ドキュメント概要

本ドキュメントでは ACI ファブリックに実装されている Access / Tenant / Fabric SPAN 設定の基本的な設定方法と動作概要を説明します。

ACI に実装されている SPAN 機能について

ACI ファブリックではパケットキャプチャによるトラブルシューティングを目的とした Access / Tenant / Fabric / Virtual SPAN が実装されています。

(本ドキュメントでは Virtual SPAN については触れません。)

それぞれの SPAN 機能の概要は以下の通りです。

• Access SPAN: Leaf スイッチから外部機器との接続ポート (Access ポート) での送受信パケットをコピーすることで、ACI ファブリックに対する通信の入出力を解析することができます。
• Fabric SPAN: Leaf スイッチと Spine スイッチ間の接続ポート (Fabric ポート) での送受信パケットをコピーすることで、ACI ファブリック内の通信状況を解析することができます。
• Tenant SPAN: 特定の Tenant の EPG に対象を限定して通信状況を解析することができます。 Tenant SPAN は ACIファブリックの管理者ではなく、Tenant 管理者でも実行することが可能です。

Access SPAN 設定

Access SPAN では SPAN Source に指定した Access ポートのパケットがコピーされます。Tenant / Application Profile / EPG に限定するフィルタを設定することも可能ですが、ここでは Leaf101 の E1/9 にて送受信されるすべてのパケットを SPAN 対象としています。また、ERSPAN ではなく Local SPAN により Leaf 101 の E1/10よりコピーされたパケットを送信するように設定しています。

<キャプチャ結果>
2017-07-14 07:04:30.903158 172.16.1.1 -> 172.16.1.2 ICMP Echo (ping) request
2017-07-14 07:04:30.903453 172.16.1.2 -> 172.16.1.1 ICMP Echo (ping) reply
2017-07-14 07:04:39.483619 10.2.2.1 -> 10.3.3.1 ICMP Echo (ping) request
2017-07-14 07:04:39.483984 10.3.3.1 -> 10.2.2.1 ICMP Echo (ping) reply

1. SPAN Destination の設定

1. Fabric > Access Policies > Troubleshoot Policies > SPAN > SPAN Destination Groups > Create SPAN Destination Group
   Name: Access_SPAN_DST_Grp1
2. Create Destinations
   Name: Access_SPAN_DST1
   Destination Type: Access Interface
   ※ EPG(ERSPAN) にも対応していますが、ここではあえて Access Interface (Local SPAN) を設定します。ERSPAN を使用したい場合は後述の Tenant SPAN 設定を参考にしてください。 ※
   Path: Node-101 / [eth 1/10]

2. SPAN Source の設定

1. Fabric > Access Policies > Troubleshoot Policies > SPAN > SPAN Source Groups > Create SPAN Source Group
   Name: Access_SPAN_SRC_Grp1
   Destination Group: Access_SPAN_DST_Grp1
2. Create Sources
   Name: Access_SPAN_SRC1
   Direction: Both
   Source EPG: (任意)
   ※ Access Path の中から特定の Tenant / Application Profile / EPG でフィルタしたい場合に使用します ※
3. Add Source Access Path
   Path Type: Port
   Path: Node-101 / [eth 1/9]

Tenant SPAN 設定

Tenant SPAN では ACIファブリックの物理的な接続を指定することなく、特定 Tenant の EPG に限定して通信をコピーすることが可能です。

ここでは EPG-1 を Source として指定していますが、物理的なポイントを指定することなく、 Leaf 101 / Leaf 102 を経由する EPG-1 の通信がキャプチャできています。

<キャプチャ結果>
No.    Time                          Source                Destination          Protocol Length Info
     9 2017-07-14 19:52:44.129178    172.16.1.1            10.2.2.1              ICMP    144    Echo (ping) request
    11 2017-07-14 19:52:44.129730    10.2.2.1              172.16.1.1            ICMP    144    Echo (ping) reply
    13 2017-07-14 19:52:44.130522    172.16.1.2            10.3.3.1              ICMP    144    Echo (ping) request
    15 2017-07-14 19:52:44.131371    10.3.3.1              172.16.1.2            ICMP    144    Echo (ping) reply

[注意事項]

Wireshark のデフォルト設定では ERSPAN version 1 の中身のデータが Summary Line に表示されません。

ERSPAN パケットの Summary Line 表示を上記の表示にするためには Wireshak のデコード設定の変更が必要となります。

詳細についてはドキュメントをご参照ください。

SPAN Data の デコード方法 (Wireshark)

1. SPAN Destination の設定

1. Tenants > [Cisco_Tenant] > Troubleshoot Policies > SPAN > SPAN Destination Groups > Create SPAN Destination Group
   Name: Tenant_SPAN_DST_Grp1
2. Create Destinations
   Name: Tenant_SPAN_DST1
   Destination EPG: [Cisco_Tenant] / [Cisco_App] / [SPAN_EPG]
   ※ ERSPAN パケットの送信先となる EPG を指定しますが、この EPG は SPAN 専用の EPG である必要はありません。 ※
   SPAN Version: Version 1

   [注意事項]
   Tenant SPAN 使用時の SPAN Version 2 は現時点で Nexus 9300-EX シリーズ以降にてサポートされています。
   SPAN 対象の EPG が、 Nexus 9300 シリーズと Nexus9300-EX シリーズ以降とを混在して収容されている場合、SPAN 結果も Version 1 と Version 2 が混在することになります。ACI ファブリック内に SPAN Version 2 に対応していない Leaf が存在する場合、特に理由がない限りは Version 1 で問題ありません。

   Destination IP: 192.168.1.1
   ※ ERSPAN パケットを Destination IP 宛に送信するために上記アドレスは Destination EPG 内の Endpoint として学習されている必要があります。 ※
   ※ Destination IP の対象ホストがサイレントホストの場合は Static Endpoint を設定する必要があります。 ※
   Source IP/Prefix: 192.168.1.0/24
   ※ ERSPANパケットのソースIPアドレスとなる任意のIPアドレスを指定してください。※
   ※ 第4オクテットには ERSPAN パケット送出元の Leaf 番号が自動的にアサインされます。※

2. SPAN Source の設定

1. Tenants > [User_Tenant] > Troubleshoot Policies > SPAN > SPAN Source Groups > Create SPAN Source Group
   Name: Tenant_SPAN_SRC_Grp1
   Destination Group: Tenant_SPAN_DST_Grp1
2. Create Sources
   Name: Tenant_SPAN_SRC1
   Direction: Both
   Source EPG: [User_Tenant] / [User_App] / [EPG-1]

Fabric SPAN 設定

Fabric SPAN では ACI ファブリックが内通信が確認できます。ACI ファブリック内では通信がマルチパスとなるため、特定の通信を捕捉するためには予め対象フローの通信経路を特定しておくか、あるフローが経由する可能性のあるすべての接続を指定する必要があります。

ここでは Leaf 101 から Leaf 102 へのファブリック通信を SPAN しています。一般的にファブリック内通信は非常に大きな通信量となっているため、 VRF や Bridge Domain によるフィルタを設定したほうがよいです。

[注意事項]

ACI ファブリック内の通信は iVXLAN ヘッダによりカプセル化されているため、 Fabric SPAN によりコピーされたデータを表示する場合、Wireshark のデフォルト設定では Summary Line 表示に iVXLAN パケットがそのまま出力されてしまいます。

実際のデータを表示するためには Wireshark のデコード設定の変更が必要となります。

詳細については以下のドキュメントをご参照ください。

SPAN Data の デコード方法 (Wireshark)

※なお、上記ドキュメントの ERSPAN version 1 を表示する設定変更をしている場合、version 2 のデータはデコードされません。 version 1 のデコード設定を入れている場合はこの設定を解除する必要があります。

<キャプチャ結果>

[変換前 (iVXLAN Data)]
No.    Time                          Source                Destination          Protocol Length Info
    293 2017-07-14 17:36:29.473867    10.0.96.95            10.0.24.65            UDP      202    10736 → 48879
    295 2017-07-14 17:36:29.473928    10.0.152.65          10.0.96.95            UDP      202    3040 → 48879
    802 2017-07-14 17:36:39.513720    10.0.96.95            10.0.24.65            UDP      202    53616 → 48879
    804 2017-07-14 17:36:39.553722    10.0.152.65          10.0.96.95            UDP      202    62304 → 48879

[変換後]

No.    Time                          Source                Destination          Protocol Length Info
    293 2017-07-14 17:36:29.473867    172.16.1.1          172.16.1.2          ICMP    202    Echo (ping) request
    295 2017-07-14 17:36:29.473928    172.16.1.2          172.16.1.1          ICMP    202    Echo (ping) reply
    802 2017-07-14 17:36:39.513720    10.2.2.1            10.3.3.1            ICMP    202    Echo (ping) request
    804 2017-07-14 17:36:39.553722    10.3.3.1            10.2.2.1            ICMP    202    Echo (ping) reply

1. SPAN Destination の設定

1. Fabric > Fabric Policies > Troubleshoot Policies > SPAN > SPAN Destination Groups > Create SPAN Destination Group
   Name: Fabric_SPAN_DST_Grp1
2. Create Destinations
   Name: Fabric_SPAN_DST1
   Destination EPG: [Cisco_Tenant] / [Cisco_App] / [SPAN_EPG]
   ※ ERSPAN パケットの送信先となる EPG を指定しますが、この EPG は SPAN 専用の EPG である必要はありません。 ※
   SPAN Version: Version 2

   [注意事項]
   Fabric SPAN では Version 2 (default) のみサポートされています。

   Destination IP: 192.168.1.1
   ※ ERSPAN パケットを Destination IP 宛に送信するために上記アドレスは Destination EPG 内の Endpoint として学習されている必要があります。 ※
   ※ Destination IP の対象ホストがサイレントホストの場合は Static Endpoint を設定する必要があります。 ※
   Source IP/Prefix: 192.168.1.0/24
   ※ ERSPANパケットのソースIPアドレスとなる任意のIPアドレスを指定してください。※
   ※ 第4オクテットには ERSPAN パケット送出元の Leaf 番号が自動的にアサインされます。※

2. SPAN Source の設定

1. Fabric > Fabric Policies > Troubleshoot Policies > SPAN > SPAN Source Groups > Create SPAN Source Group
   Name: Fabric_SPAN_SRC_Grp1
   Destination Group: Fabric_SPAN_DST_Grp1
2. Create Sources
   Name: Fabric_SPAN_SRC1
   Direction: Both
   Association: (任意)
   ※ 特定の VRF もしくは特定の Bridge Domain によりフィルタすることができます。Fabric の通信は通信量が非常に大きいため可能な限り設定すべきです。※
   Add Source Fabric Paths: Node101 / [eth1/51] , Node101 / [eth1/52]
   ※ Fabric 通信はマルチパスとなっていますので、特定の通信をキャプチャする場合は複数ポートを対象とする必要があります※

ACI ファブリックにおける SPAN 機能の所見

ACI ファブリックに実装されている SPAN 機能は APIC GUI から一元的に設定可能で、かつ簡単に高度なパケットキャプチャを実現することが可能です。

全ての SPAN 機能が ERSPAN に対応していることから、特定の解析用ホストを ACI ファブリックに常設しておくことで、トラブル発生時などに迅速に通信状況を捕捉、解析するようなことも可能となります。

万が一のトラブル発生時にこれらの SPAN 機能を使い分け、最小限で最適なデータを迅速に取得するためには、トラブル発生前の機能評価試験 / アーキテクチャの確認 / 制限事項の確認 が重要です。

ACI ファブリックを商用環境等にてローンチする前の評価段階で、機能試験や設定手順の確立といった準備をしておくことが推奨されます。

参考

• SPAN Data の デコード方法 (Wireshark)
• Cisco SPAN for Cisco Application Centric Infrastructure: A Modern Port Analyzer for the Next Generation Data Center White Paper