らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

Cisco ACI (v5) でローカル SPAN を設定し、パケットをキャプチャする

Cisco ACI でも SPAN 設定を行うことが出来ます。 設定箇所は Access / Fabric / Tenant があり、以下のような違いがあります。

設定箇所 種別 送信元 宛先 フィルタ
Access ローカル SPAN Direct Port, PortChannel 送信元と同じリーフのポート EPG
Access ERSPAN Direct Port, PortChannel, vPC EPG EPG
Fabric ERSPAN Fabric Port EPG BD または VRF
Tenant ERSPAN EPG EPG -

今回は Access でローカル SPAN を設定する手順をメモしておきます。 検証には 5.1 (1h) を利用しました。

Step.1

FabricAccess PoliciesPoliciesTroubleshootingSPANSPAN Destination Groups から Create SPAN Destination Group をクリックします。

f:id:sig9:20201107135530p:plain

Step.2

Create SPAN Destination Group というウインドウが表示されます。

f:id:sig9:20201107135533p:plain

今回はローカル SPAN を設定しますので Destination Type から Access Interface を選択します。 Path Type には Port なのか Direct Port Channel なのか、選択します。 vPC インターフェイスは選択することが出来ません。

f:id:sig9:20201107135537p:plain

Step.3

FabricAccess PoliciesPoliciesTroubleshootingSPANSPAN Source Groups から Create SPAN Source Group をクリックします。

f:id:sig9:20201107135540p:plain

Step.4

Create SPAN Source Group というウインドウが表示されます。

f:id:sig9:20201107135543p:plain

Name は任意の設定名を入力します。 Destination Group には先の手順で作成した SPAN Destination Group を指定します。 ここまで設定出来たら Create Sources の右側にある + マークをクリックします。

f:id:sig9:20201107135546p:plain

Step.5

Create SPAN Source というウインドウが表示されます。

f:id:sig9:20201107135549p:plain

Name は任意の設定名を入力します。 Direction にはトラフィックをキャプチャする方向を指定します。 今回は「送受信両方」としますので Both を指定します。 「特定の EPGトラフィックのみをキャプチャする」場合は Type から EPG を指定しますが、今回は「特定の物理ポートを流れるトラフィックを全てキャプチャする」想定である為、None を設定します。 ここまで設定出来たら Add Source Access Paths の右側にある + マークをクリックします。

f:id:sig9:20201107135554p:plain

Step.6

Associate Source to Path というウインドウが表示されます。

f:id:sig9:20201107135557p:plain

SPAN の対象になる送信元ポートを指定します。 ローカル SPAN ですので送信先ポートと同じノードから、ポートを選択する必要があります。 ポートを指定したら OK をクリックします。

f:id:sig9:20201107135602p:plain

Step.8

Create SPAN Source ウインドウに戻るので OK をクリックします。

f:id:sig9:20201107135606p:plain

Step.9

Create SPAN Source Group ウインドウに戻るので OK をクリックします。

f:id:sig9:20201107135609p:plain

Step.10

これで SPAN の設定は完了です。 この時点ですでに SPAN は起動しており、キャプチャされたパケットが宛先ポートへコピーされています。

f:id:sig9:20201107135613p:plain

APIC で確認

show monitor access session を実行すると以下のように表示されます。

apic1# show monitor access session 
Type           : access
Session        : SrcGroup1  *** Session not created by CLI ***
Node           : 202
Type           : local
Admin state    : enabled
Oper state     : up (active)
Dest Interface : eth1/15

 Interface/Vlan/Vxlan    State   State Qualifier   Dir     Encap/BdEncap         FabEncap/CtxEncap     Filter Group                    Drop     
 ----------------------  ------  ----------------  ------  --------------------  --------------------  ------------------------------  -------- 
 eth1/3                  up      active            both                                                                                Disabled

Leaf で確認

show monitor session all brief を実行すると以下のように表示されます。

leaf2# show monitor session all brief
   session 3
---------------
type              : local
state             : up (active)
source intf       :
    rx            : [Eth1/3] 
    tx            : [Eth1/3] 
    both          : [Eth1/3] 
destination ports : Eth1/15

show monitor session all を実行すると以下のように表示されます。

leaf2# show monitor session all 
   session 3
---------------
name              : SrcGroup1
description       : Span session 3
type              : local
state             : up (active)
mode              : access
Filter Group      : None
source intf       :
    rx            : [Eth1/3] 
    tx            : [Eth1/3] 
    both          : [Eth1/3] 
source VLANs      :
    rx            : 
    tx            : 
    both          : 
filter VLANs      : filter not specified
filter L3Outs     : filter not specified
destination ports : Eth1/15

トラブルシューティング完了後は設定を削除する

公式のドキュメントには下記のように書かれています。

SPAN はトラブルシューティングのためにのみ使用してください。SPAN トラフィックはスイッチ リソースのユーザ トラフィックと競合します。負荷を最小限にするには、分析対象の特定のトラフィックだけをコピーするように SPAN を設定します。

トラフィックへの影響やスイッチへの負荷を考慮し、トラブルシューティングが完了したら不要となった SPAN 設定は削除しましょう。

参考