Appearance
Packet Capture
| 技術 | スコープ | 送信元 | 宛先 | 必要条件 |
|---|---|---|---|---|
| SPAN (Switched Port Analyzer) | 同一スイッチ内 | ポート / VLAN | ポート | なし |
| RSPAN (Remote SPAN) | VLAN経由で別スイッチ | ポート / VLAN | RSPAN用VLAN | RSPAN用VLAN定義、トランクリンク |
| ERSPAN (Encapsulated Remote SPAN) | L3越えでリモート転送 | ポート / VLAN | IPアドレス(GREトンネル) | L3到達性、ERSPAN ID一致 |
SPAN の設定
SPANは同一スイッチ内でパケットをミラーリングする。
| 設定目的 | コンフィグモード | コマンド |
|---|---|---|
| 送信元指定 | Global config | monitor session <セッション番号> source <送信元> [both | rx | tx] |
| VLANフィルタ | Global config | monitor session <セッション番号> filter vlan <VLAN番号> |
| 宛先指定 | Global config | monitor session <セッション番号> destination <宛先> [encapsulation replicate] |
パラメータ
| パラメータ | 意味 |
|---|---|
| セッション番号 | 1〜66。送信元と宛先で一致させる |
| 送信元 | interface <IF> / interface port-channel <番号> / vlan <VLAN番号> |
| both | 入出力するパケットをコピー(デフォルト) |
| rx | 入力方向のパケットのみコピー |
| tx | 出力方向のパケットのみコピー |
| 宛先 | interface <IF> |
| encapsulation replicate | タグを付けてパケットを送信。未指定(デフォルト)はタグ無しで送信 |
確認コマンド
| コマンド | 対象種別 | 表示対象 |
|---|---|---|
show monitor | 全種別 | 全セッションの概要(そのまま実行可能) |
show monitor session <番号> | 全種別 | 指定セッションの詳細 |
show monitor session all | 全種別 | RSPAN、ERSPANを含む全セッションの詳細 |
show monitor session local | SPAN | SPANセッションのみ |
show monitor session remote | RSPAN | RSPANセッションのみ |
show monitor session erspan-source | ERSPAN | ERSPAN送信元セッションのみ |
show monitor session erspan-destination | ERSPAN | ERSPAN宛先セッションのみ |
show monitor session range <範囲> | 全種別 | 指定範囲のセッション |
重要: show monitor session だけでは % Incomplete command. となる。session の後にセッション番号や all などのキーワードが必要。show monitor(sessionなし)はそのまま実行可能。
show monitor session の出力フィールド
| フィールド | 意味 |
|---|---|
| Type | セッション種別(Local Session = SPAN) |
| Source Ports / Source VLANs | 送信元ポートまたはVLANと、対象トラフィックの方向(Both/RX/TX) |
| Destination Ports | 宛先ポート |
| Encapsulation | Native(タグなし)または Replicate(タグあり) |
SPAN の主な注意事項
| 制約 | 説明 |
|---|---|
| 送信元 ↔ 宛先の排他 | 送信元ポートを宛先ポートにできない。逆も不可 |
| 宛先ポートのL2プロトコル | 宛先ポートはSTP、VTP、CDP、DTP、PAgPに参加できない |
| 宛先ポートの状態 | up/down(monitoring) と表示される |
| port-channel | 送信元にport-channelグループを指定できるが、宛先には指定できない |
| 送信元の種類 | 1セッションにつきVLANまたは物理ポートのいずれかのみ(混在不可) |
| EtherChannelメンバー | メンバーポートをSPAN宛先に指定すると、バンドルから外れる |
RSPAN の設定
RSPANはVLAN経由で別スイッチへパケットをコピーする。RSPAN用VLANの定義が必要。
RSPAN用VLANの作成
| 設定目的 | コンフィグモード | コマンド |
|---|---|---|
| RSPAN用VLAN作成 | Global config | vlan <VLAN番号> |
| RSPAN用として設定 | VLAN config | remote-span |
送信元スイッチの設定
| 設定目的 | コンフィグモード | コマンド |
|---|---|---|
| 送信元指定 | Global config | monitor session <セッション番号> source <送信元> [both | rx | tx] |
| VLANフィルタ | Global config | monitor session <セッション番号> filter vlan <VLAN番号> |
| 宛先(RSPAN VLAN) | Global config | monitor session <セッション番号> destination remote vlan <宛先VLAN番号> |
宛先スイッチの設定
| 設定目的 | コンフィグモード | コマンド |
|---|---|---|
| 送信元(RSPAN VLAN) | Global config | monitor session <セッション番号> source remote vlan <VLAN番号> |
| 宛先IF指定 | Global config | monitor session <セッション番号> destination interface <IF> |
パラメータ
| パラメータ | 意味 |
|---|---|
| セッション番号 | 1〜66。送信元と宛先で一致させる |
| 宛先VLAN番号 | RSPAN用に作成したVLAN番号。1つのみ指定可能(複数行で指定した場合は最後の設定のみ有効) |
重要: RSPANでは送信元スイッチ・宛先スイッチの両方でRSPAN用VLANを定義(remote-span)する必要がある。
重要: RSPAN用VLANはトランクポートのみを通る。アクセスポートにRSPAN用VLANを割り当てると、そのポートは無効化される。
重要: RSPAN用VLANではMACアドレスの学習が行われないため、すべてのパケットはフラッディングされる。
ERSPAN の設定(送信元セッション)
ERSPANはL3越えでリモート転送するため、送信元セッションと宛先セッションをそれぞれ設定する。
| 設定目的 | コンフィグモード | コマンド |
|---|---|---|
| ERSPANセッション作成 | Global config | monitor session <セッション番号> type erspan-source |
| 送信元指定 | Mon-erspan-src config | source <送信元> [both | rx | tx] |
| VLANフィルタ | Mon-erspan-src config | filter vlan <VLAN番号> |
| ACLフィルタ | Mon-erspan-src config | filter access-group <ACL名> |
| 宛先設定モードへ | Mon-erspan-src config | destination |
| ERSPAN ID指定 | Mon-erspan-src-dst config | erspan-id <ERSPAN ID> |
| 宛先IPアドレス指定 | Mon-erspan-src-dst config | ip address <宛先IPアドレス> |
| 送信元IPアドレス指定 | Mon-erspan-src-dst config | origin ip address <送信元IPアドレス> |
パラメータ
| パラメータ | 意味 |
|---|---|
| セッション番号 | 1〜1024の中から任意の番号を指定(機種によっては1〜66) |
| 送信元 | interface <IF> / interface port-channel <番号> / vlan <VLAN番号> |
| both | 入出力するパケットをコピー(デフォルト) |
| rx | 入力方向のパケットのみコピー |
| tx | 出力方向のパケットのみコピー |
| ERSPAN ID | 1〜1023。送信元と宛先で一致させる |
| 宛先IPアドレス | 送信元と宛先で一致させる |
| 送信元IPアドレス | ERSPAN用トラフィックの送信元IPアドレス |
ACLによるフィルタリング
特定のパケットのみコピーしたい場合、ACLを作成し filter access-group で適用する。
重要: ACLでパケットの送信元を指定する際は、対象とするパケットを permit で指定する。