レッスン内容
Cisco Catalystスイッチには、送信元ポートまたは送信元VLANから宛先インターフェイスにすべてのトラフィックをコピーできるSPAN(Switch Port Analyzer)と呼ばれる機能があります。 これはいくつかの理由で非常に便利です:
- wiresharkを使用して、ワークステーション、サーバー、電話、または他の何かに接続されているインターフェイスからトラフィックをキャプチャする場合は、盗聴します。
- すべてのトラフィックをVLANからIDS/IPSにリダイレクトします。
- VLANからのすべてのVoIPコールをリダイレクトして、コールを記録できるようにします。
送信元はインターフェイスまたはVLANであり、宛先はインターフェイスです。 送信、受信、または両方の方向を宛先インターフェイスに転送するかどうかを選択できます。
スイッチと同じスイッチ上で宛先インターフェイスを使用する場合はSPANと呼び、宛先が別のスイッチ上のリモートインターフェイス RSPANを使用する場合は、トラフィックが送信元スイッチから宛先スイッチに移動できるように、RSPANトラフィックにVLANを使用する必要があります。RSPANを使用する場合は、コピーするトラフィックを伝送するVLANを使用する必要があります。 上の映像では「RSPAN VLAN」にコンピュータからのトラフィックをコピーするSW1を見ます。 SW3がトラフィックを受信し、wiresharkが実行されているコンピュータに転送している間、SW2はそれを何もしません。 スイッチ間のトランクでRSPAN VLANが許可されていることを確認します。
SPANとRSPANは素晴らしいですが、心に留めておく必要があることがいくつかあります…
制限
SPANとRSPANの両方にいくつかの制限があります。:
- 送信元インターフェイスは、switchport、routed port、access port、trunk port、etherchannelなどの任意のものにすることができます。
- トランクを送信元インターフェイスとして設定すると、すべてのVlanからトラフィックがコピーされますが、これをフィルタリングするオプションがあ
- 複数の送信元インターフェイスまたは複数のVlanを使用できますが、インターフェイスとVlanを混在させることはできません。
- インターフェイスをオーバーロードするのは非常に簡単です。 送信元としてVLAN全体を選択し、100Mbit宛先を使用する場合interface…it あまりにも多くのかもしれません。
- 宛先ポートを設定すると、その設定が”失われます”。 デフォルトでは、宛先インターフェイスはSPANトラフィックの転送にのみ使用されます。 ただし、宛先インターフェイスに接続されているデバイスからの着信トラフィックを許可するように設定できます。CDP、VTP、DTP、スパニングツリー Bpduなどのレイヤ2フレームはデフォルトではコピーされませんが、SPAN/RSPANにコピーするように指示できます。
これは、SPAN/RSPANが何ができるかのアイデアを与えるはずです。 設定は非常に簡単ですので、いくつかの例を挙げてみましょう…
SPAN設定
簡単な設定から始めましょう。 先ほどお見せした例を使用します:
Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2次のように構成を確認できます:
Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabledご覧のように、デフォルトでは、送受信されたトラフィック(両方)を宛先ポートにコピーします。 トラフィックが一方向に移動するだけのキャプチャが必要な場合は、次のように指定する必要があります:
Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic onlyrxまたはtxを追加するだけで、準備が整いました。 インターフェイスFastEthernet0/1がトランクだった場合は、転送するVlanを選択するためのフィルタを追加できます:
Switch(config)#monitor session 1 filter vlan 1 - 100上のこのフィルタは宛先にVLAN1–100だけを転送します。 ソースとしてインターフェイスを使用せず、VLANを使用したくない場合は、次のようにします:
Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3私はすでにそのセッションのソースインターフェイスを使用しているので、このためにセッション1を使用できません。 また、別のセッションで同じ宛先インターフェイスを使用することも不可能です。 これが、別のセッション番号を作成し、宛先としてFastEthernet0/3を選択した理由です。
ここでは、各デバイスの最終的な構成を見つけることができます。
スイッチ
hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3endこれまでのところ良いですか? RSPANを見てみましょう!
RSPAN構成
RSPANを実証するために、二つのスイッチを持つトポロジを使用します:
このアイデアは、SW1のfastethernet0/1からSW2のFastEthernet0/1にトラフィックを転送することです。 ここで設定する必要があることがいくつかあります:
SW1(config)#vlan 100SW1(config-vlan)#remote-spanSW2(config)#vlan 100SW2(config-vlan)#remote-span最初にVLANを作成し、それがRSPAN vlanであることをスイッチに伝える必要があります。 これは簡単に忘れられているものです。 次に、2つのスイッチ間のリンクをトランクとして設定します: