SPAN/RSPAN/ERSPANを活用したトラフィックミラーリングと障害解析の実践

ネットワーク インフラ ネットワークエンジニア 技術解説
```html

なぜトラフィックミラーリングが現場で欠かせないのか

「パケットを見ないと始まらない」——障害対応の現場でそう感じた経験、みなさんにもあるのではないでしょうか。pingは通る、経路も問題ない、なのにアプリが遅い……。そういうとき、実際を流れているパケットを捕まえられるかどうかが、解決速度を大きく左右します。

SPAN(Switched Port Analyzer)をはじめとするトラフィックミラーリング技術は、本番トラフィックに一切手を加えずに「コピー」を取り出す仕組みです。Wiresharkで解析したり、IPSやNDRツールに食わせたり、現場での使い道は広がる一方です。今回はSPAN・RSPAN・ERSPANの違いと実践的な使い方を丁寧に解説します。

概念と仕組みを整理しよう

SPANとは?

SPANはスイッチ内で完結するミラーリングです。ソースポート(コピー元)を流れるトラフィックを、デスティネーションポート(コピー先)に複製します。デスティネーションポートにはWiresharkを動かしたPCや解析アプライアンスを接続します。

  • スイッチ1台の中でのみ完結
  • 送受信どちらかまたは両方をミラー可能
  • VLAN単位でのミラーリングも可能

RSPANとは?

RSPAN(Remote SPAN)はSPANを複数スイッチにまたがるように拡張したものです。ミラートラフィックを専用のRSPAN VLANに乗せてトランク経由で転送し、離れたスイッチにあるデスティネーションポートで取り出します。ポイントはRSPAN VLANには通常のユーザートラフィックを流さないことです。

ERSPANとは?

ERSPAN(Encapsulated Remote SPAN)はミラートラフィックをGREカプセル化してIPネットワーク越しに転送します。データセンター間やWAN越しにも解析トラフィックを届けられるため、分散環境やクラウドとのハイブリッド構成で威力を発揮します。

種別 対象範囲 転送方式 主な用途
SPAN スイッチ内 ポート直結 ローカル解析
RSPAN 同一L2ドメイン VLAN経由 フロア間・ラック間解析
ERSPAN IPネットワーク全体 GREカプセル化 DC間・クラウド解析

設定例をCiscoで確認しよう

SPAN設定例

! Gi0/1の送受信トラフィックをGi0/24にミラー
monitor session 1 source interface GigabitEthernet0/1 both
monitor session 1 destination interface GigabitEthernet0/24

! 確認コマンド
show monitor session 1

RSPAN設定例(ソース側スイッチ)

! RSPAN専用VLANを作成(通常のVLANと区別するためremoteを明示)
vlan 999
 remote-span

! ソース設定
monitor session 2 source interface GigabitEthernet0/1 both
monitor session 2 destination remote vlan 999
! デスティネーション側スイッチ
monitor session 2 source remote vlan 999
monitor session 2 destination interface GigabitEthernet0/24

ERSPAN設定例(Type II)

monitor session 3 type erspan-source
 source interface GigabitEthernet0/1 both
 destination
  erspan-id 1
  ip address 192.168.100.200
  origin ip address 192.168.100.1
 no shutdown

現場での活用とベストプラクティス

実際の現場では次のような設計パターンがよく使われます。

  • 常設のSPAN先ポートを確保する:障害時にすぐ接続できるよう、重要スイッチには解析用ポートを一つ空けておく運用がおすすめです。
  • NDR/IDS との連携:ERSPANでセキュリティアプライアンスへ集約することで、複数拠点のトラフィックを一元監視できます。
  • VLAN単位ミラーで絞り込む:全ポートのトラフィックはボリュームが大きすぎます。疑わしいVLANを特定してからミラーするのが効率的です。

注意点とよくある落とし穴

  • デスティネーションポートは通常通信に使えない:ミラー先ポートはSPANセッション専用になるため、通常のネットワーク接続には使えません。誤接続に注意しましょう。
  • 帯域の圧迫:トラフィック量が多いポートをミラーすると、デスティネーション側が輻輳します。Gigabit回線に10Gトラフィックは流せません。
  • RSPAN VLANのSTPに注意:RSPAN VLANはスパニングツリーが動作しますが、ブロードキャストドメインの設計を誤るとループ原因になります。
  • ERSPANのGREオーバーヘッド:カプセル化によりMTUを超える可能性があります。パス上でのフラグメントやMTU設定を事前に確認してください。
  • スイッチごとのセッション数上限:機種によって同時に設定できるSPANセッション数に制限があります(例:Catalyst 2960では2セッション)。

まとめ

SPAN・RSPAN・ERSPANは、ネットワーク障害解析の「目」となる技術です。使い分けのポイントは「どこにある対象を、どこで見たいか」です。同一スイッチならSPAN、フロアをまたぐならRSPAN、IPネットワーク越しならERSPANと覚えておくとスムーズに選択できます。

障害は待ってくれません。いざというときに迷わず設定できるよう、ぜひ一度シミュレータや検証環境で手を動かしてみてください。パケットを「見える化」する習慣が、現場の問題解決スピードを格段に上げてくれますよ。

```