CISCO RSPAN(リモートSPAN)

ネットワーク機器をまたいでSPANを行う方法です。



【Switch-A】
Switch-A(config)# vlan 88
Switch-A(config-vlan)# remote-span ←RSPANを設定

Switch-A(config)# monitor session 1 source interface FastEthernet 0/10
Switch-A(config)# monitor session 1 destination remote vlan 88

Switch-A(config)# interface FastEthernet 0/1
Switch-A(config-if)# switchport trunk encapsulation dot1q
Switch-A(config-if)# switchport mode trunk
←RSPANを行うときは必ずトランクポートにて行う


【Switch-B】
Switch-B(config)# vlan 88
Switch-B(config-vlan)# remote-span

Switch-B(config)# monitor session 1 source remote vlan 88
Switch-B(config)# monitor session 1 destination interface FastEthernet 0/24

Switch-B(config)# interface FastEthernet 0/1
Switch-B(config-if)# switchport trunk encapsulation dot1q
Switch-B(config-if)# switchport mode trunk


個人的には、ややこしい割りにそこまでメリットはないように
思います。だってトランクするのにポートも使ってるし・・・

CISCO SPAN(Switched Port Analyzer)とは？

SPAN(Switched Port Analyzer)とは、
指定したポートの複製を作る機能です。

複製を作ることができるのは、
物理ポート
仮想ポート
VLAN
となります。

1つのSPAN内では上記のうちのひとつだけしか
トラフィック複製を作ることができません。

このSPANで複製を作る理由としてはパケットキャプチャを行うためです。
例えばFastEthernet0/1のポートキャプチャを行うのに
現在ささっているLAN線は抜けません。
そこでFastEthernet0/1ポートの複製をFastEthernet0/2に作り
パケットキャプチャを行います。

3550(config)#monitor session 1 source interface f0/1
←パケットキャプチャしたいポートを指定
3550(config)#monitor session 1 destination interface f0/2
←複製を作成(ここでキャプチャが行えます)

〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜

・SPAN(送信【tx】、受信【rx】)
・RSPAN(リモートSPAN)

CISCO SPAN(送信【tx】、受信【rx】)

SPAN設定を行うとデフォルトでは送信、受信(both)と両方監視します。
送信(tx)だけ、受信(rx)だけの監視も行えます。

3550(config)#monitor session 1 source interface f0/1 rx
←受信パケットだけをキャプチャしたい場合
3550(config)#monitor session 1 destination interface f0/2

インターフェースを監視する場合は双方向(both)の監視でいいのですが、
vlanを監視するときは通常一方向のみの監視を行います。
これはvlan監視の場合ほぼすべてのパケットが重複するからです。


同時に複数のインターフェースのパケットキャプチャを行う場合は、

3550(config)#monitor session 1 source interface f0/1 - 2
←f0/1とf0/2のポートをキャプチャしたい場合
3550(config)#monitor session 1 destination interface f0/3
←f0/3が二つのポートの複製となります