monitor session destination
新規にスイッチドポートアナライザ(SPAN)セッションを開始し、ネットワーク セキュリティ デバイス(Cisco IDS Sensor アプライアンスなど)の宛先ポート上の入力トラフィックをイネーブルにし、既存の SPAN セッションでインターフェイスを追加または削除するには、monitor session destination グローバル コンフィギュレーション コマンドを使用します。SPAN セッションを削除したり、SPAN セッションから宛先インターフェイスを削除するには、このコマンドの no 形式を使用します。
monitor session session-number destination { interface interface-id [ encapsulation { replicate | dot1q } ] { ingress [ dot1q | untagged ] } | { } vlan vlan-id
no monitor session session-number destination { interface interface-id [ encapsulation { replicate | dot1q } ] { ingress [ dot1q | untagged ] } | { } vlan vlan-id
構文の説明
session-number |
SPAN セッションで識別されるセッション番号。指定できる範囲は 1 ~ 4 です。 |
interface interface-id |
SPAN セッションの宛先または送信元インターフェイスを指定します。有効なインターフェイスは物理ポート(タイプ、スタック メンバ、モジュール、ポート番号を含む)です。送信元インターフェイスの場合は、ポートチャネルも有効なインターフェイスタイプであり、指定できる範囲は 1 ~ 6 です。 |
encapsulation replicate |
(任意)宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製することを指定します。選択しない場合のデフォルトは、ネイティブ形式(タグなし)でのパケットの送信です。 次のキーワードは、ローカル SPAN にだけ有効です。encapsulation オプションは、no 形式では無視されます。 |
encapsulation dot1q |
(任意)宛先インターフェイスが IEEE 802.1Q カプセル化の送信元インターフェイスの着信パケットを受け入れるように指定します。 次のキーワードは、ローカル SPAN にだけ有効です。encapsulation オプションは、no 形式では無視されます。 |
ingress |
入力トラフィック転送をイネーブルにします。 |
dot1q |
(任意)指定された VLAN をデフォルト VLAN として、IEEE 802.1Q カプセル化された着信パケットを受け入れます。 |
untagged |
(任意)指定された VLAN をデフォルト VLAN として、タグなしカプセル化された着信パケットを受け入れます。 |
isl |
ISL カプセル化を使用して入力トラフィックを転送するように指定します。 |
vlan vlan-id |
ingress キーワードとのみ使用された場合、入力トラフィックに対するデフォルトの VLAN を設定します。 |
コマンド デフォルト
モニタ セッションは設定されていません。
ローカル SPAN の宛先ポートで encapsulation replicate が指定されなかった場合、パケットはカプセル化のタグなしのネイティブ形式で送信されます。
入力転送は宛先ポートではディセーブルになっています。
all 、local 、range session-range 、または remote を no monitor session コマンドに指定することで、すべての SPAN、すべてのローカル SPAN、範囲または セッションをクリアできます。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
リリース |
変更内容 |
---|---|
Cisco IOS Release 15.2(7)E1 |
このコマンドが導入されました。 |
使用上のガイドライン
最大 4 つの SPAN セッションを設定できます。
SPAN の宛先は物理ポートである必要があります。
セッションごとに最大 1 つの宛先ポートを指定できます。
各セッションには複数の入力または出力の送信元ポートまたは VLAN を含めることができますが、1 つのセッション内で送信元ポートと送信元 VLAN を組み合わせることはできません。
1 つのポート、1 つの VLAN、一連のポート、一連の VLAN、ポート範囲、VLAN 範囲でトラフィックをモニタできます。[, | -] オプションを使用して、複数または一定範囲のインターフェイスまたは VLAN を指定します。
一連の VLAN またはインターフェイスを指定するときは、カンマ(,)の前後にスペースが必要です。VLAN またはインターフェイスの範囲を指定するときは、ハイフン(- )の前後にスペースが必要です。
EtherChannel ポートは、SPAN 宛先ポートとして設定することはできません。EtherChannel グループのメンバである物理ポートは、宛先ポートとして使用できます。ただし、SPAN の宛先として機能する間は、EtherChannel グループに参加できません。
プライベート VLAN ポートは、SPAN 宛先ポートには設定できません。
宛先ポートとして使用しているポートは、SPAN 送信元ポートにすることはできません。また、同時に複数のセッションの宛先ポートにすることはできません。
SPAN 宛先ポートであるポート上で IEEE 802.1X 認証をイネーブルにすることはできますが、ポートが SPAN 宛先として削除されるまで IEEE 802.1X 認証はディセーブルです。IEEE 802.1X 認証がポート上で使用できない場合、スイッチはエラー メッセージを返します。SPAN 送信元ポートでは IEEE 802.1X 認証をイネーブルにすることができます。
入力トラフィック転送がネットワーク セキュリティ デバイスでイネーブルの場合、宛先ポートはレイヤ 2 でトラフィックを転送します。
宛先ポートは次のような動作を設定できます。
-
monitor session session_number destination interface interface-id を他のキーワードなしで入力すると、出力のカプセル化はタグなしとなり、入力転送はイネーブルになりません。
-
monitor session session_number destination interface interface-id ingress を入力した場合は、出力カプセル化はタグなしで、入力カプセル化はそのあとに続くキーワードが dot1q と untagged のいずれであるかによって決まります。
-
monitor session session_number destination interface interface-id encapsulation replicate を他のキーワードなしで入力すると、出力のカプセル化はソースインターフェイスのカプセル化を複製し、入力転送はイネーブルになりません(これはローカル SPAN だけに適用します。)。
-
monitor session session_number destination interface interface-id encapsulation replicate ingress を入力した場合は、出力カプセル化は送信元インターフェイスカプセル化を複製し、入力カプセル化はそのあとに続くキーワードが dot1q と untagged のいずれであるかによって決まります(これはローカル SPAN だけに適用します。)。
設定を確認するには、show monitor 特権 EXEC コマンドを入力します。show running-config 特権 EXEC コマンドを入力すると、スイッチの SPAN の設定を表示することができます。SPAN 情報は出力の最後付近に表示されます。
例
次の例では、ローカル SPAN セッション 1 を作成し、スタック メンバ 1 の送信元ポート 1 からスタック メンバ 2 の宛先ポート 2 に送受信するトラフィックをモニタする方法を示します。
Device(config)# monitor session 1 source interface gigabitethernet1/0/1 both
Device(config)# monitor session 1 destination interface gigabitethernet2/0/2
次の例では、宛先ポートを既存のローカル SPAN セッションから削除する方法を示します。
Device(config)# no monitor session 2 destination interface gigabitethernet1/0/2
次の例では、IEEE 802.1Q カプセル化をサポートするセキュリティ装置を使用して、VLAN 5 の入力トラフィックに対応する宛先ポートを設定する方法を示します。出力トラフィックは送信元のカプセル化を複製します。入力トラフィックは IEEE 802.1Q カプセル化を使用します。
Device(config)# monitor session 2 destination interface encapsulation dot1q ingress dot1q vlan 5
次の例では、カプセル化をサポートしないセキュリティ デバイスを使用して、VLAN 5 上の入力トラフィックの宛先ポートを設定する方法を示します。出力トラフィックおよび入力トラフィックはタグなしです。
Device(config)# monitor session 2 destination interface ingress untagged vlan 5