SPAN / RSPAN - Catalyst Switch 1



 ◆ SPAN( Switched Port Analyzer )

 SPANとは、パケットキャプチャを行う際にCatalystスイッチに実装するミラーリング機能のことです。
 Catalystスイッチではポート上またはVLAN上を流れるトラフィックを、SPANを利用することにより
 Wiresharkが入ったPCに接続しているポートに、トラフィック(パケット)のコピーを送信できます。

SPAN用語 SPAN用語の説明
 送信元ポート  パケットキャプチャの対象となるポート。VLANを送信元とすることも可能。
 宛先ポート  ネットワークアナライザを接続するポート。SPAN専用ポートにする必要がある。
 ネットワークアナライザ  WireSharkやSnifferなどのパケットキャプチャソフトがインストールされたPC。


 コンフィグ設定を間違えない限り、SPANの設定が既存の通信に影響を与えることはありません。当然、
 宛先ポートの指定先を間違えた場合は障害を引き起こす可能性があります。この宛先ポートはSPAN専用
 ポートにする必要があります。SPAN専用ポートではSPANセッションのトラフィック以外を受信したり
 送信したりすることはありません。なお、この宛先ポートに接続するWiresharkのPCに、IPアドレスを
 割り振っていても、割り振らなくても、問題なくパケットキャプチャをすることができます。SPANには
 ローカルSPANとRSPANの2種類があります。以下でローカルSPANとRSPANの仕様を解説していきます。



 ◆ ローカルSPAN

 ローカルSPANは1つのスイッチ内で行うSPANのこと。SPANで指定する送信元ポートと宛先ポートは
 全て同じスイッチ内にあります。以下では送信元ポートを「F0/10」、宛先ポートを「F0/24」と定義
 しています。これにより「F0/10」で送受信している全てのトラフィックを「F0/24」でも受信できます。


               



 Catalyst(config)# monitor session 1 source interface FastEthernet 0/10
 
Catalyst(config)# monitor session 1 destination interface FastEthernet 0/24



 ◆ リモートSPAN( RSPAN )

 RSPANは、異なるスイッチ上で行うSPANのこと。RSPANで指定する送信元ポート or 送信元VLAN、
 宛先ポートは、NW上の複数のスイッチにまたがることが可能です。なお、RSPANでは
RSPAN VLAN
 を存在させる必要があり、RSPANを行う全てのスイッチ上でRSPAN VLANを作成する必要があります。

 以下では、SW1で送信元ポートを「F0/10」、宛先を「RSPAN VLAN999」と定義しており、そして
 SW2では送信元を「RSPAN VLAN999」、宛先ポートを「F0/24」と定義しています。これによって
 「SW1:F0/10」で送受信している全トラフィックはRSPAN VLAN 999にコピーされて、その情報が
 トランクポートでSW2に伝えられて、SW2はVLAN999を送信元として「SW2:F0/24」で受信可能。


        



 SW1(config)# vlan 999
 SW1(config-vlan)# remote-span

 SW1(config)# monitor session 1 source interface FastEthernet 0/10
 SW1(config)# monitor session 1 destination remote vlan 999

 SW1(config)# interface GigabitEthernet0/1
 SW1(config-if)# switchport trunk encapsulation dot1q
 SW1(config-if)# switchport mode trunk


 SW2(config)# vlan 999
 SW2(config-vlan)# remote-span

 SW2(config)# monitor session 1 source remote vlan 999
 SW2(config)# monitor session 1 destination interface FastEthernet 0/24

 SW2(config)# interface GigabitEthernet0/1
 SW2(config-if)# switchport trunk encapsulation dot1q
 SW2(config-if)# switchport mode trunk

 ※ RSPAN VLANはトランクポートにて伝送する必要があります。従って、Gi 0/1 はトランクポートとして定義しています。

 ローカルSPANのコンフィグ設定については、設定
 ミスさえしなければ、既存のネットワーク通信には
 一切影響がないので、業務時間中の日中帯の作業と
 して実施しても特に問題がありません。しかし、
 設定ミスをすれば通信障害が発生してしまいます。
 よくあるミスは source と destination の逆設定。

 リモートSPAN(RSPAN)のコンフィグ設定作業は
 既存のネットワークへの設定ということであれば、
 例外なく業務終了後に設定する事をお勧めします。
 RSPANについては、その他のIOS機能にくらべると
 ソフトウェアバグが多いので通信影響のない内容の
 設定であっても業務終了後の作業を推奨致します。


 次回は、ローカルSPAN、RSPANにて設定するコンフィグをより詳細に解説していきたいと思います。



← パケットキャプチャとは パケットキャプチャ - Catalystの設定 - SPAN/RSPAN

Wiresharkでパケットキャプチャ

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.