Skip to content

Packet Capture

技術スコープ送信元宛先必要条件
SPAN (Switched Port Analyzer)同一スイッチ内ポート / VLANポートなし
RSPAN (Remote SPAN)VLAN経由で別スイッチポート / VLANRSPAN用VLANRSPAN用VLAN定義、トランクリンク
ERSPAN (Encapsulated Remote SPAN)L3越えでリモート転送ポート / VLANIPアドレス(GREトンネル)L3到達性、ERSPAN ID一致

SPAN の設定

SPANは同一スイッチ内でパケットをミラーリングする。

設定目的コンフィグモードコマンド
送信元指定Global configmonitor session <セッション番号> source <送信元> [both | rx | tx]
VLANフィルタGlobal configmonitor session <セッション番号> filter vlan <VLAN番号>
宛先指定Global configmonitor session <セッション番号> destination <宛先> [encapsulation replicate]

パラメータ

パラメータ意味
セッション番号1〜66。送信元と宛先で一致させる
送信元interface <IF> / interface port-channel <番号> / vlan <VLAN番号>
both入出力するパケットをコピー(デフォルト)
rx入力方向のパケットのみコピー
tx出力方向のパケットのみコピー
宛先interface <IF>
encapsulation replicateタグを付けてパケットを送信。未指定(デフォルト)はタグ無しで送信

確認コマンド

コマンド対象種別表示対象
show monitor全種別全セッションの概要(そのまま実行可能)
show monitor session <番号>全種別指定セッションの詳細
show monitor session all全種別RSPAN、ERSPANを含む全セッションの詳細
show monitor session localSPANSPANセッションのみ
show monitor session remoteRSPANRSPANセッションのみ
show monitor session erspan-sourceERSPANERSPAN送信元セッションのみ
show monitor session erspan-destinationERSPANERSPAN宛先セッションのみ
show monitor session range <範囲>全種別指定範囲のセッション

重要: show monitor session だけでは % Incomplete command. となる。session の後にセッション番号や all などのキーワードが必要。show monitor(sessionなし)はそのまま実行可能。

show monitor session の出力フィールド

フィールド意味
Typeセッション種別(Local Session = SPAN)
Source Ports / Source VLANs送信元ポートまたはVLANと、対象トラフィックの方向(Both/RX/TX)
Destination Ports宛先ポート
EncapsulationNative(タグなし)または Replicate(タグあり)

SPAN の主な注意事項

制約説明
送信元 ↔ 宛先の排他送信元ポートを宛先ポートにできない。逆も不可
宛先ポートのL2プロトコル宛先ポートはSTP、VTP、CDP、DTP、PAgPに参加できない
宛先ポートの状態up/down(monitoring) と表示される
port-channel送信元にport-channelグループを指定できるが、宛先には指定できない
送信元の種類1セッションにつきVLANまたは物理ポートのいずれかのみ(混在不可)
EtherChannelメンバーメンバーポートをSPAN宛先に指定すると、バンドルから外れる

RSPAN の設定

RSPANはVLAN経由で別スイッチへパケットをコピーする。RSPAN用VLANの定義が必要。

RSPAN用VLANの作成

設定目的コンフィグモードコマンド
RSPAN用VLAN作成Global configvlan <VLAN番号>
RSPAN用として設定VLAN configremote-span

送信元スイッチの設定

設定目的コンフィグモードコマンド
送信元指定Global configmonitor session <セッション番号> source <送信元> [both | rx | tx]
VLANフィルタGlobal configmonitor session <セッション番号> filter vlan <VLAN番号>
宛先(RSPAN VLAN)Global configmonitor session <セッション番号> destination remote vlan <宛先VLAN番号>

宛先スイッチの設定

設定目的コンフィグモードコマンド
送信元(RSPAN VLAN)Global configmonitor session <セッション番号> source remote vlan <VLAN番号>
宛先IF指定Global configmonitor session <セッション番号> destination interface <IF>

パラメータ

パラメータ意味
セッション番号1〜66。送信元と宛先で一致させる
宛先VLAN番号RSPAN用に作成したVLAN番号。1つのみ指定可能(複数行で指定した場合は最後の設定のみ有効)

重要: RSPANでは送信元スイッチ・宛先スイッチの両方でRSPAN用VLANを定義(remote-span)する必要がある。

重要: RSPAN用VLANはトランクポートのみを通る。アクセスポートにRSPAN用VLANを割り当てると、そのポートは無効化される。

重要: RSPAN用VLANではMACアドレスの学習が行われないため、すべてのパケットはフラッディングされる。

ERSPAN の設定(送信元セッション)

ERSPANはL3越えでリモート転送するため、送信元セッションと宛先セッションをそれぞれ設定する。

設定目的コンフィグモードコマンド
ERSPANセッション作成Global configmonitor session <セッション番号> type erspan-source
送信元指定Mon-erspan-src configsource <送信元> [both | rx | tx]
VLANフィルタMon-erspan-src configfilter vlan <VLAN番号>
ACLフィルタMon-erspan-src configfilter access-group <ACL名>
宛先設定モードへMon-erspan-src configdestination
ERSPAN ID指定Mon-erspan-src-dst configerspan-id <ERSPAN ID>
宛先IPアドレス指定Mon-erspan-src-dst configip address <宛先IPアドレス>
送信元IPアドレス指定Mon-erspan-src-dst configorigin ip address <送信元IPアドレス>

パラメータ

パラメータ意味
セッション番号1〜1024の中から任意の番号を指定(機種によっては1〜66)
送信元interface <IF> / interface port-channel <番号> / vlan <VLAN番号>
both入出力するパケットをコピー(デフォルト)
rx入力方向のパケットのみコピー
tx出力方向のパケットのみコピー
ERSPAN ID1〜1023。送信元と宛先で一致させる
宛先IPアドレス送信元と宛先で一致させる
送信元IPアドレスERSPAN用トラフィックの送信元IPアドレス

ACLによるフィルタリング

特定のパケットのみコピーしたい場合、ACLを作成し filter access-group で適用する。

重要: ACLでパケットの送信元を指定する際は、対象とするパケットを permit で指定する。