降、ACL フィルタは次のプラットフォーム スイッチでサポートされています。
N3K-C36180YC-R
N3K-C3636C-R
monitor session コマンドを使用してセッション番号を割り当てることによって、SPAN セッションを作成できます。セッションがすでに存在する場合、既存のセッションにさらに設定情報が追加されます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config)# monitor session session-number |
モニター コンフィギュレーション モードを開始します。既存のセッション設定に新しいセッション設定が追加されます。 |
次に、SPAN モニター セッションを設定する例を示します。
switch# configure terminal
switch(config) # monitor session 2
switch(config) #SPAN 宛先ポートとしてイーサネット インターフェイスを設定できます。
Note |
SPAN 宛先ポートは、スイッチ上の物理ポートにのみ設定できます。 |
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
||
|
Step 2 |
switch(config)# interface ethernet slot/port |
指定されたスロットとポートでイーサネット インターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
||
|
Step 3 |
switch(config-if)# switchport monitor |
指定されたイーサネット インターフェイスのモニター モードを開始します。ポートが SPAN 宛先として設定されている場合、プライオリティ フロー制御はディセーブルです。 |
||
|
Step 4 |
switch(config-if)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
||
|
Step 5 |
switch(config)# monitor session session-number |
指定した SPAN セッションのモニター コンフィギュレーション モードを開始します。 |
||
|
Step 6 |
switch(config-monitor)# destination interface ethernet slot/port |
イーサネット SPAN 宛先ポートを設定します。
|
次に、イーサネット SPAN 宛先ポート(HIF)を設定する例を示します。
switch# configure terminal
switch(config)# interface ethernet100/1/24
switch(config-if)# switchport monitor
switch(config-if)# exit
switch(config)# monitor session 1
switch(config-monitor)# destination interface ethernet100/1/24
switch(config-monitor)# 次に、仮想イーサネット(VETH)SPAN 宛先ポートを設定する例を示します。
switch# configure terminal
switch(config)# interface vethernet10
switch(config-if)# switchport monitor
switch(config-if)# exit
switch(config)# monitor session 2
switch(config-monitor)# destination interface vethernet10
switch(config-monitor)# 送信元ポートは、イーサネット ポートのみに設定できます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config) # monitor session session-number |
指定したモニタリング セッションのモニター コンフィギュレーション モードを開始します。 |
|
Step 3 |
switch(config-monitor) # source interface type slot/port [rx | tx | both] |
イーサネット SPAN の送信元ポートを追加し、パケットを複製するトラフィック方向を指定します。イーサネット、ファイバ チャネル、または仮想ファイバ チャネルのポート範囲を入力できます。複製するトラフィック方向を、入力(Rx)、出力(Tx)、または両方向(both)として指定できます。デフォルトは both です。 |
次に、イーサネット SPAN 送信元ポートを設定する例を示します。
switch# configure terminal
switch(config)# monitor session 2
switch(config-monitor)# source interface ethernet 1/16
switch(config-monitor)#次に、ファイバ チャネル SPAN 送信元ポートを設定する例を示します。
switch# configure terminal
switch(config)# monitor session 2
switch(config-monitor)# source interface fc 2/1
switch(config-monitor)#モニター セッション全体で SPAN トラフィックのレート制限を 1Gbps に設定することで、モニターされた実稼働トラフィックへの影響を回避できます。
1 Gbps を超えるトラフィックを 1 Gb の SPAN 宛先インターフェイスに分散させる場合、SPAN 送信元トラフィックはドロップされません。
6 Gbps を超える(ただし 10 Gbps 未満)のトラフィックを 10 Gb の SPAN 宛先インターフェイスに分散させる場合、SPAN トラフィックは、宛先またはスニファで 10 Gbps が可能な場合でも、1 Gbps に制限されます。
SPAN は 8 ポート(1 ASIC)ごとに 5 Gbps にレート制限されます。
RX-SPAN は、ポートの RX トラフィックが 5 Gbps を超える場合は、ポートごとに 0.71 Gbps にレート制限されます。
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
switch(config)# interface ethernet slot/port |
スロット値およびポート値による選択で指定されたイーサネット インターフェイスで、インターフェイス コンフィギュレーション モードを開始します。
|
||
|
ステップ 3 |
switch(config-if)# switchport monitor rate-limit 1G |
レート制限が 1 Gbps であることを指定します。
|
||
|
ステップ 4 |
switch(config-if)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
次に、イーサネット インターフェイス 1/2 の帯域幅を 1 Gbps に制限する例を示します。
switch(config)# interface ethernet 1/2
switch(config-if)# switchport monitor rate-limit 1G
switch(config-if)#
SPAN セッションに送信元チャネルを設定できます。これらのポートは、ポート チャネル、および VLAN に設定できます。モニタリング方向は入力、出力、またはその両方に設定でき、グループ内のすべての物理ポートに適用されます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config) # monitor session session-number |
指定した SPAN セッションのモニター コンフィギュレーション モードを開始します。 |
|
Step 3 |
switch(config-monitor) # source {interface {port-channel} channel-number [rx | tx | both] | vlan vlan-range} |
ポート チャネルまたは VLAN 送信元を設定します。VLAN 送信元の場合、モニタリング方向は暗黙的です。 |
次に、ポート チャネル SPAN 送信元を設定する例を示します。
switch# configure terminal
switch(config)# monitor session 2
switch(config-monitor)# source interface port-channel 1 rx
switch(config-monitor)# source interface port-channel 3 tx
switch(config-monitor)# source interface port-channel 5 both
switch(config-monitor)#次に、VLAN SPAN 送信元を設定する例を示します。
switch# configure terminal
switch(config)# monitor session 2
switch(config-monitor)# source vlan 1
switch(config-monitor)#参照しやすいように、SPAN セッションにわかりやすい名前を付けることができます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config) # monitor session session-number |
指定した SPAN セッションのモニター コンフィギュレーション モードを開始します。 |
|
Step 3 |
switch(config-monitor) # description description |
SPAN セッションのわかりやすい名前を作成します。 |
次に、SPAN セッションの説明を設定する例を示します。
switch# configure terminal
switch(config) # monitor session 2
switch(config-monitor) # description monitoring ports eth2/2-eth2/4
switch(config-monitor) #デフォルトでは、セション ステートは shut のままになります。送信元から宛先へパケットをコピーするセッションを開くことができます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config) # no monitor session {all | session-number} shut |
指定された SPAN セッションまたはすべてのセッションを開始します。 |
次に、SPAN セッションをアクティブにする例を示します。
switch# configure terminal
switch(config) # no monitor session 3 shut デフォルトでは、セッション状態は shut です。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル構成モードを開始します。 |
|
Step 2 |
switch(config) # monitor session {all | session-number} shut |
指定された SPAN セッションまたはすべてのセッションを一時停止します。 |
次に、SPAN セッションを一時停止する例を示します。
switch# configure terminal
switch(config) # monitor session 3 shut
switch(config) #| Command or Action | Purpose |
|---|---|
|
switch# show monitor [session {all | session-number | range session-range} [brief]] |
SPAN 設定を表示します。 |
次に、SPAN セッションの情報を表示する例を示します。
switch# show monitor
SESSION STATE REASON DESCRIPTION
------- ----------- ---------------------- --------------------------------
2 up The session is up
3 down Session suspended
4 down No hardware resource次に、SPAN セッションの詳細を表示する例を示します。
switch# show monitor session 2
session 2
---------------
type : local
state : up
source intf :
source VLANs :
rx : 100
tx :
both :
destination ports : Eth3/1SPAN セッションを設定する手順は、次のとおりです。
|
ステップ 1 |
アクセス モードで宛先ポートを設定し、SPAN モニタリングをイネーブルにします。 例: |
|
ステップ 2 |
SPAN セッションを設定します。 例: |
単一方向 SPAN セッションを設定するには、次の手順を実行します。
|
ステップ 1 |
アクセス モードで宛先ポートを設定し、SPAN モニタリングをイネーブルにします。 例: |
|
ステップ 2 |
SPAN セッションを設定します。 例: |
次に、SPAN ACL を設定する例を示します。
switch# configure terminal
switch(config)# ip access-list match_11_pkts
switch(config-acl)# permit ip 11.0.0.0 0.255.255.255 any
switch(config-acl)# exit
switch(config)# ip access-list match_12_pkts
switch(config-acl)# permit ip 12.0.0.0 0.255.255.255 any
switch(config-acl)# exit
switch(config)# vlan access-map span_filter 5
switch(config-access-map)# match ip address match_11_pkts
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# vlan access-map span_filter 10
switch(config-access-map)# match ip address match_12_pkts
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# monitor session 1
switch(config-erspan-src)# filter access-group span_filter
次に、以下の一致基準を使用して、カプセル化された IP-in-IP パケットの内部 TCP フラグで照合する UDF ベース SPAN を設定する例を示します。
外部送信元 IP アドレス:10.0.0.2
内部 TCP フラグ:緊急 TCP フラグを設定
バイト:Eth Hdr(14)+ 外部 IP(20)+ 内部 IP(20)+ 内部 TCP(20、ただし、13 番目のバイトの TCP フラグ)
パケットの先頭からのオフセット:14 + 20 + 20 + 13 = 67
UDF の照合値:0x20
UDF マスク:0xFF
udf udf_tcpflags packet-start 67 1
hardware access-list tcam region racl qualify udf udf_tcpflags
copy running-config startup-config
reload
ip access-list acl-udf
permit ip 10.0.0.2/32 any udf udf_tcpflags 0x20 0xff
monitor session 1
source interface Ethernet 1/1
filter access-group acl-udf
次に、以下の一致基準を使用して、レイヤ 4 ヘッダーの先頭から 6 バイト目のパケット署名(DEADBEEF)と通常の IP パケットを照合する UDF ベース SPAN を設定する例を示します。
外部送信元 IP アドレス:10.0.0.2
内部 TCP フラグ:緊急 TCP フラグを設定
バイト:Eth Hdr(14)+ IP(20)+ TCP(20)+ ペイロード:112233445566DEADBEEF7788
レイヤ 4 ヘッダーの先頭からのオフセット:20 + 6 = 26
UDF の照合値:0xDEADBEEF(2 バイトのチャンクおよび 2 つの UDF に分割)
UDF マスク:0xFFFFFFFF
udf udf_pktsig_msb header outer l4 26 2
udf udf_pktsig_lsb header outer l4 28 2
hardware access-list tcam region racl qualify udf udf_pktsig_msb udf_pktsig_lsb
copy running-config startup-config
reload
ip access-list acl-udf-pktsig
permit udf udf_pktsig_msb 0xDEAD 0xFFFF udf udf_pktsig_lsb 0xBEEF 0xFFFF
monitor session 1
source interface Ethernet 1/1
filter access-group acl-udf-pktsig
フィードバック