この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
各switchでは、最大で 8 つの送信元セッションおよび 58 の RSPAN 宛先セッションを設定できます。 送信元セッションは、ローカル SPAN セッションまたは RSPAN 送信元セッションのどちらかになります。
SPAN 送信元の場合は、セッションごとに、単一のポートまたは VLAN、一連のポートまたは VLAN、一定範囲のポートまたは VLAN のトラフィックをモニタできます。 1 つの SPAN セッションに、送信元ポートおよび送信元 VLAN を混在させることはできません。
switch ポートを SPAN 宛先ポートとして設定すると、通常のswitch ポートではなくなります。SPAN 宛先ポートを通過するのは、監視対象トラフィックのみになります。
SPAN コンフィギュレーション コマンドを入力しても、前に設定した SPAN パラメータは削除されません。 設定されている SPAN パラメータを削除するには、 no monitor session { session_number | all | local | remote} グローバル コンフィギュレーション コマンドを入力する必要があります。
ローカル SPAN では、 encapsulation replicate キーワードが指定されている場合、SPAN 宛先ポートを経由する発信パケットは元のカプセル化ヘッダー(タグなしまたは IEEE 802.1Q)を伝送します。 このキーワードが指定されていない場合、パケットはネイティブ形式で送信されます。
ディセーブルのポートを送信元ポートまたは宛先ポートとして設定することはできますが、SPAN 機能が開始されるのは、宛先ポートと少なくとも 1 つの送信元ポートまたは送信元 VLAN がイネーブルになってからです。
スタックは、LAN Base イメージを実行しているスイッチのみでサポートされています。
SPAN セッションのトラフィック モニタリングには次の制約事項があります。
ポートまたは VLAN を送信元にできますが、同じセッション内に送信元ポートと送信元 VLAN を混在させることはできません。
1 つの SPAN セッションに複数の宛先ポートを設定できますが、1 つの switch スタックあたりに設定できる宛先ポートは最大で 66 個です。
SPAN セッションがswitchの通常の動作を妨げることはありません。 ただし、10 Mbps のポートで 100 Mbps のポートをモニタするなど、オーバーサブスクライブの SPAN 宛先は、パケットのドロップまたは消失を招くことがあります。
SPAN または RSPAN がイネーブルの場合、監視中の各パケットは 2 回送信されます(1 回は標準トラフィックとして、もう 1 回は監視されたパケットとして)。 多数のポートまたは VLAN をモニタすると、大量のネットワーク トラフィックが生成されることがあります。
ディセーブルのポート上に SPAN セッションを設定することはできますが、そのセッション用に宛先ポートと少なくとも 1 つの送信元ポートまたは VLAN をイネーブルにしない限り、SPAN セッションはアクティブになりません。
RSPAN VLAN はトランク ポートにのみ設定されており、アクセス ポートには設定されていません。 不要なトラフィックが RSPAN VLAN に発生しないようにするために、参加しているすべてのswitchesで VLAN RSPAN 機能がサポートされていることを確認してください。
送信元トランク ポートにアクティブな RSPAN VLAN が設定されている場合、RSPAN VLAN はポートベース RSPAN セッションの送信元として含まれます。 また、RSPAN VLAN を SPAN セッションの送信元に設定することもできます。 ただし、switchはスパンされたトラフィックをモニタしないため、switchの RSPAN 送信元セッションの宛先として識別された RSPAN VLAN では、パケットの出力スパニングがサポートされません。
VTP および VTP プルーニングをイネーブルにすると、トランク内で RSPAN トラフィックがプルーニングされ、1005 以下の VLAN ID に関して、ネットワークで不必要な RSPAN トラフィックのフラッディングが防止されます。
RSPAN を使用するには、スイッチが LAN Base イメージを実行している必要があります。
複数の SPAN または RSPAN セッションに ACL をアタッチできます。 ただし、ACL のサイズは FSPAN に割り当てられたメモリ TCAM のサイズを超過することはできません。
FSPAN ACL が接続されていない場合、FSPAN はディセーブルで、すべてのトラフィックが SPAN 宛先ポートにコピーされます。
SPAN セッションに空の FSPAN ACL を接続すると、パケットはフィルタリングされず、すべてのトラフィックが監視されます。
FSPAN ACL は、ポート単位 VLAN 単位のセッションに適用できません。 ポート単位 VLAN 単位のセッションは、最初にポートベースのセッションを設定し、次にセッションに特定の VLAN を設定することにより設定できます。 次に例を示します。
Switch(config)# monitor session session_number source interface interface-id Switch(config)# monitor session session_number filter vlan vlan-id Switch(config)# monitor session session_number filter ip access-group {access-list-number| name}
![]() (注) |
filter vlan および filter ip access-group の両方のコマンドを同時に設定できません。 一方を設定すると、他方が拒否されます。 |
switchで拡張 IP サービス フィーチャ セットを稼働中に IPv6 FSPAN ACL を設定し、のちに異なるフィーチャ セットを稼働した場合、switchのリブート後、switchでの IPv6 FSPAN ACL 設定が失われる可能性があります。
IPv6 FSPAN ACL は、IPv6 対応の SDM テンプレートでだけサポートされています。 IPv6 対応の SDM テンプレートを稼働中に IPv6 FSPAN ACL を設定し、のちに非 IPv6 SDM テンプレートを設定してswitchをリブートすると、IPv6 FSPAN ACL 設定が失われます。
ポートまたは VLAN を通過するネットワーク トラフィックを解析するには、SPAN または RSPAN を使用して、そのswitch上、またはネットワーク アナライザやその他のモニタ デバイス、あるいはセキュリティ デバイスに接続されている別のswitch上のポートにトラフィックのコピーを送信します。 SPAN は送信元ポート上または送信元 VLAN 上で受信、送信、または送受信されたトラフィックを宛先ポートにコピー(ミラーリング)して、解析します。 SPAN は送信元ポートまたは VLAN 上のネットワーク トラフィックのスイッチングには影響しません。 宛先ポートは SPAN 専用にする必要があります。 SPAN または RSPAN セッションに必要なトラフィック以外、宛先ポートがトラフィックを受信したり転送したりすることはありません。
SPAN を使用してモニタできるのは、送信元ポートを出入りするトラフィックまたは送信元 VLAN に出入りするトラフィックだけです。送信元 VLAN にルーティングされたトラフィックはモニタできません。 たとえば、着信トラフィックをモニタしている場合、別の VLAN から送信元 VLAN にルーティングされているトラフィックはモニタできません。ただし、送信元 VLAN で受信し、別の VLAN にルーティングされるトラフィックは、モニタできます。
ネットワーク セキュリティ デバイスからトラフィックを注入する場合、SPAN または RSPAN 宛先ポートを使用できます。 たとえば、Cisco 侵入検知システム(IDS)センサー装置を宛先ポートに接続した場合、IDS デバイスは TCP リセット パケットを送信して、疑わしい攻撃者の TCP セッションを停止させることができます。
ローカル SPAN は 1 つのswitch内の SPAN セッション全体をサポートします。すべての送信元ポートまたは送信元 VLAN、および宛先ポートは、同じswitchまたはswitch スタック内にあります。 ローカル SPAN は、任意の VLAN 上の 1 つまたは複数の送信元ポートからのトラフィック、あるいは 1 つまたは複数の VLAN からのトラフィックを解析するために宛先ポートへコピーします。
これは、switch スタック内のローカル SPAN の例です。送信元ポートと宛先ポートは異なるスタック メンバにあります。
RSPAN は、異なるswitches(または異なるswitch スタック)上の送信元ポート、送信元 VLAN、および宛先ポートをサポートしているので、ネットワーク上で複数のswitchesをリモート モニタリングできます。
SPAN セッション(ローカルまたはリモート)を使用すると、1 つまたは複数のポート上、あるいは 1 つまたは複数の VLAN 上でトラフィックをモニタし、そのモニタしたトラフィックを 1 つまたは複数の宛先ポートに送信できます。
ローカル SPAN セッションは、宛先ポートと送信元ポートまたは送信元 VLAN(すべて単一のネットワーク デバイス上にある)を結び付けたものです。 ローカル SPAN には、個別の送信元および宛先のセッションはありません。 ローカル SPAN セッションはユーザが指定した入力および出力のパケット セットを収集し、SPAN データ ストリームを形成して、宛先ポートに転送します。
RSPAN は少なくとも 1 つの RSPAN 送信元セッション、1 つの RSPAN VLAN、および少なくとも 1 つの RSPAN 宛先セッションで構成されています。 RSPAN 送信元セッションと RSPAN 宛先セッションは、異なるネットワーク デバイス上に別々に設定します。 デバイスに RSPAN 送信元セッションを設定するには、一連の送信元ポートまたは送信元 VLAN を RSPAN VLAN に関連付けます。 このセッションの出力は、RSPAN VLAN に送信される SPAN パケットのストリームです。 別のデバイスに RSPAN 宛先セッションを設定するには、宛先ポートを RSPAN VLAN に関連付けます。 宛先セッションは RSPAN VLAN トラフィックをすべて収集し、RSPAN 宛先ポートに送信します。
RSPAN 送信元セッションは、パケット ストリームが転送される点を除き、ローカル SPAN セッションに非常に似ています。 RSPAN 送信元セッションでは、SPAN パケットに RSPAN VLAN ID ラベルが再設定され、通常のトランク ポートを介して宛先switchに転送されます。
RSPAN 宛先セッションは RSPAN VLAN 上で受信されたすべてのパケットを取得し、VLAN のタギングを除去し、宛先ポートに送ります。 セッションは、(レイヤ 2 制御パケットを除く)すべての RSPAN VLAN パケットのコピーを分析のためにユーザに提供します。
複数のソースおよび宛先ポートを持つ単一 RSPAN セッションを同じセッションに使用できますが、ソースが同じリモート VLAN であるソース セッションの複数使用は許可されていません。
SPAN セッションでのトラフィックのモニタには、次のような制約があります。
ポートまたは VLAN を送信元にできますが、同じセッション内に送信元ポートと送信元 VLAN を混在させることはできません。
1 つの SPAN セッションに複数の宛先ポートを設定できますが、1 つのswitch スタックあたりに設定できる宛先ポートは最大で 64 個です。
SPAN セッションがswitchの通常の動作を妨げることはありません。 ただし、10 Mbps のポートで 100 Mbps のポートをモニタするなど、オーバーサブスクライブの SPAN 宛先は、パケットのドロップまたは消失を招くことがあります。
SPAN または RSPAN がイネーブルの場合、監視中の各パケットは 2 回送信されます(1 回は標準トラフィックとして、もう 1 回は監視されたパケットとして)。 したがって、多数のポートまたは VLAN をモニタすると、大量のネットワーク トラフィックが生成されることがあります。
ディセーブルのポート上に SPAN セッションを設定することはできますが、そのセッション用に宛先ポートと少なくとも 1 つの送信元ポートまたは VLAN をイネーブルにしない限り、SPAN セッションはアクティブになりません。
SPAN セッションは、次のトラフィック タイプをモニタできます。
受信(Rx)SPAN:受信(または入力)SPAN は、switchが変更または処理を行う前に、送信元インターフェイスまたは VLAN が受信したすべてのパケットをできるだけ多くモニタリングします。 送信元が受信した各パケットのコピーがその SPAN セッションに対応する宛先ポートに送られます。
Diffserv コード ポイント(DSCP)の変更など、ルーティングや Quality of Service(QoS)が原因で変更されたパケットは、変更される前にコピーされます。
受信処理中にパケットをドロップする可能性のある機能は、入力 SPAN には影響を与えません。宛先ポートは、実際の着信パケットがドロップされた場合でも、パケットのコピーを受信します。 パケットをドロップする可能性のある機能は、標準および拡張 IP 入力アクセス コントロール リスト(ACL)、入力 QoS ポリシング、VLAN ACL、および出力 QoS ポリシングです。
送信(Tx)SPAN:送信(または出力)SPAN は、switchによる変更または処理がすべて実行されたあとに、送信元インターフェイスから送信されたすべてのパケットをできる限り多くモニタリングします。 送信元が送信した各パケットのコピーがその SPAN セッションに対応する宛先ポートに送られます。 コピーはパケットの変更後に用意されます。
ルーティングが原因で変更されたパケット(存続可能時間(TTL)、MAC アドレス、QoS 値の変更など)は、宛先ポートで(変更されて)コピーされます。
送信処理中にパケットをドロップする可能性のある機能は、SPAN 用の複製コピーにも影響します。 これらの機能には、標準および拡張 IP 出力 ACL、出力 QoS ポリシングがあります。
両方:SPAN セッションで、受信パケットと送信パケットの両方について、ポートまたは VLAN をモニタすることもできます。 これはデフォルトです。
ローカル SPAN セッション ポートのデフォルト設定では、すべてのタグなしパケットが送信されます。 通常、SPAN は Cisco Discovery Protocol(CDP)、VLAN トランキング プロトコル(VTP)、Dynamic Trunking Protocol(DTP)、スパニングツリー プロトコル(STP)、ポート集約プロトコル(PAgP)などのブリッジ プロトコル データ ユニット(BPDU)パケットおよびレイヤ 2 プロトコルをモニタしません。 ただし、宛先ポートを設定するときに encapsulation replicate キーワードを入力すると、次の変更が発生します。
したがって、カプセル化レプリケーションがイネーブルにされたローカル SPAN セッションでは、タグなし、および IEEE 802.1Q タグ付きパケットが宛先ポートに混在することがあります。
Switchの輻輳により、入力送信元ポート、出力送信元ポート、または SPAN 宛先ポートでパケットがドロップされることがあります。 一般に、これらの特性は互いに無関係です。 次に例を示します。
SPAN の設定によっては、同一送信元のパケットのコピーが複数、SPAN 宛先ポートに送信されます。 たとえば、ポート A での RX モニタ、ポート B での TX モニタ用に、双方向(RX と TX)SPAN セッションが設定されているとします。 パケットがポート A からswitchに入ってポート B にスイッチされると、着信パケットも発信パケットも宛先ポートに送信されます。 このため、両方のパケットは同じものになります。レイヤ 3 書き換えが行われた場合には、パケット変更のため異なるパケットになります。
送信元ポート(別名監視対象ポート)は、ネットワーク トラフィック分析のために監視するスイッチド ポートまたはルーテッド ポートです。 1 つのローカル SPAN セッションまたは RSPAN 送信元セッションでは、送信元ポートまたは VLAN のトラフィックを単一方向または双方向でモニタできます。 switchは、任意の数の送信元ポート(switchで利用可能なポートの最大数まで)と任意の数の送信元 VLAN(サポートされている VLAN の最大数まで)をサポートしています。 ただし、switchが送信元ポートまたは VLAN でサポートするセッション数には上限(2 つ)(ローカルまたは RSPAN)があります。 単一のセッションにポートおよび VLAN を混在させることはできません。
VLAN ベースの SPAN(VSPAN)では、1 つまたは複数の VLAN のネットワーク トラフィックをモニタできます。 VSPAN 内の SPAN または RSPAN 送信元インターフェイスが VLAN ID となり、トラフィックはその VLAN のすべてのポートでモニタされます。
トランク ポートを送信元ポートとしてモニタする場合、デフォルトでは、トランク上でアクティブなすべての VLAN がモニタされます。 VLAN フィルタリングを使用して、トランク送信元ポートでの SPAN トラフィックのモニタ対象を特定の VLAN に制限できます。
各ローカル SPAN セッションまたは RSPAN 宛先セッションには、送信元ポートおよび VLAN からのトラフィックのコピーを受信し、SPAN パケットをユーザ(通常はネットワーク アナライザ)に送信する宛先ポート(別名モニタ側ポート)が必要です。
ローカル SPAN セッションの場合、宛先ポートは送信元ポートと同じswitchまたはswitch スタックに存在している必要があります。 RSPAN セッションの場合は、RSPAN 宛先セッションを含むswitch上にあります。 RSPAN 送信元セッションのみを実行するswitchまたはswitch スタックには、宛先ポートはありません。
ポートを SPAN 宛先ポートとして設定すると、元のポート設定が上書きされます。 SPAN 宛先設定を削除すると、ポートは以前の設定に戻ります。 ポートが SPAN 宛先ポートとして機能している間にポートの設定が変更されると、SPAN 宛先設定が削除されるまで、変更は有効になりません。
![]() (注) |
SPAN の宛先ポートに QoS が設定されている場合、QoS はただちに有効になります。 |
ポートが EtherChannel グループに含まれていた場合、そのポートが宛先ポートとして設定されている間、グループから削除されます。 削除されたポートがルーテッド ポートであった場合、このポートはルーテッド ポートでなくなります。
VLAN にすることはできません。
一度に 1 つの SPAN セッションにしか参加できません(ある SPAN セッションの宛先ポートは、別の SPAN セッションの宛先ポートになることはできません)。
アクティブな場合、着信トラフィックはディセーブルになります。 ポートは SPAN セッションに必要なトラフィック以外は送信しません。 宛先ポートでは着信トラフィックを学習したり、転送したりしません。
入力トラフィック転送がネットワーク セキュリティ デバイスでイネーブルの場合、宛先ポートはレイヤ 2 でトラフィックを転送します。
ローカル SPAN および RSPAN 宛先ポートは、VLAN タギングおよびカプセル化で次のように動作が異なります。
ローカル SPAN では、宛先ポートに encapsulation replicate キーワードが指定されている場合、各パケットに元のカプセル化が使用されます(タグなし、ISL、または IEEE 802.1Q)。 これらのキーワードが指定されていない場合、パケットはタグなしフォーマットになります。 したがって、encapsulation replicate がイネーブルになっているローカル SPAN セッションの出力に、タグなし、ISL、または IEEE 802.1Q タグ付きパケットが混在することがあります。
RSPAN の場合は、元の VLAN ID は RSPAN VLAN ID で上書きされるため失われます。 したがって、宛先ポート上のすべてのパケットはタグなしになります。
RSPAN VLAN は、RSPAN の送信元セッションと宛先セッション間で SPAN トラフィックを伝送します。 RSPAN VLAN には、次の特性があります。
VLAN トランキング プロトコル(VTP)に対して可視である VLAN 1 ~ 1005 の場合、VLAN ID および対応する RSPAN 特性は VTP によって伝播されます。 拡張 VLAN 範囲(1006 ~ 4094)内の RSPAN VLAN ID を割り当てる場合は、すべての中間switchesを手動で設定する必要があります。
通常は、ネットワークに複数の RSPAN VLAN を配置し、それぞれの RSPAN VLAN でネットワーク全体の RSPAN セッションを定義します。 つまり、ネットワーク内の任意の場所にある複数の RSPAN 送信元セッションで、パケットを RSPAN セッションに送信できます。 また、ネットワーク全体に対して複数の RSPAN 宛先セッションを設定し、同じ RSPAN VLAN をモニタしたり、ユーザにトラフィックを送信したりできます。 セッションは RSPAN VLAN ID によって区別されます。
ルーティング:SPAN はルーテッド トラフィックを監視しません。 VSPAN が監視するのはswitchに出入りするトラフィックに限られ、VLAN 間でルーティングされるトラフィックは監視しません。 たとえば、VLAN が受信モニタされ、switchが別の VLAN から監視対象 VLAN にトラフィックをルーティングする場合、そのトラフィックは監視されず、SPAN 宛先ポートで受信されません。
STP:SPAN または RSPAN セッションがアクティブな間、宛先ポートは STP に参加しません。 SPAN または RSPAN セッションがディセーブルになると、宛先ポートは STP に参加できます。 送信元ポートでは、SPAN は STP ステータスに影響を与えません。 STP は RSPAN VLAN を伝送するトランク ポート上でアクティブにできます。
CDP:SPAN セッションがアクティブな間、SPAN 宛先ポートは CDP に参加しません。 SPAN セッションがディセーブルになると、ポートは再び CDP に参加します。
VLAN およびトランキング:送信元ポート、または宛先ポートの VLAN メンバーシップまたはトランクの設定値を、いつでも変更できます。 ただし、宛先ポートの VLAN メンバーシップまたはトランクの設定値に対する変更が有効になるのは、SPAN 宛先設定を削除してからです。 送信元ポートの VLAN メンバーシップまたはトランクの設定値に対する変更は、ただちに有効になり、対応する SPAN セッションが変更に応じて自動的に調整されます。
EtherChannel:EtherChannelグループを送信元ポートとして設定することはできますが、SPAN 宛先ポートとして設定することはできません。 グループが SPAN 送信元として設定されている場合、グループ全体がモニタされます。
モニタ対象の EtherChannel グループに物理ポートを追加すると、SPAN 送信元ポート リストに新しいポートが追加されます。 モニタ対象の EtherChannel グループからポートを削除すると、送信元ポート リストからそのポートが自動的に削除されます。
EtherChannel グループに所属する物理ポートを SPAN 送信元ポートとして設定し、引き続き EtherChannel の一部とすることができます。 この場合、この物理ポートは EtherChannel に参加しているため、そのポートからのデータはモニタされます。 ただし、EtherChannel グループに含まれる物理ポートを SPAN 宛先として設定した場合、その物理ポートはグループから削除されます。 SPAN セッションからそのポートが削除されると、EtherChannel グループに再加入します。 EtherChannel グループから削除されたポートは、グループ メンバのままですが、inactive または suspended ステートになります。
EtherChannel グループに含まれる物理ポートが宛先ポートであり、その EtherChannel グループが送信元の場合、ポートは EtherChannel グループおよびモニタ対象ポート リストから削除されます。
マルチキャスト トラフィックをモニタできます。 出力ポートおよび入力ポートのモニタでは、未編集のパケットが 1 つだけ SPAN 宛先ポートに送信されます。 マルチキャスト パケットの送信回数は反映されません。
セキュア ポートを SPAN 宛先ポートにすることはできません。
SPAN セッションでは、入力転送が宛先ポートでイネーブルの場合、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。 RSPAN 送信元セッションでは、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。
IEEE 802.1x ポートは SPAN 送信元ポートにできます。 SPAN 宛先ポート上で IEEE 802.1x をイネーブルにできますが、SPAN 宛先としてこのポートを削除するまで、IEEE 802.1x はディセーブルに設定されます。
SPAN セッションでは、入力転送が宛先ポートでイネーブルの場合、出力をモニタしているポートで IEEE 802.1x をイネーブルにしないでください。 RSPAN 送信元セッションでは、出力をモニタしているポートで IEEE 802.1x をイネーブルにしないでください。
switchesのスタックは 1 つの論理switchを表すため、ローカル SPAN の送信元ポートおよび宛先ポートは、スタック内の異なるswitchesである場合があります。 したがって、スタック内でのswitchesの追加または削除は、RSPAN の送信元セッションまたは宛先セッションだけではなく、ローカル SPAN セッションにも影響を及ぼします。 switchがスタックから削除されると、アクティブ セッションが非アクティブになります。また、switchがスタックに追加されると、非アクティブ セッションがアクティブになります。
送信元ポートで監視されるトラフィックにアクセス コントロール リスト(ACL)を適用するフローベース SPAN(FSPAN)またはフローベース RSPAN(FRSPAN)を使用して、SPAN または RSPAN で監視するネットワーク トラフィックのタイプを制御できます。 FSPAN ACL は、IPv4、IPv6、および監視される非 IP トラフィックをフィルタリングするように設定できます。
インターフェイスを通して ACL を SPAN セッションに適用します。 ACL は SPAN セッション内のすべてのインターフェイスで監視されるすべてのトラフィックに適用されます。この ACL によって許可されるパケットは、SPAN 宛先ポートにコピーされます。 ほかのパケットは SPAN 宛先ポートにコピーされません。
元のトラフィックは継続して転送され、接続している任意のポート、VLAN、およびルータ ACL が適用されます。 FSPAN ACL は転送の決定に影響を与えることはありません。 同様に、ポート、VLAN、およびルータ ACL は、トラフィックのモニタリングに影響を与えません。 セキュリティ入力 ACL がパケットを拒否したために転送されない場合でも、FSPAN ACL が許可すると、パケットは SPAN 宛先ポートにコピーされます。 しかし、セキュリティ出力 ACL がパケットを拒否したために転送されない場合、パケットは SPAN 宛先ポートにコピーされません。 ただし、セキュリティ出力 ACL がパケットの送信を許可した場合だけ、パケットは、FSPAN ACL が許可した場合 SPAN 宛先ポートにコピーされます。 これは RSPAN セッションについてもあてはまります。
SPAN セッションには、次の 3 つのタイプの FSPAN ACL を接続できます。
セキュリティ ACL は、switch上の FSPAN ACL よりも高いプライオリティをもっています。 FSPAN ACL が適用され、その後ハードウェア メモリに収まらないセキュリティ ACL を追加する場合、適用された FSPAN ACL は、セキュリティ ACL のスペースを確保するためにメモリから削除されます。 この処理(アンローディングと呼ばれる)は、システム メッセージにより通知されます。 メモリ内に常駐するスペースが確保できたら、switch上のハードウェア メモリに FSPAN ACL が追加されます。 この処理(リローディングと呼ばれる)は、システム メッセージにより通知されます。 IPv4、IPv6、および MAC FSPAN ACL は、別個にアンロードまたはリロードできます。
スタックに設定された VLAN ベースの FSPAN セッションが 1 つまたは複数のswitches上のハードウェア メモリに収まらない場合、セッションはこれらのswitches上でアンロードされたものとして処理され、switchでの FSPAN ACL およびソーシングのためのトラフィックは、SPAN 宛先ポートにコピーされません。 FSPAN ACL は継続して正しく適用され、トラフィックは FSPAN ACL がハードウェア メモリに収まるswitchesの SPAN 宛先ポートにコピーされます。
空の FSPAN ACL が接続されると、一部のハードウェア機能により、その ACL の SPAN 宛先ポートにすべてのトラフィックがコピーされます。 十分なハードウェア リソースが使用できない場合、空の FSPAN ACL もアンロードされる可能性があります。
IPv4 および MAC FSPAN ACL は、すべてのフィーチャ セットでサポートされています。 IPv6 FSPAN ACL は、拡張 IP Services フィーチャ セットでだけサポートされています。
SPAN セッションから送信元ポート、宛先ポート、または VLAN を削除する場合は、 no monitor session session_number source { interface interface-id | vlan vlan-id} グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。 宛先インターフェイスの場合、このコマンドの no 形式では、 encapsulation オプションは無視されます。
トランク ポート上のすべての VLAN をモニタするには、 no monitor session session_number filter グローバル コンフィギュレーション コマンドを使用します。
SPAN セッションを作成し、送信元(モニタ対象)ポートまたは VLAN、および宛先(モニタ側)ポートを指定するには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4. monitor session session_number source { interface interface-id | vlan vlan-id} [ , | -] [ both | rx | tx]
5.
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate]}
8. copy running-config startup-config
SPAN セッションを作成し、さらに送信元ポートまたは VLAN および宛先ポートを指定した後、宛先ポートでネットワーク セキュリティ デバイス(Cisco IDS センサー装置等)用に着信トラフィックをイネーブルにするには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx]
5.
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate
] [
ingress {
dot1q vlan
vlan-id
|
isl
|
untagged vlan
vlan-id
|
vlan
vlan-id}]}
8. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session all |
|
ステップ 4 |
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 2 source gigabitethernet1/0/1 rx |
|
ステップ 5 |
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate
] [
ingress {
dot1q vlan
vlan-id
|
isl
|
untagged vlan
vlan-id
|
vlan
vlan-id}]} 例: Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 encapsulation replicate ingress dot1q vlan 6 |
SPAN セッション、宛先ポート、パケットカプセル化、および入力 VLAN とカプセル化を指定します。 |
ステップ 6 |
end 例: Switch(config)# end |
|
ステップ 7 |
show running-config 例: Switch# show running-config |
|
ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source interface
interface-id
5.
monitor session
session_number
filter vlan
vlan-id [
, |
-]
6.
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate
]}
9. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session all |
|
ステップ 4 |
monitor session
session_number
source interface
interface-id 例: Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx |
送信元ポート(モニタ対象ポート)と SPAN セッションの特性を指定します。 |
ステップ 5 |
monitor session
session_number
filter vlan
vlan-id [
, |
-] 例: Switch(config)# monitor session 2 filter vlan 1 - 5 , 9 |
SPAN 送信元トラフィックを特定の VLAN に制限します。 |
ステップ 6 |
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate
]} 例: Switch(config)# monitor session 2 destination interface gigabitethernet1/0/1 |
SPAN セッションおよび宛先ポート(モニタ側ポート)を指定します。 |
ステップ 7 |
end 例: Switch(config)# end |
|
ステップ 8 |
show running-config 例: Switch# show running-config |
|
ステップ 9 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
新しい VLAN を作成し、RSPAN セッション用の RSPAN VLAN になるように設定するには、次の手順を実行します。
1. enable
7. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
vlan
vlan-id 例: Switch(config)# vlan 100 |
VLAN ID を入力して VLAN を作成するか、または既存の VLAN の VLAN ID を入力して、VLAN コンフィギュレーション モードを開始します。 指定できる範囲は 2 ~ 1001 または 1006 ~ 4094 です。 RSPAN VLAN を VLAN 1(デフォルト VLAN)または VLAN ID 1002 ~ 1005(トークンリングおよび FDDI VLAN 専用)にすることはできません。 |
ステップ 4 |
remote-span 例: Switch(config-vlan)# remote-span |
|
ステップ 5 |
end 例: Switch(config-vlan)# end |
|
ステップ 6 |
show running-config 例: Switch# show running-config |
|
ステップ 7 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RSPAN に参加するすべてのswitchesに RSPAN VLAN を作成する必要があります。 RSPAN VLAN ID が標準範囲(1005 未満)であり、VTP がネットワーク内でイネーブルである場合は、1 つのswitchに RSPAN VLAN を作成し、VTP がこの RSPAN VLAN を VTP ドメイン内の他のswitchesに伝播するように設定できます。 拡張範囲 VLAN(1005 を超える ID)の場合、送信元と宛先の両方のswitches、および中間switchesに RSPAN VLAN を設定する必要があります。
VTP プルーニングを使用して、RSPAN トラフィックが効率的に流れるようにするか、または RSPAN トラフィックの伝送が不要なすべてのトランクから、RSPAN VLAN を手動で削除します。
VLAN からリモート SPAN 特性を削除して、標準 VLAN に戻すように変換するには、no remote-span VLAN コンフィギュレーション コマンドを使用します。
SPAN セッションから送信元ポートまたは VLAN を削除するには、no monitor session session_number source {interface interface-id | vlan vlan-id} グローバル コンフィギュレーション コマンドを使用します。 セッションから RSPAN VLAN を削除するには、no monitor session session_number destination remote vlan vlan-id コマンドを使用します。
RSPAN 送信元セッションを作成および開始し、モニタ対象の送信元および宛先 RSPAN VLAN を指定するには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx]
5.
monitor session
session_number
destination
remote vlan
vlan-id
8. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 1 |
|
ステップ 4 |
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 tx |
RSPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。
|
ステップ 5 |
monitor session
session_number
destination
remote vlan
vlan-id 例: Switch(config)# monitor session 1 destination remote vlan 100 |
RSPAN セッション、宛先 RSPAN VLAN、および宛先ポート グループを指定します。 |
ステップ 6 |
end 例: Switch(config)# end |
|
ステップ 7 |
show running-config 例: Switch# show running-config |
|
ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RSPAN 送信元トラフィックを特定の VLAN に制限するように RSPAN 送信元セッションを設定するには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source interface
interface-id
5.
monitor session
session_number
filter vlan
vlan-id [
, |
-]
6.
monitor session
session_number
destination
remote vlan
vlan-id
9. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 2 |
|
ステップ 4 |
monitor session
session_number
source interface
interface-id 例: Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx |
送信元ポート(モニタ対象ポート)と SPAN セッションの特性を指定します。 |
ステップ 5 |
monitor session
session_number
filter vlan
vlan-id [
, |
-] 例: Switch(config)# monitor session 2 filter vlan 1 - 5 , 9 |
SPAN 送信元トラフィックを特定の VLAN に制限します。 |
ステップ 6 |
monitor session
session_number
destination
remote vlan
vlan-id 例: Switch(config)# monitor session 2 destination remote vlan 902 |
RSPAN セッションおよび宛先リモート VLAN(RSPAN VLAN)を指定します。 |
ステップ 7 |
end 例: Switch(config)# end |
|
ステップ 8 |
show running-config 例: Switch# show running-config |
|
ステップ 9 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RSPAN 宛先セッションは、別のswitchまたはswitch スタック(送信元セッションが設定されていないswitchまたはswitch スタック)に設定します。
このswitch上で RSPAN VLAN を定義し、RSPAN 宛先セッションを作成し、送信元 RSPAN VLAN および宛先ポートを指定するには、次の手順を実行します。
1. enable
6.
no monitor session {
session_number |
all |
local |
remote}
7.
monitor session
session_number
source
remote vlan
vlan-id
8.
monitor session
session_number
destination interface
interface-id
11. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
vlan
vlan-id 例: Switch(config)# vlan 901 |
送信元switchで作成された RSPAN VLAN の VLAN ID を指定し、VLAN コンフィギュレーション モードを開始します。 両方のswitchesが VTP に参加し、RSPAN VLAN ID が 2 ~ 1005 である場合は、VTP ネットワークを介して RSPAN VLAN ID が伝播されるため、ステップ 3 ~ 5 は不要です。 |
ステップ 4 |
remote-span 例: Switch(config-vlan)# remote-span |
|
ステップ 5 |
exit 例: Switch(config-vlan)# exit |
|
ステップ 6 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 1 |
|
ステップ 7 |
monitor session
session_number
source
remote vlan
vlan-id 例: Switch(config)# monitor session 1 source remote vlan 901 |
RSPAN セッションと送信元 RSPAN VLAN を指定します。 |
ステップ 8 |
monitor session
session_number
destination interface
interface-id 例: Switch(config)# monitor session 1 destination interface gigabitethernet2/0/1 |
|
ステップ 9 |
end 例: Switch(config)# end |
|
ステップ 10 |
show running-config 例: Switch# show running-config |
|
ステップ 11 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RSPAN 宛先セッションを作成し、送信元 RSPAN VLAN および宛先ポートを指定し、宛先ポートでネットワーク セキュリティ デバイス(Cisco IDS センサー装置等)用に着信トラフィックをイネーブルにするには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source
remote vlan
vlan-id
5. monitor session session_number destination { interface interface-id [ , | -] [ ingress { dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan vlan-id}]}
8. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 2 |
|
ステップ 4 |
monitor session
session_number
source
remote vlan
vlan-id 例: Switch(config)# monitor session 2 source remote vlan 901 |
RSPAN セッションと送信元 RSPAN VLAN を指定します。 |
ステップ 5 |
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
ingress {
dot1q vlan
vlan-id |
isl |
untagged
vlan
vlan-id
|
vlan
vlan-id}]} 例: Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 ingress vlan 6 |
SPAN セッション、宛先ポート、パケット カプセル化、および着信 VLAN とカプセル化を指定します。
|
ステップ 6 |
end 例: Switch(config)# end |
|
ステップ 7 |
show running-config 例: Switch# show running-config |
|
ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
SPAN セッションを作成し、送信元(監視対象)ポートまたは VLAN、および宛先(モニタ側)ポートを指定し、セッションに FSPAN を設定するには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4. monitor session session_number source { interface interface-id | vlan vlan-id} [ , | -] [ both | rx | tx]
5.
monitor session
session_number
destination {
interface interface-id [
, |
-] [
encapsulation replicate]}
6.
monitor session
session_number
filter {
ip |
ipv6 |
mac}
access-group {
access-list-number |
name}
9. copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
||
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|||
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 2 |
|||
ステップ 4 |
monitor session session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 2 source interface gigabitethernet1/0/1 |
SPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。
|
||
ステップ 5 |
monitor session
session_number
destination {
interface interface-id [
, |
-] [
encapsulation replicate]} 例: Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 encapsulation replicate |
SPAN セッションおよび宛先ポート(モニタ側ポート)を指定します。
|
||
ステップ 6 |
monitor session
session_number
filter {
ip |
ipv6 |
mac}
access-group {
access-list-number |
name} 例: Switch(config)# monitor session 2 filter ipv6 access-group 4 |
SPAN セッション、フィルタリングするパケットのタイプ、および FSPAN セッションで使用する ACL を指定します。 |
||
ステップ 7 |
end 例: Switch(config)# end |
|||
ステップ 8 |
show running-config 例: Switch# show running-config |
|||
ステップ 9 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RSPAN 送信元セッションを開始し、監視対象の送信元および宛先 RSPAN VLAN を指定し、セッションに FRSPAN を設定するには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx]
5.
monitor session
session_number
destination
remote vlan
vlan-id
9.
monitor session
session_number
filter {
ip |
ipv6 |
mac}
access-group {
access-list-number |
name}
12. copy running-config startup-config
コマンドまたはアクション | 目的 | |||||
---|---|---|---|---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
||||
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|||||
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 2 |
|||||
ステップ 4 |
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 2 source interface gigabitethernet1/0/1 |
SPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。
|
||||
ステップ 5 |
monitor session
session_number
destination
remote vlan
vlan-id 例: Switch(config)# monitor session 2 destination remote vlan 5 |
|||||
ステップ 6 |
vlan
vlan-id 例: Switch(config)# vlan 10 |
VLAN コンフィギュレーション モードを開始します。 vlan-id には、モニタする送信元 RSPAN VLAN を指定します。 |
||||
ステップ 7 |
remote-span 例: Switch(config-vlan)# remote-span |
|||||
ステップ 8 |
exit 例: Switch(config-vlan)# exit |
|||||
ステップ 9 |
monitor session
session_number
filter {
ip |
ipv6 |
mac}
access-group {
access-list-number |
name} 例: Switch(config)# monitor session 2 filter ip access-group 7 |
RSPAN セッション、フィルタリングするパケットのタイプ、および FRSPAN セッションで使用する ACL を指定します。 |
||||
ステップ 10 |
end 例: Switch(config)# end |
|||||
ステップ 11 |
show running-config 例: Switch# show running-config |
|||||
ステップ 12 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
コマンド | 目的 |
---|---|
次に、SPAN セッション 1 を設定し、宛先ポートへ向けた送信元ポートのトラフィックをモニタする例を示します。 最初に、セッション 1 の既存の SPAN 設定を削除し、カプセル化方式を維持しながら、双方向トラフィックを送信元ポート GigabitEthernet 1 から宛先ポート GigabitEthernet 2 にミラーリングします。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 1 Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 Switch(config)# monitor session 1 destination interface gigabitethernet1/0/2 encapsulation replicate Switch(config)# end
次に、SPAN セッション 1 の SPAN 送信元としてのポート 1 を削除する例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 1 source interface gigabitethernet1/0/1 Switch(config)# end
次に、双方向モニタが設定されていたポート 1 で、受信トラフィックのモニタをディセーブルにする例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 1 source interface gigabitethernet1/0/1 rx
ポート 1 で受信するトラフィックのモニタはディセーブルになりますが、このポートから送信されるトラフィックは引き続きモニタされます。
次に、SPAN セッション 2 内の既存の設定を削除し、VLAN 1 ~ 3 に属するすべてのポートで受信トラフィックをモニタするように SPAN セッション 2 を設定し、モニタされたトラフィックを宛先ポート GigabitEthernet 2 に送信する例を示します。 さらに、この設定は VLAN 10 に属するすべてのポートですべてのトラフィックをモニタするよう変更されます。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 2 Switch(config)# monitor session 2 source vlan 1 - 3 rx Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 Switch(config)# monitor session 2 source vlan 10 Switch(config)# end
次に、SPAN セッション 2 の既存の設定を削除し、送信元ポート GigabitEthernet 1 上で受信されるトラフィックをモニタするように SPAN セッション 2 を設定し、送信元ポートと同じ出力カプセル化方式を使用してそれを宛先ポート GigabitEthernet 2 に送信し、VLAN 6 をデフォルトの入力 VLAN として IEEE 802.1Q カプセル化を使用する入力転送をイネーブルにする例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 2 Switch(config)# monitor session 2 source gigabitethernet1/0/1 rx Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 encapsulation replicate ingress dot1q vlan 6 Switch(config)# end
次に、SPAN セッション 2 の既存の設定を削除し、トランク ポート GigabitEthernet 2 で受信されたトラフィックをモニタするように SPAN セッション 2 を設定し、VLAN 1 ~ 5 および 9 に対してのみトラフィックを宛先ポート GigabitEthernet 1 に送信する例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 2 Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx Switch(config)# monitor session 2 filter vlan 1 - 5 , 9 Switch(config)# monitor session 2 destination interface gigabitethernet1/0/1 Switch(config)# end
この例は、RSPAN VLAN 901 の作成方法を示しています。
Switch> enable Switch# configure terminal Switch(config)# vlan 901 Switch(config-vlan)# remote span Switch(config-vlan)# end
次に、セッション 1 に対応する既存の RSPAN 設定を削除し、複数の送信元インターフェイスをモニタするように RSPAN セッション 1 を設定し、さらに宛先を RSPAN VLAN 901 に設定する例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 1 Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 tx Switch(config)# monitor session 1 source interface gigabitethernet1/0/2 rx Switch(config)# monitor session 1 source interface port-channel 2 Switch(config)# monitor session 1 destination remote vlan 901 Switch(config)# end
次に、RSPAN セッション 2 の既存の設定を削除し、トランク ポート 2 で受信されるトラフィックをモニタするように RSPAN セッション 2 を設定し、VLAN 1 ~ 5 および 9 に対してのみトラフィックを宛先 RSPAN VLAN 902 に送信する例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 2 Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx Switch(config)# monitor session 2 filter vlan 1 - 5 , 9 Switch(config)# monitor session 2 destination remote vlan 902 Switch(config)# end
次に、送信元リモート VLAN として VLAN 901、宛先インターフェイスとしてポート 1 を設定する例を示します。
Switch> enable Switch# configure terminal Switch(config)# monitor session 1 source remote vlan 901 Switch(config)# monitor session 1 destination interface gigabitethernet2/0/1 Switch(config)# end
次に、RSPAN セッション 2 で送信元リモート VLAN として VLAN 901 を設定し、送信元ポート GigabitEthernet 2 を宛先インターフェイスとして設定し、VLAN 6 をデフォルトの受信 VLAN として着信トラフィックの転送をイネーブルにする例を示します。
Switch> enable Switch# configure terminal Switch(config)# monitor session 2 source remote vlan 901 Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 ingress vlan 6 Switch(config)# end
関連項目 | マニュアル タイトル |
---|---|
system コマンド | Network Management Command Reference, Cisco IOS XE Release 3E |
説明 | Link |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
標準/RFC | タイトル |
---|---|
なし |
- |
MIB | MIB のリンク |
---|---|
本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SECisco IOS XE 3.2SE |
スイッチ ポート アナライザ(SPAN):スニファやアナライザまたは RMON プローブを使用してポートまたは VLAN のswitchのトラフィックを監視できます。 この機能が導入されました。 |
Cisco IOS XE 3.2SECisco IOS XE 3.2SE |
フローベースのスイッチ ポート アナライザ(SPAN):指定されたフィルタを使用してエンド ホスト間の必要なデータのみをキャプチャする手段を提供します。 フィルタは、IPv4、IPv6 または IPv4 と IPv6、あるいは指定された送信元と宛先アドレス間の IP トラフィック(MAC)以外を制限するアクセス リストの観点から定義されます。 この機能が導入されました。 |
Cisco IOS XE 3.2SECisco IOS XE 3.2SE |
EtherChannel での SPAN 宛先ポートのサポート:EtherChannel で SPAN 宛先ポートを設定できるようにします。 この機能が導入されました。 |
Cisco IOS XE 3.2SECisco IOS XE 3.2SE |
スイッチ ポート アナライザ(SPAN) - 分散型出力 SPAN:ラインカードにすでに分散された入力 SPAN とともにラインカードに出力 SPAN 機能を分散させます。 出力 SPAN 機能をラインカードに分散させることで、システムのパフォーマンスが向上します。 この機能が導入されました。 |
目次
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
各switchでは、最大で 8 つの送信元セッションおよび 58 の RSPAN 宛先セッションを設定できます。 送信元セッションは、ローカル SPAN セッションまたは RSPAN 送信元セッションのどちらかになります。
SPAN 送信元の場合は、セッションごとに、単一のポートまたは VLAN、一連のポートまたは VLAN、一定範囲のポートまたは VLAN のトラフィックをモニタできます。 1 つの SPAN セッションに、送信元ポートおよび送信元 VLAN を混在させることはできません。
switch ポートを SPAN 宛先ポートとして設定すると、通常のswitch ポートではなくなります。SPAN 宛先ポートを通過するのは、監視対象トラフィックのみになります。
SPAN コンフィギュレーション コマンドを入力しても、前に設定した SPAN パラメータは削除されません。 設定されている SPAN パラメータを削除するには、 no monitor session { session_number | all | local | remote} グローバル コンフィギュレーション コマンドを入力する必要があります。
ローカル SPAN では、 encapsulation replicate キーワードが指定されている場合、SPAN 宛先ポートを経由する発信パケットは元のカプセル化ヘッダー(タグなしまたは IEEE 802.1Q)を伝送します。 このキーワードが指定されていない場合、パケットはネイティブ形式で送信されます。
ディセーブルのポートを送信元ポートまたは宛先ポートとして設定することはできますが、SPAN 機能が開始されるのは、宛先ポートと少なくとも 1 つの送信元ポートまたは送信元 VLAN がイネーブルになってからです。
スタックは、LAN Base イメージを実行しているスイッチのみでサポートされています。
SPAN セッションのトラフィック モニタリングには次の制約事項があります。
ポートまたは VLAN を送信元にできますが、同じセッション内に送信元ポートと送信元 VLAN を混在させることはできません。
1 つの SPAN セッションに複数の宛先ポートを設定できますが、1 つの switch スタックあたりに設定できる宛先ポートは最大で 66 個です。
SPAN セッションがswitchの通常の動作を妨げることはありません。 ただし、10 Mbps のポートで 100 Mbps のポートをモニタするなど、オーバーサブスクライブの SPAN 宛先は、パケットのドロップまたは消失を招くことがあります。
SPAN または RSPAN がイネーブルの場合、監視中の各パケットは 2 回送信されます(1 回は標準トラフィックとして、もう 1 回は監視されたパケットとして)。 多数のポートまたは VLAN をモニタすると、大量のネットワーク トラフィックが生成されることがあります。
ディセーブルのポート上に SPAN セッションを設定することはできますが、そのセッション用に宛先ポートと少なくとも 1 つの送信元ポートまたは VLAN をイネーブルにしない限り、SPAN セッションはアクティブになりません。
RSPAN VLAN はトランク ポートにのみ設定されており、アクセス ポートには設定されていません。 不要なトラフィックが RSPAN VLAN に発生しないようにするために、参加しているすべてのswitchesで VLAN RSPAN 機能がサポートされていることを確認してください。
送信元トランク ポートにアクティブな RSPAN VLAN が設定されている場合、RSPAN VLAN はポートベース RSPAN セッションの送信元として含まれます。 また、RSPAN VLAN を SPAN セッションの送信元に設定することもできます。 ただし、switchはスパンされたトラフィックをモニタしないため、switchの RSPAN 送信元セッションの宛先として識別された RSPAN VLAN では、パケットの出力スパニングがサポートされません。
VTP および VTP プルーニングをイネーブルにすると、トランク内で RSPAN トラフィックがプルーニングされ、1005 以下の VLAN ID に関して、ネットワークで不必要な RSPAN トラフィックのフラッディングが防止されます。
RSPAN を使用するには、スイッチが LAN Base イメージを実行している必要があります。
複数の SPAN または RSPAN セッションに ACL をアタッチできます。 ただし、ACL のサイズは FSPAN に割り当てられたメモリ TCAM のサイズを超過することはできません。
FSPAN ACL が接続されていない場合、FSPAN はディセーブルで、すべてのトラフィックが SPAN 宛先ポートにコピーされます。
SPAN セッションに空の FSPAN ACL を接続すると、パケットはフィルタリングされず、すべてのトラフィックが監視されます。
FSPAN ACL は、ポート単位 VLAN 単位のセッションに適用できません。 ポート単位 VLAN 単位のセッションは、最初にポートベースのセッションを設定し、次にセッションに特定の VLAN を設定することにより設定できます。 次に例を示します。
Switch(config)# monitor session session_number source interface interface-id Switch(config)# monitor session session_number filter vlan vlan-id Switch(config)# monitor session session_number filter ip access-group {access-list-number| name}
![]() (注) |
filter vlan および filter ip access-group の両方のコマンドを同時に設定できません。 一方を設定すると、他方が拒否されます。 |
switchで拡張 IP サービス フィーチャ セットを稼働中に IPv6 FSPAN ACL を設定し、のちに異なるフィーチャ セットを稼働した場合、switchのリブート後、switchでの IPv6 FSPAN ACL 設定が失われる可能性があります。
IPv6 FSPAN ACL は、IPv6 対応の SDM テンプレートでだけサポートされています。 IPv6 対応の SDM テンプレートを稼働中に IPv6 FSPAN ACL を設定し、のちに非 IPv6 SDM テンプレートを設定してswitchをリブートすると、IPv6 FSPAN ACL 設定が失われます。
ポートまたは VLAN を通過するネットワーク トラフィックを解析するには、SPAN または RSPAN を使用して、そのswitch上、またはネットワーク アナライザやその他のモニタ デバイス、あるいはセキュリティ デバイスに接続されている別のswitch上のポートにトラフィックのコピーを送信します。 SPAN は送信元ポート上または送信元 VLAN 上で受信、送信、または送受信されたトラフィックを宛先ポートにコピー(ミラーリング)して、解析します。 SPAN は送信元ポートまたは VLAN 上のネットワーク トラフィックのスイッチングには影響しません。 宛先ポートは SPAN 専用にする必要があります。 SPAN または RSPAN セッションに必要なトラフィック以外、宛先ポートがトラフィックを受信したり転送したりすることはありません。
SPAN を使用してモニタできるのは、送信元ポートを出入りするトラフィックまたは送信元 VLAN に出入りするトラフィックだけです。送信元 VLAN にルーティングされたトラフィックはモニタできません。 たとえば、着信トラフィックをモニタしている場合、別の VLAN から送信元 VLAN にルーティングされているトラフィックはモニタできません。ただし、送信元 VLAN で受信し、別の VLAN にルーティングされるトラフィックは、モニタできます。
ネットワーク セキュリティ デバイスからトラフィックを注入する場合、SPAN または RSPAN 宛先ポートを使用できます。 たとえば、Cisco 侵入検知システム(IDS)センサー装置を宛先ポートに接続した場合、IDS デバイスは TCP リセット パケットを送信して、疑わしい攻撃者の TCP セッションを停止させることができます。
ローカル SPAN は 1 つのswitch内の SPAN セッション全体をサポートします。すべての送信元ポートまたは送信元 VLAN、および宛先ポートは、同じswitchまたはswitch スタック内にあります。 ローカル SPAN は、任意の VLAN 上の 1 つまたは複数の送信元ポートからのトラフィック、あるいは 1 つまたは複数の VLAN からのトラフィックを解析するために宛先ポートへコピーします。
RSPAN は、異なるswitches(または異なるswitch スタック)上の送信元ポート、送信元 VLAN、および宛先ポートをサポートしているので、ネットワーク上で複数のswitchesをリモート モニタリングできます。
SPAN セッション(ローカルまたはリモート)を使用すると、1 つまたは複数のポート上、あるいは 1 つまたは複数の VLAN 上でトラフィックをモニタし、そのモニタしたトラフィックを 1 つまたは複数の宛先ポートに送信できます。
ローカル SPAN セッションは、宛先ポートと送信元ポートまたは送信元 VLAN(すべて単一のネットワーク デバイス上にある)を結び付けたものです。 ローカル SPAN には、個別の送信元および宛先のセッションはありません。 ローカル SPAN セッションはユーザが指定した入力および出力のパケット セットを収集し、SPAN データ ストリームを形成して、宛先ポートに転送します。
RSPAN は少なくとも 1 つの RSPAN 送信元セッション、1 つの RSPAN VLAN、および少なくとも 1 つの RSPAN 宛先セッションで構成されています。 RSPAN 送信元セッションと RSPAN 宛先セッションは、異なるネットワーク デバイス上に別々に設定します。 デバイスに RSPAN 送信元セッションを設定するには、一連の送信元ポートまたは送信元 VLAN を RSPAN VLAN に関連付けます。 このセッションの出力は、RSPAN VLAN に送信される SPAN パケットのストリームです。 別のデバイスに RSPAN 宛先セッションを設定するには、宛先ポートを RSPAN VLAN に関連付けます。 宛先セッションは RSPAN VLAN トラフィックをすべて収集し、RSPAN 宛先ポートに送信します。
RSPAN 送信元セッションは、パケット ストリームが転送される点を除き、ローカル SPAN セッションに非常に似ています。 RSPAN 送信元セッションでは、SPAN パケットに RSPAN VLAN ID ラベルが再設定され、通常のトランク ポートを介して宛先switchに転送されます。
RSPAN 宛先セッションは RSPAN VLAN 上で受信されたすべてのパケットを取得し、VLAN のタギングを除去し、宛先ポートに送ります。 セッションは、(レイヤ 2 制御パケットを除く)すべての RSPAN VLAN パケットのコピーを分析のためにユーザに提供します。
複数のソースおよび宛先ポートを持つ単一 RSPAN セッションを同じセッションに使用できますが、ソースが同じリモート VLAN であるソース セッションの複数使用は許可されていません。
SPAN セッションでのトラフィックのモニタには、次のような制約があります。
ポートまたは VLAN を送信元にできますが、同じセッション内に送信元ポートと送信元 VLAN を混在させることはできません。
1 つの SPAN セッションに複数の宛先ポートを設定できますが、1 つのswitch スタックあたりに設定できる宛先ポートは最大で 64 個です。
SPAN セッションがswitchの通常の動作を妨げることはありません。 ただし、10 Mbps のポートで 100 Mbps のポートをモニタするなど、オーバーサブスクライブの SPAN 宛先は、パケットのドロップまたは消失を招くことがあります。
SPAN または RSPAN がイネーブルの場合、監視中の各パケットは 2 回送信されます(1 回は標準トラフィックとして、もう 1 回は監視されたパケットとして)。 したがって、多数のポートまたは VLAN をモニタすると、大量のネットワーク トラフィックが生成されることがあります。
ディセーブルのポート上に SPAN セッションを設定することはできますが、そのセッション用に宛先ポートと少なくとも 1 つの送信元ポートまたは VLAN をイネーブルにしない限り、SPAN セッションはアクティブになりません。
SPAN セッションは、次のトラフィック タイプをモニタできます。
受信(Rx)SPAN:受信(または入力)SPAN は、switchが変更または処理を行う前に、送信元インターフェイスまたは VLAN が受信したすべてのパケットをできるだけ多くモニタリングします。 送信元が受信した各パケットのコピーがその SPAN セッションに対応する宛先ポートに送られます。
Diffserv コード ポイント(DSCP)の変更など、ルーティングや Quality of Service(QoS)が原因で変更されたパケットは、変更される前にコピーされます。
受信処理中にパケットをドロップする可能性のある機能は、入力 SPAN には影響を与えません。宛先ポートは、実際の着信パケットがドロップされた場合でも、パケットのコピーを受信します。 パケットをドロップする可能性のある機能は、標準および拡張 IP 入力アクセス コントロール リスト(ACL)、入力 QoS ポリシング、VLAN ACL、および出力 QoS ポリシングです。
送信(Tx)SPAN:送信(または出力)SPAN は、switchによる変更または処理がすべて実行されたあとに、送信元インターフェイスから送信されたすべてのパケットをできる限り多くモニタリングします。 送信元が送信した各パケットのコピーがその SPAN セッションに対応する宛先ポートに送られます。 コピーはパケットの変更後に用意されます。
ルーティングが原因で変更されたパケット(存続可能時間(TTL)、MAC アドレス、QoS 値の変更など)は、宛先ポートで(変更されて)コピーされます。
送信処理中にパケットをドロップする可能性のある機能は、SPAN 用の複製コピーにも影響します。 これらの機能には、標準および拡張 IP 出力 ACL、出力 QoS ポリシングがあります。
両方:SPAN セッションで、受信パケットと送信パケットの両方について、ポートまたは VLAN をモニタすることもできます。 これはデフォルトです。
ローカル SPAN セッション ポートのデフォルト設定では、すべてのタグなしパケットが送信されます。 通常、SPAN は Cisco Discovery Protocol(CDP)、VLAN トランキング プロトコル(VTP)、Dynamic Trunking Protocol(DTP)、スパニングツリー プロトコル(STP)、ポート集約プロトコル(PAgP)などのブリッジ プロトコル データ ユニット(BPDU)パケットおよびレイヤ 2 プロトコルをモニタしません。 ただし、宛先ポートを設定するときに encapsulation replicate キーワードを入力すると、次の変更が発生します。
したがって、カプセル化レプリケーションがイネーブルにされたローカル SPAN セッションでは、タグなし、および IEEE 802.1Q タグ付きパケットが宛先ポートに混在することがあります。
Switchの輻輳により、入力送信元ポート、出力送信元ポート、または SPAN 宛先ポートでパケットがドロップされることがあります。 一般に、これらの特性は互いに無関係です。 次に例を示します。
SPAN の設定によっては、同一送信元のパケットのコピーが複数、SPAN 宛先ポートに送信されます。 たとえば、ポート A での RX モニタ、ポート B での TX モニタ用に、双方向(RX と TX)SPAN セッションが設定されているとします。 パケットがポート A からswitchに入ってポート B にスイッチされると、着信パケットも発信パケットも宛先ポートに送信されます。 このため、両方のパケットは同じものになります。レイヤ 3 書き換えが行われた場合には、パケット変更のため異なるパケットになります。
送信元ポート(別名監視対象ポート)は、ネットワーク トラフィック分析のために監視するスイッチド ポートまたはルーテッド ポートです。 1 つのローカル SPAN セッションまたは RSPAN 送信元セッションでは、送信元ポートまたは VLAN のトラフィックを単一方向または双方向でモニタできます。 switchは、任意の数の送信元ポート(switchで利用可能なポートの最大数まで)と任意の数の送信元 VLAN(サポートされている VLAN の最大数まで)をサポートしています。 ただし、switchが送信元ポートまたは VLAN でサポートするセッション数には上限(2 つ)(ローカルまたは RSPAN)があります。 単一のセッションにポートおよび VLAN を混在させることはできません。
トランク ポートを送信元ポートとしてモニタする場合、デフォルトでは、トランク上でアクティブなすべての VLAN がモニタされます。 VLAN フィルタリングを使用して、トランク送信元ポートでの SPAN トラフィックのモニタ対象を特定の VLAN に制限できます。
各ローカル SPAN セッションまたは RSPAN 宛先セッションには、送信元ポートおよび VLAN からのトラフィックのコピーを受信し、SPAN パケットをユーザ(通常はネットワーク アナライザ)に送信する宛先ポート(別名モニタ側ポート)が必要です。
ローカル SPAN セッションの場合、宛先ポートは送信元ポートと同じswitchまたはswitch スタックに存在している必要があります。 RSPAN セッションの場合は、RSPAN 宛先セッションを含むswitch上にあります。 RSPAN 送信元セッションのみを実行するswitchまたはswitch スタックには、宛先ポートはありません。
ポートを SPAN 宛先ポートとして設定すると、元のポート設定が上書きされます。 SPAN 宛先設定を削除すると、ポートは以前の設定に戻ります。 ポートが SPAN 宛先ポートとして機能している間にポートの設定が変更されると、SPAN 宛先設定が削除されるまで、変更は有効になりません。
![]() (注) |
SPAN の宛先ポートに QoS が設定されている場合、QoS はただちに有効になります。 |
ポートが EtherChannel グループに含まれていた場合、そのポートが宛先ポートとして設定されている間、グループから削除されます。 削除されたポートがルーテッド ポートであった場合、このポートはルーテッド ポートでなくなります。
VLAN にすることはできません。
一度に 1 つの SPAN セッションにしか参加できません(ある SPAN セッションの宛先ポートは、別の SPAN セッションの宛先ポートになることはできません)。
アクティブな場合、着信トラフィックはディセーブルになります。 ポートは SPAN セッションに必要なトラフィック以外は送信しません。 宛先ポートでは着信トラフィックを学習したり、転送したりしません。
入力トラフィック転送がネットワーク セキュリティ デバイスでイネーブルの場合、宛先ポートはレイヤ 2 でトラフィックを転送します。
ローカル SPAN および RSPAN 宛先ポートは、VLAN タギングおよびカプセル化で次のように動作が異なります。
ローカル SPAN では、宛先ポートに encapsulation replicate キーワードが指定されている場合、各パケットに元のカプセル化が使用されます(タグなし、ISL、または IEEE 802.1Q)。 これらのキーワードが指定されていない場合、パケットはタグなしフォーマットになります。 したがって、encapsulation replicate がイネーブルになっているローカル SPAN セッションの出力に、タグなし、ISL、または IEEE 802.1Q タグ付きパケットが混在することがあります。
RSPAN の場合は、元の VLAN ID は RSPAN VLAN ID で上書きされるため失われます。 したがって、宛先ポート上のすべてのパケットはタグなしになります。
RSPAN VLAN は、RSPAN の送信元セッションと宛先セッション間で SPAN トラフィックを伝送します。 RSPAN VLAN には、次の特性があります。
VLAN トランキング プロトコル(VTP)に対して可視である VLAN 1 ~ 1005 の場合、VLAN ID および対応する RSPAN 特性は VTP によって伝播されます。 拡張 VLAN 範囲(1006 ~ 4094)内の RSPAN VLAN ID を割り当てる場合は、すべての中間switchesを手動で設定する必要があります。
通常は、ネットワークに複数の RSPAN VLAN を配置し、それぞれの RSPAN VLAN でネットワーク全体の RSPAN セッションを定義します。 つまり、ネットワーク内の任意の場所にある複数の RSPAN 送信元セッションで、パケットを RSPAN セッションに送信できます。 また、ネットワーク全体に対して複数の RSPAN 宛先セッションを設定し、同じ RSPAN VLAN をモニタしたり、ユーザにトラフィックを送信したりできます。 セッションは RSPAN VLAN ID によって区別されます。
ルーティング:SPAN はルーテッド トラフィックを監視しません。 VSPAN が監視するのはswitchに出入りするトラフィックに限られ、VLAN 間でルーティングされるトラフィックは監視しません。 たとえば、VLAN が受信モニタされ、switchが別の VLAN から監視対象 VLAN にトラフィックをルーティングする場合、そのトラフィックは監視されず、SPAN 宛先ポートで受信されません。
STP:SPAN または RSPAN セッションがアクティブな間、宛先ポートは STP に参加しません。 SPAN または RSPAN セッションがディセーブルになると、宛先ポートは STP に参加できます。 送信元ポートでは、SPAN は STP ステータスに影響を与えません。 STP は RSPAN VLAN を伝送するトランク ポート上でアクティブにできます。
CDP:SPAN セッションがアクティブな間、SPAN 宛先ポートは CDP に参加しません。 SPAN セッションがディセーブルになると、ポートは再び CDP に参加します。
VLAN およびトランキング:送信元ポート、または宛先ポートの VLAN メンバーシップまたはトランクの設定値を、いつでも変更できます。 ただし、宛先ポートの VLAN メンバーシップまたはトランクの設定値に対する変更が有効になるのは、SPAN 宛先設定を削除してからです。 送信元ポートの VLAN メンバーシップまたはトランクの設定値に対する変更は、ただちに有効になり、対応する SPAN セッションが変更に応じて自動的に調整されます。
EtherChannel:EtherChannelグループを送信元ポートとして設定することはできますが、SPAN 宛先ポートとして設定することはできません。 グループが SPAN 送信元として設定されている場合、グループ全体がモニタされます。
モニタ対象の EtherChannel グループに物理ポートを追加すると、SPAN 送信元ポート リストに新しいポートが追加されます。 モニタ対象の EtherChannel グループからポートを削除すると、送信元ポート リストからそのポートが自動的に削除されます。
EtherChannel グループに所属する物理ポートを SPAN 送信元ポートとして設定し、引き続き EtherChannel の一部とすることができます。 この場合、この物理ポートは EtherChannel に参加しているため、そのポートからのデータはモニタされます。 ただし、EtherChannel グループに含まれる物理ポートを SPAN 宛先として設定した場合、その物理ポートはグループから削除されます。 SPAN セッションからそのポートが削除されると、EtherChannel グループに再加入します。 EtherChannel グループから削除されたポートは、グループ メンバのままですが、inactive または suspended ステートになります。
EtherChannel グループに含まれる物理ポートが宛先ポートであり、その EtherChannel グループが送信元の場合、ポートは EtherChannel グループおよびモニタ対象ポート リストから削除されます。
マルチキャスト トラフィックをモニタできます。 出力ポートおよび入力ポートのモニタでは、未編集のパケットが 1 つだけ SPAN 宛先ポートに送信されます。 マルチキャスト パケットの送信回数は反映されません。
セキュア ポートを SPAN 宛先ポートにすることはできません。
SPAN セッションでは、入力転送が宛先ポートでイネーブルの場合、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。 RSPAN 送信元セッションでは、出力をモニタしているポートでポート セキュリティをイネーブルにしないでください。
IEEE 802.1x ポートは SPAN 送信元ポートにできます。 SPAN 宛先ポート上で IEEE 802.1x をイネーブルにできますが、SPAN 宛先としてこのポートを削除するまで、IEEE 802.1x はディセーブルに設定されます。
SPAN セッションでは、入力転送が宛先ポートでイネーブルの場合、出力をモニタしているポートで IEEE 802.1x をイネーブルにしないでください。 RSPAN 送信元セッションでは、出力をモニタしているポートで IEEE 802.1x をイネーブルにしないでください。
送信元ポートで監視されるトラフィックにアクセス コントロール リスト(ACL)を適用するフローベース SPAN(FSPAN)またはフローベース RSPAN(FRSPAN)を使用して、SPAN または RSPAN で監視するネットワーク トラフィックのタイプを制御できます。 FSPAN ACL は、IPv4、IPv6、および監視される非 IP トラフィックをフィルタリングするように設定できます。
インターフェイスを通して ACL を SPAN セッションに適用します。 ACL は SPAN セッション内のすべてのインターフェイスで監視されるすべてのトラフィックに適用されます。この ACL によって許可されるパケットは、SPAN 宛先ポートにコピーされます。 ほかのパケットは SPAN 宛先ポートにコピーされません。
元のトラフィックは継続して転送され、接続している任意のポート、VLAN、およびルータ ACL が適用されます。 FSPAN ACL は転送の決定に影響を与えることはありません。 同様に、ポート、VLAN、およびルータ ACL は、トラフィックのモニタリングに影響を与えません。 セキュリティ入力 ACL がパケットを拒否したために転送されない場合でも、FSPAN ACL が許可すると、パケットは SPAN 宛先ポートにコピーされます。 しかし、セキュリティ出力 ACL がパケットを拒否したために転送されない場合、パケットは SPAN 宛先ポートにコピーされません。 ただし、セキュリティ出力 ACL がパケットの送信を許可した場合だけ、パケットは、FSPAN ACL が許可した場合 SPAN 宛先ポートにコピーされます。 これは RSPAN セッションについてもあてはまります。
SPAN セッションには、次の 3 つのタイプの FSPAN ACL を接続できます。
セキュリティ ACL は、switch上の FSPAN ACL よりも高いプライオリティをもっています。 FSPAN ACL が適用され、その後ハードウェア メモリに収まらないセキュリティ ACL を追加する場合、適用された FSPAN ACL は、セキュリティ ACL のスペースを確保するためにメモリから削除されます。 この処理(アンローディングと呼ばれる)は、システム メッセージにより通知されます。 メモリ内に常駐するスペースが確保できたら、switch上のハードウェア メモリに FSPAN ACL が追加されます。 この処理(リローディングと呼ばれる)は、システム メッセージにより通知されます。 IPv4、IPv6、および MAC FSPAN ACL は、別個にアンロードまたはリロードできます。
スタックに設定された VLAN ベースの FSPAN セッションが 1 つまたは複数のswitches上のハードウェア メモリに収まらない場合、セッションはこれらのswitches上でアンロードされたものとして処理され、switchでの FSPAN ACL およびソーシングのためのトラフィックは、SPAN 宛先ポートにコピーされません。 FSPAN ACL は継続して正しく適用され、トラフィックは FSPAN ACL がハードウェア メモリに収まるswitchesの SPAN 宛先ポートにコピーされます。
空の FSPAN ACL が接続されると、一部のハードウェア機能により、その ACL の SPAN 宛先ポートにすべてのトラフィックがコピーされます。 十分なハードウェア リソースが使用できない場合、空の FSPAN ACL もアンロードされる可能性があります。
IPv4 および MAC FSPAN ACL は、すべてのフィーチャ セットでサポートされています。 IPv6 FSPAN ACL は、拡張 IP Services フィーチャ セットでだけサポートされています。
SPAN セッションから送信元ポート、宛先ポート、または VLAN を削除する場合は、 no monitor session session_number source { interface interface-id | vlan vlan-id} グローバル コンフィギュレーション コマンドまたは no monitor session session_number destination interface interface-id グローバル コンフィギュレーション コマンドを使用します。 宛先インターフェイスの場合、このコマンドの no 形式では、 encapsulation オプションは無視されます。
トランク ポート上のすべての VLAN をモニタするには、 no monitor session session_number filter グローバル コンフィギュレーション コマンドを使用します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4. monitor session session_number source { interface interface-id | vlan vlan-id} [ , | -] [ both | rx | tx]
5.
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate]}
8. copy running-config startup-config
コマンドまたはアクション | 目的 | |||||
---|---|---|---|---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
||||
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|||||
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session all |
|||||
ステップ 4 |
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 |
SPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。
|
||||
ステップ 5 |
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate]} 例: Switch(config)# monitor session 1 destination interface gigabitethernet1/0/2 encapsulation replicate |
SPAN セッションおよび宛先ポート(モニタ側ポート)を指定します。
(任意) encapsulation replicate は、宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製することを指定します。 選択しない場合のデフォルトは、ネイティブ形式(タグなし)でのパケットの送信です。
|
||||
ステップ 6 |
end 例: Switch(config)# end |
|||||
ステップ 7 |
show running-config 例: Switch# show running-config |
|||||
ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
SPAN セッションを作成し、さらに送信元ポートまたは VLAN および宛先ポートを指定した後、宛先ポートでネットワーク セキュリティ デバイス(Cisco IDS センサー装置等)用に着信トラフィックをイネーブルにするには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx]
5.
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate
] [
ingress {
dot1q vlan
vlan-id
|
isl
|
untagged vlan
vlan-id
|
vlan
vlan-id}]}
8. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session all |
|
ステップ 4 |
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 2 source gigabitethernet1/0/1 rx |
|
ステップ 5 |
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate
] [
ingress {
dot1q vlan
vlan-id
|
isl
|
untagged vlan
vlan-id
|
vlan
vlan-id}]} 例: Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 encapsulation replicate ingress dot1q vlan 6 |
|
ステップ 6 |
end 例: Switch(config)# end |
|
ステップ 7 |
show running-config 例: Switch# show running-config |
|
ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source interface
interface-id
5.
monitor session
session_number
filter vlan
vlan-id [
, |
-]
6.
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate
]}
9. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session all |
|
ステップ 4 |
monitor session
session_number
source interface
interface-id 例: Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx |
|
ステップ 5 |
monitor session
session_number
filter vlan
vlan-id [
, |
-] 例: Switch(config)# monitor session 2 filter vlan 1 - 5 , 9 |
|
ステップ 6 |
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
encapsulation replicate
]} 例: Switch(config)# monitor session 2 destination interface gigabitethernet1/0/1 |
|
ステップ 7 |
end 例: Switch(config)# end |
|
ステップ 8 |
show running-config 例: Switch# show running-config |
|
ステップ 9 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
1. enable
7. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
vlan
vlan-id 例: Switch(config)# vlan 100 |
VLAN ID を入力して VLAN を作成するか、または既存の VLAN の VLAN ID を入力して、VLAN コンフィギュレーション モードを開始します。 指定できる範囲は 2 ~ 1001 または 1006 ~ 4094 です。 RSPAN VLAN を VLAN 1(デフォルト VLAN)または VLAN ID 1002 ~ 1005(トークンリングおよび FDDI VLAN 専用)にすることはできません。 |
ステップ 4 |
remote-span 例: Switch(config-vlan)# remote-span |
|
ステップ 5 |
end 例: Switch(config-vlan)# end |
|
ステップ 6 |
show running-config 例: Switch# show running-config |
|
ステップ 7 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RSPAN に参加するすべてのswitchesに RSPAN VLAN を作成する必要があります。 RSPAN VLAN ID が標準範囲(1005 未満)であり、VTP がネットワーク内でイネーブルである場合は、1 つのswitchに RSPAN VLAN を作成し、VTP がこの RSPAN VLAN を VTP ドメイン内の他のswitchesに伝播するように設定できます。 拡張範囲 VLAN(1005 を超える ID)の場合、送信元と宛先の両方のswitches、および中間switchesに RSPAN VLAN を設定する必要があります。
VTP プルーニングを使用して、RSPAN トラフィックが効率的に流れるようにするか、または RSPAN トラフィックの伝送が不要なすべてのトランクから、RSPAN VLAN を手動で削除します。
VLAN からリモート SPAN 特性を削除して、標準 VLAN に戻すように変換するには、no remote-span VLAN コンフィギュレーション コマンドを使用します。
SPAN セッションから送信元ポートまたは VLAN を削除するには、no monitor session session_number source {interface interface-id | vlan vlan-id} グローバル コンフィギュレーション コマンドを使用します。 セッションから RSPAN VLAN を削除するには、no monitor session session_number destination remote vlan vlan-id コマンドを使用します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx]
5.
monitor session
session_number
destination
remote vlan
vlan-id
8. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 1 |
|
ステップ 4 |
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 tx |
RSPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。
|
ステップ 5 |
monitor session
session_number
destination
remote vlan
vlan-id 例: Switch(config)# monitor session 1 destination remote vlan 100 |
|
ステップ 6 |
end 例: Switch(config)# end |
|
ステップ 7 |
show running-config 例: Switch# show running-config |
|
ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source interface
interface-id
5.
monitor session
session_number
filter vlan
vlan-id [
, |
-]
6.
monitor session
session_number
destination
remote vlan
vlan-id
9. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 2 |
|
ステップ 4 |
monitor session
session_number
source interface
interface-id 例: Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx |
|
ステップ 5 |
monitor session
session_number
filter vlan
vlan-id [
, |
-] 例: Switch(config)# monitor session 2 filter vlan 1 - 5 , 9 |
|
ステップ 6 |
monitor session
session_number
destination
remote vlan
vlan-id 例: Switch(config)# monitor session 2 destination remote vlan 902 |
|
ステップ 7 |
end 例: Switch(config)# end |
|
ステップ 8 |
show running-config 例: Switch# show running-config |
|
ステップ 9 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RSPAN 宛先セッションは、別のswitchまたはswitch スタック(送信元セッションが設定されていないswitchまたはswitch スタック)に設定します。
このswitch上で RSPAN VLAN を定義し、RSPAN 宛先セッションを作成し、送信元 RSPAN VLAN および宛先ポートを指定するには、次の手順を実行します。
1. enable
6.
no monitor session {
session_number |
all |
local |
remote}
7.
monitor session
session_number
source
remote vlan
vlan-id
8.
monitor session
session_number
destination interface
interface-id
11. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
vlan
vlan-id 例: Switch(config)# vlan 901 |
送信元switchで作成された RSPAN VLAN の VLAN ID を指定し、VLAN コンフィギュレーション モードを開始します。 両方のswitchesが VTP に参加し、RSPAN VLAN ID が 2 ~ 1005 である場合は、VTP ネットワークを介して RSPAN VLAN ID が伝播されるため、ステップ 3 ~ 5 は不要です。 |
ステップ 4 |
remote-span 例: Switch(config-vlan)# remote-span |
|
ステップ 5 |
exit 例: Switch(config-vlan)# exit |
|
ステップ 6 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 1 |
|
ステップ 7 |
monitor session
session_number
source
remote vlan
vlan-id 例: Switch(config)# monitor session 1 source remote vlan 901 |
|
ステップ 8 |
monitor session
session_number
destination interface
interface-id 例: Switch(config)# monitor session 1 destination interface gigabitethernet2/0/1 |
|
ステップ 9 |
end 例: Switch(config)# end |
|
ステップ 10 |
show running-config 例: Switch# show running-config |
|
ステップ 11 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RSPAN 宛先セッションを作成し、送信元 RSPAN VLAN および宛先ポートを指定し、宛先ポートでネットワーク セキュリティ デバイス(Cisco IDS センサー装置等)用に着信トラフィックをイネーブルにするには、次の手順を実行します。
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source
remote vlan
vlan-id
5. monitor session session_number destination { interface interface-id [ , | -] [ ingress { dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan vlan-id}]}
8. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 2 |
|
ステップ 4 |
monitor session
session_number
source
remote vlan
vlan-id 例: Switch(config)# monitor session 2 source remote vlan 901 |
|
ステップ 5 |
monitor session
session_number
destination {
interface
interface-id [
, |
-] [
ingress {
dot1q vlan
vlan-id |
isl |
untagged
vlan
vlan-id
|
vlan
vlan-id}]} 例: Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 ingress vlan 6 |
SPAN セッション、宛先ポート、パケット カプセル化、および着信 VLAN とカプセル化を指定します。
|
ステップ 6 |
end 例: Switch(config)# end |
|
ステップ 7 |
show running-config 例: Switch# show running-config |
|
ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4. monitor session session_number source { interface interface-id | vlan vlan-id} [ , | -] [ both | rx | tx]
5.
monitor session
session_number
destination {
interface interface-id [
, |
-] [
encapsulation replicate]}
6.
monitor session
session_number
filter {
ip |
ipv6 |
mac}
access-group {
access-list-number |
name}
9. copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
||
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|||
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 2 |
|||
ステップ 4 |
monitor session session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 2 source interface gigabitethernet1/0/1 |
SPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。
|
||
ステップ 5 |
monitor session
session_number
destination {
interface interface-id [
, |
-] [
encapsulation replicate]} 例: Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 encapsulation replicate |
SPAN セッションおよび宛先ポート(モニタ側ポート)を指定します。
|
||
ステップ 6 |
monitor session
session_number
filter {
ip |
ipv6 |
mac}
access-group {
access-list-number |
name} 例: Switch(config)# monitor session 2 filter ipv6 access-group 4 |
SPAN セッション、フィルタリングするパケットのタイプ、および FSPAN セッションで使用する ACL を指定します。 |
||
ステップ 7 |
end 例: Switch(config)# end |
|||
ステップ 8 |
show running-config 例: Switch# show running-config |
|||
ステップ 9 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
1. enable
3.
no monitor session {
session_number |
all |
local |
remote}
4.
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx]
5.
monitor session
session_number
destination
remote vlan
vlan-id
9.
monitor session
session_number
filter {
ip |
ipv6 |
mac}
access-group {
access-list-number |
name}
12. copy running-config startup-config
コマンドまたはアクション | 目的 | |||||
---|---|---|---|---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
||||
ステップ 2 |
configure terminal 例: Switch# configure terminal |
|||||
ステップ 3 |
no monitor session {
session_number |
all |
local |
remote} 例: Switch(config)# no monitor session 2 |
|||||
ステップ 4 |
monitor session
session_number
source {
interface
interface-id |
vlan
vlan-id} [
, |
-] [
both |
rx |
tx] 例: Switch(config)# monitor session 2 source interface gigabitethernet1/0/1 |
SPAN セッションおよび送信元ポート(モニタ対象ポート)を指定します。
|
||||
ステップ 5 |
monitor session
session_number
destination
remote vlan
vlan-id 例: Switch(config)# monitor session 2 destination remote vlan 5 |
|||||
ステップ 6 |
vlan
vlan-id 例: Switch(config)# vlan 10 |
VLAN コンフィギュレーション モードを開始します。 vlan-id には、モニタする送信元 RSPAN VLAN を指定します。 |
||||
ステップ 7 |
remote-span 例: Switch(config-vlan)# remote-span |
|||||
ステップ 8 |
exit 例: Switch(config-vlan)# exit |
|||||
ステップ 9 |
monitor session
session_number
filter {
ip |
ipv6 |
mac}
access-group {
access-list-number |
name} 例: Switch(config)# monitor session 2 filter ip access-group 7 |
RSPAN セッション、フィルタリングするパケットのタイプ、および FRSPAN セッションで使用する ACL を指定します。 |
||||
ステップ 10 |
end 例: Switch(config)# end |
|||||
ステップ 11 |
show running-config 例: Switch# show running-config |
|||||
ステップ 12 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、SPAN セッション 1 を設定し、宛先ポートへ向けた送信元ポートのトラフィックをモニタする例を示します。 最初に、セッション 1 の既存の SPAN 設定を削除し、カプセル化方式を維持しながら、双方向トラフィックを送信元ポート GigabitEthernet 1 から宛先ポート GigabitEthernet 2 にミラーリングします。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 1 Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 Switch(config)# monitor session 1 destination interface gigabitethernet1/0/2 encapsulation replicate Switch(config)# end
次に、SPAN セッション 1 の SPAN 送信元としてのポート 1 を削除する例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 1 source interface gigabitethernet1/0/1 Switch(config)# end
次に、双方向モニタが設定されていたポート 1 で、受信トラフィックのモニタをディセーブルにする例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 1 source interface gigabitethernet1/0/1 rx
ポート 1 で受信するトラフィックのモニタはディセーブルになりますが、このポートから送信されるトラフィックは引き続きモニタされます。
次に、SPAN セッション 2 内の既存の設定を削除し、VLAN 1 ~ 3 に属するすべてのポートで受信トラフィックをモニタするように SPAN セッション 2 を設定し、モニタされたトラフィックを宛先ポート GigabitEthernet 2 に送信する例を示します。 さらに、この設定は VLAN 10 に属するすべてのポートですべてのトラフィックをモニタするよう変更されます。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 2 Switch(config)# monitor session 2 source vlan 1 - 3 rx Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 Switch(config)# monitor session 2 source vlan 10 Switch(config)# end
次に、SPAN セッション 2 の既存の設定を削除し、送信元ポート GigabitEthernet 1 上で受信されるトラフィックをモニタするように SPAN セッション 2 を設定し、送信元ポートと同じ出力カプセル化方式を使用してそれを宛先ポート GigabitEthernet 2 に送信し、VLAN 6 をデフォルトの入力 VLAN として IEEE 802.1Q カプセル化を使用する入力転送をイネーブルにする例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 2 Switch(config)# monitor session 2 source gigabitethernet1/0/1 rx Switch(config)# monitor session 2 destination interface gigabitethernet1/0/2 encapsulation replicate ingress dot1q vlan 6 Switch(config)# end
次に、SPAN セッション 2 の既存の設定を削除し、トランク ポート GigabitEthernet 2 で受信されたトラフィックをモニタするように SPAN セッション 2 を設定し、VLAN 1 ~ 5 および 9 に対してのみトラフィックを宛先ポート GigabitEthernet 1 に送信する例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 2 Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx Switch(config)# monitor session 2 filter vlan 1 - 5 , 9 Switch(config)# monitor session 2 destination interface gigabitethernet1/0/1 Switch(config)# end
この例は、RSPAN VLAN 901 の作成方法を示しています。
Switch> enable Switch# configure terminal Switch(config)# vlan 901 Switch(config-vlan)# remote span Switch(config-vlan)# end
次に、セッション 1 に対応する既存の RSPAN 設定を削除し、複数の送信元インターフェイスをモニタするように RSPAN セッション 1 を設定し、さらに宛先を RSPAN VLAN 901 に設定する例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 1 Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 tx Switch(config)# monitor session 1 source interface gigabitethernet1/0/2 rx Switch(config)# monitor session 1 source interface port-channel 2 Switch(config)# monitor session 1 destination remote vlan 901 Switch(config)# end
次に、RSPAN セッション 2 の既存の設定を削除し、トランク ポート 2 で受信されるトラフィックをモニタするように RSPAN セッション 2 を設定し、VLAN 1 ~ 5 および 9 に対してのみトラフィックを宛先 RSPAN VLAN 902 に送信する例を示します。
Switch> enable Switch# configure terminal Switch(config)# no monitor session 2 Switch(config)# monitor session 2 source interface gigabitethernet1/0/2 rx Switch(config)# monitor session 2 filter vlan 1 - 5 , 9 Switch(config)# monitor session 2 destination remote vlan 902 Switch(config)# end
次に、送信元リモート VLAN として VLAN 901、宛先インターフェイスとしてポート 1 を設定する例を示します。
Switch> enable Switch# configure terminal Switch(config)# monitor session 1 source remote vlan 901 Switch(config)# monitor session 1 destination interface gigabitethernet2/0/1 Switch(config)# end
次に、RSPAN セッション 2 で送信元リモート VLAN として VLAN 901 を設定し、送信元ポート GigabitEthernet 2 を宛先インターフェイスとして設定し、VLAN 6 をデフォルトの受信 VLAN として着信トラフィックの転送をイネーブルにする例を示します。
説明 | Link |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SECisco IOS XE 3.2SE |
スイッチ ポート アナライザ(SPAN):スニファやアナライザまたは RMON プローブを使用してポートまたは VLAN のswitchのトラフィックを監視できます。 この機能が導入されました。 |
Cisco IOS XE 3.2SECisco IOS XE 3.2SE |
フローベースのスイッチ ポート アナライザ(SPAN):指定されたフィルタを使用してエンド ホスト間の必要なデータのみをキャプチャする手段を提供します。 フィルタは、IPv4、IPv6 または IPv4 と IPv6、あるいは指定された送信元と宛先アドレス間の IP トラフィック(MAC)以外を制限するアクセス リストの観点から定義されます。 この機能が導入されました。 |
Cisco IOS XE 3.2SECisco IOS XE 3.2SE |
EtherChannel での SPAN 宛先ポートのサポート:EtherChannel で SPAN 宛先ポートを設定できるようにします。 この機能が導入されました。 |
Cisco IOS XE 3.2SECisco IOS XE 3.2SE |
スイッチ ポート アナライザ(SPAN) - 分散型出力 SPAN:ラインカードにすでに分散された入力 SPAN とともにラインカードに出力 SPAN 機能を分散させます。 出力 SPAN 機能をラインカードに分散させることで、システムのパフォーマンスが向上します。 この機能が導入されました。 |