|
◆ ローカルSPANセッションの作成
新しくSPANセッションを作成するためには、送信元ポート/VLAN(モニターされる側)、および
宛先ポート(モニターする側)を指定する必要があります。なお、既存のSPANセッション(設定)
が存在する場合は、no monitor session コマンドによって既存のSPANを削除する必要があります。
◆ 送信元ポート・送信元VLAN - monitor sessionコマンド
| (config)# monitor session number source [ interface id | vlan id ] [ , | - ] [ both | rx | tx ] |
| monitor session |
パラメータ説明 |
| number |
SPANセッションのセッション番号。1 〜 66 まで指定することができる。 |
| interface id |
モニターする対象となるポート番号。 |
| vlan id |
モニターする対象となるVLAN番号( interface を指定した場合は vlan は指定しない ) |
| , |
モニターする対象が複数ある場合、[ , ] で区切る。 |
| - |
モニターする対象が複数ある場合、[ - ] でレンジを指定する。 |
| both |
送受信トラフィックをモニターする ( デフォルトの設定 ) |
| rx |
あるいは、受信トラフィックのみをモニターする。 |
| tx |
あるいは、送信トラフィックのみをモニターする。 |
◆ 宛先ポート - monitor sessionコマンド
| (config)# monitor session number destination [ interface id ] [ , | - ] [ encapsulation replicate ] |
| monitor session |
monitor session destination コマンドのパラメータ説明 |
| number |
SPANセッションのセッション番号。sourceで指定したものと同じ値を指定する。 |
| interface id |
ネットワークアナライザが接続するポート番号。 |
| , |
宛先ポートを複数指定したい場合、[ , ] で区切る。 |
| - |
宛先ポートを複数指定したい場合、[ - ] でレンジを指定する。 |
| encapsulation replicate |
タグ付きのトラフィックを受信したい場合に指定する。これを指定しない場合
デフォルトでタグなしの状態でパケットが宛先ポートに転送されることになる。 |
◆ F0/1の送受信トラフィックを、F0/24で受信する設定
Catalyst(config)# monitor session 1 source interface FastEthernet 0/1
Catalyst(config)# monitor session 1 destination interface FastEthernet 0/24
|
◆ F0/1の送信トラフィックのみを、F0/24で受信する設定
Catalyst(config)# monitor session 1 source interface FastEthernet 0/1 tx
Catalyst(config)# monitor session 1 destination interface FastEthernet 0/24
|
◆ F0/1の送受信トラフィックを、タグ付きのパケットはタグ付きとしてF0/24で受信する設定
Catalyst(config)# monitor session 1 source interface FastEthernet 0/1
Catalyst(config)# monitor session 1 destination interface FastEthernet 0/24 encapsulation
replicate
|
◆ VLAN 10 に属する全てのポートでの送受信トラフィックを、F0/24で受信する設定
Catalyst(config)# monitor session 1 source vlan 10
Catalyst(config)# monitor session 1 destination interface FastEthernet 0/24
|
◆ VLAN 1〜3 に属する全てのポートでの送受信トラフィックを、F0/23とF0/24で受信する設定
Catalyst(config)# monitor session 1 source vlan 1 - 3
Catalyst(config)# monitor session 1 destination interface FastEthernet 0/23, FastEthernet0/24
|
なお、filter vlanコマンドを使用することにより、トランクポート上で受信するトラフィックの対象の
VLANトラフィックを指定することができます。以下の設定ではF0/1で送受信するトラフィックのうち
VLAN 2〜6 までのトラフィックを、Wiresharkの入ったPCが接続するF0/24で受信するようにします。
Catalyst(config)# monitor session 1 source interface FastEthernet 0/1
Catalyst(config)# monitor session 1 filter vlan 2 - 6
Catalyst(config)# monitor session 1 destination interface FastEthernet 0/24 encapsulation replicate
|
◆ RSPANセッションの作成
RSPANでは、先ずRSPAN用のVLANを新規に作成する必要があります。また、RSPANを実装する
全てのCatalystスイッチにRSPAN用のVLANを作成する必要があります。以下の手順で作成します。
SW1(config)# vlan id
SW1(config-vlan)# remote-span
|
次に、RSPAN用の送信元セッションと宛先セッションを作成する必要があります。RSPANの送信元
セッションの作成方法については、以下のコマンド構文通りローカルSPANと同じ設定方法となります。
| SW1(config)# monitor session number source [ interface id | vlan id ] [ , | - ] [ both | rx | tx ] |
RSPANの宛先セッションの作成方法については、宛先にRSPAN VLANを指定する必要があります。
| SW1(config)# monitor session number destination remote vlan id |
RSPANを使用する場合、最低でも2台のスイッチで設定をすることになります。上記の設定により
モニターしたい対象のトラフィックがあるスイッチ側の設定が完了することになりますが、次に、
Wiresharkが入ったPCが接続されている側のスイッチの設定も必要になります。
先の解説通り、全てのCatalystスイッチにRSPAN用のVLANを作成する必要があります。ここで作成
するRSPAN VLANのVLAN番号は、全てのスイッチで同じVLAN番号である必要があり、また、この
RSPAN用のVLANはRSPANだけのために使用する必要があり、ポートへの割り当てはNGとなります。
SW2(config)# vlan id
SW2(config-vlan)# remote-span
|
次に、RSPAN用の送信元セッションと宛先セッションを作成する必要があります。RSPANの送信元
セッションについては、トランクポートを介して伝えられるRSPAN VLANをsourceとして指定します。
| SW2(config)# monitor session number source remote vlan id |
最後に、RSPAN用の宛先セッションとしてWiresharkが入ったPCが接続されたポートを指定します。
| SW2(config)# monitor session number destination [ interface id ] [ , | - ] [ encapsulation replicate ] |
以下の設定では、RSPAN VLANを999として指定し、SW1のF0/10で送受信されているトラフィックを
RSPAN VLAN 999を介して、Wiresharkが入ったPCが接続するSW2のF0/24のポートで受信する設定。
SW1(config)# vlan 999
SW1(config-vlan)# remote-span
SW1(config)# monitor session 1 source interface FastEthernet 0/10
SW1(config)# monitor session 1 destination remote vlan 999
|
SW2(config)# vlan 999
SW2(config-vlan)# remote-span
SW2(config)# monitor session 1 source remote vlan 999
SW2(config)# monitor session 1 destination interface FastEthernet 0/24
|
SPANの設定はシンプルでありながら、実に多くの仕様があります。以下は個人的に特筆すべき仕様。
| 特筆すべきローカルSPANセッションとRSPANセッションの仕様 |
| ・ 同じSPANのセッションにモニター対象ポートの「送信元ポート」と「送信元VLAN」を混在させられない。 |
| ・ 1つのSPANセッションに複数の宛先ポートを設定できるが、指定できる最大の宛先ポートは「 64 」個。 |
|
・ Catalystスイッチは最大2つの送信元セッション( ローカルSPANとRSPANの送信元セッションの2つ )
をサポートする。従って、同じスイッチ内でローカルSPANの実行とRSPANの実行が1つずつ可能である。
|
| ・ SPANでキャプチャされる受信トラフィックは、スイッチが変更または処理を行う前のパケット |
| ・ SPANでキャプチャされる送信トラフィックは、スイッチが変更または処理を行った後のパケット |
SPANとRSPANの設定における仕様は、IOSの他の機能に比べて、非常に多く制約が多いのが特徴です。
SPANやRSPANの設定自体はとても簡単なのですが、仕様の確認不足によりトラブった人は多いのでは
ないでしょうか。また、困ったことに機種によりこの仕様が異なってきますので、SPANやRSPANの
設定を行う前には、必ず、該当機種のマニュアルを注意深く参照することを、強く強くお勧めします。
※ RSPANは特に曲者なので、検証環境でコンフィグ設定とキャプチャを行い必ず動作確認しましょう。
|