Cisco Nexus Data Broker（NDB）は、操作が簡単なスケーラブルなパケット ブローカー ネットワーク ソリューションを構築します。Cisco Nexus Dashboard Data Broker コントローラ ソフトウェアと Cisco Nexus スイッチは、アウトオブバンドとインライン ネットワーク トラフィックの両方をモニタするための新たなソフトウェア定義アプローチを可能にします。

NDB スイッチは、パケットの監視に使用されます。パフォーマンス監視、侵入検知、コンプライアンスチェックなどには、パケット監視が必要です。

ヘッダー ストリップの場合、アウトオブバンド監視が実行されます。非侵入型であり、パケットのコピーが TAP または SPAN を使用して監視されます。したがって、トラフィックに対しフィルタ処理、本番ネットワークからの複製、NDB スイッチのヘッダーの除去が行われて、監視のためにツールに転送されます。ここで言及されている入力/送信元ポートは、ヘッダー ストリッピングが行われるポートです。モニタリング/ツール ポートは、ツールに直接接続するポートです。

ヘッダーを削除する理由は次のとおりです。

• 一部の監視ツールは、カプセル化されたパケットを認識しません。

• 追加のヘッダーが存在すると、分析データに間違いが生じます。

• ヘッダーを追加すると、パケット サイズが増加するため、ツールに送信されて処理されるデータ量が最適化されません。

Cisco Nexus Data Broker スイッチのパケット ヘッダーまたはラベル ストリッピング機能の利点は次のとおりです。

• マルチプロトコル ラベル スイッチング（MPLS）ラベル ストリッピング

• コピー トラフィックからの VXLAN ヘッダー ストリッピングのネイティブ サポート

• Generic Route Encapsulation（GRE）ヘッダー ストリッピングのサポート

• 出力での Q-in-Q VLAN ヘッダー ストリッピング

これらにより、NDB は、従来の VXLAN、IVXLAN、ERSPAN、GRE、および MPLS ストリッピング機能をオーバーレイ フォワーディング マネージャー（OFM）ベースのモデルに整合させることができます。OFM は、ヘッダー ストリッピング機能のためのコマンド ライン インターフェイス（CLI）をホストします。

この章は、次の内容で構成されています。

• [Nexus Data Broker の VXLAN および IVXLAN ヘッダー ストリッピング（VXLAN and IVXLAN Header Stripping for Nexus Data Broker）]

• Nexus Data Broker の ERSPAN ヘッダー ストリッピング

• Nexus Data Broker の GRE ヘッダー ストリッピング

• Nexus Data Broker の MPLS ヘッダー ストリッピング

すべてのヘッダー ストリッピング機能に適用される注意事項と制限事項は次のとおりです。

• VxLAN、iVxLAN、GRE、MPLS などのさまざまなカプセル化タイプを持つすべてのトンネル プロファイルで、最大 500 のフロー終端インターフェイスがサポートされます。ERSPAN の場合、サポートされるフロー終端インターフェイスの最大数は 31 です。

• Cisco NX-OS リリース 10.2(3)F 以降、OFM モデルを使用した MPLS ストリッピングが、他のストリッピング機能と共存するようになります。しかし、他の種類のストリッピング機能との共存が必要ない場合、既存の MPLS ストリッピング機能が、MPLS ストリッピングを引き続きサポートします。

• 同じインターフェイスまたは異なるインターフェイス上で共存させることができます。

  （注）	Cisco NX-OS リリース 10.2(3)F 以降、同じインターフェイスでの ERSPAN の共存がサポートされています。ただし、これは 9300-FX2 以降のプラットフォームでのみサポートされます。

• 従来の MPLS ストリッピング機能と OFM ストリッピング機能は相互に排他的です。

• Cisco NX-OS リリース 10.2(3)F 以降、IPv6 内部パケットのトラフィックは、すべてのストリッピング機能でサポートされます。

• 以前のリリースから Cisco NX-OS リリース 10.2(3)F への中断のない ISSU を実行し、ヘッダー ストリッピング機能を実行した後、dot1q トンネル VLAN_tag が見つからないか、vlan_id=1 に設定されている場合は、その特定のストリッピング対応インターフェイスの L2 インターフェイスからポート ACL を削除して追加します。

• インターフェイスに VLAN が設定されていないものの、switchport mode dot1q-tunnel コマンドがそのインターフェイスに設定されている場合、ストリップされたパケットはデフォルトで VLAN=1 になります。

• 互換性のない OFM コマンドが show running コマンドの出力に存在し、Cisco NX-OS リリース 10.2(3)F から以前のリリースへの中断を伴う ISSU が実行されるシナリオで、その以前の NX-OS バージョンで OFM コマンドがサポートされていなかった場合、適切なエラーが表示されます。ただし、show incompatibility コマンドは、OFM 関連の非互換性コマンドのそのようなエラーにフラグを立てません。

• OFM ベースの GRE、ERSPAN、および MPLS ストリッピング機能は、ライン カードではなく TOR でのみサポートされます。

• カプセル化（iVXLAN、VXLAN、GRE、MPLS、ERSPAN）の一部として、次の制限が一般的です。

  • 2 つ以上のトンネル プロファイルが同じカプセル化タイプを持つことはできません。

  • 機能トンネルが有効になっている場合、OFM ベースのヘッダー ストリッピング機能はサポートされません。

Nexus Data Broker（NDB）VXLAN および iVXLAN 終端により、スイッチは VXLAN および iVXLAN パケットの受信時にヘッダーを削除できます。

NDB スイッチは、以下のシナリオでパケットを受信します。

• スパインとリーフ間のテスト アクセス ポイント（TAP）ポートは、ACI ファブリックのファブリック リンクに配置されます。

• スイッチド ポート アナライザ（SPAN）セッションが設定されるか、TAP が VXLAN オーバーレイ ネットワークに配置されます。

• VXLAN アンダーレイが V4 の場合、VXLAN ヘッダ ストリップがサポートされます。

• PTEP / VTEP を使用せずに VXLAN および iVXLAN ヘッダを削除できる必要があります。

• VXLAN ヘッダ ストリップはポートごとに有効になります。

• VXLAN および iVXLAN ストリッピングは、次の機能が有効になっている場合はサポートされません。

  • NV オーバーレイ

  • VN-segment-vlan

  • レガシー MPLS ストリップおよび tap-aggregation

• VXLAN ストリッピングは、デフォルトの UDP 値が使用されている場合にサポートされます。

• ポートは、トンネリングされたパケットとトンネリングされていないパケットの両方を管理できる必要があります。

• レイヤ 2 スイッチ ポート モード トランクまたはレイヤ 2 PO インターフェイスは、VXLAN ヘッダを削除できる必要があります。

• リダイレクト インターフェイスが出力ポートまたはアナライザ ポートを指している場合、Tap-ACL に redirect キーワードを含む適切な ACE が含まれていることを確認します。そうでない場合、パケットは同じ入力ポートにフラッディングされます。

• OFM は、標準 ISSU および LXC-ISSUの VXLAN ストリッピング機能を有効にします。

• カプセル化のタイプごとに 1 つずつ、最大 2 つのトンネル プロファイルをスイッチ上に作成できます。

• Cisco NX-OS リリース 10.2(1)F 以降、VXLAN および iVXLAN ストリッピング機能は、Cisco Nexus 9364C および 9300-EX、9300-FX、9300-FX2、9500-EX、および 9500-FX ラインカードでサポートされています。

VXLAN および iVXLAN ヘッダ ストリップでは、以下のステートメントが当てはまります。

• インターフェイスは、内部パケットで Q-in-Q VLAN のスラップを許可します。

• パケット CRC が正しく実行されます。

• 内部パケットは、入力ポート ACL を使用してフィルタリングできます。

次に、VXLAN および iVXLAN ヘッダー ストリッピングの例を示します。手順は iVXLAN でも同じです：

switch(config-tnl-profile)# show run ofm
show running-config ofm
feature ofm
tunnel-profile vxlan1
encapsulation vxlan
destination any
flow terminate interface add port-channel101
flow terminate interface add Ethernet1/1

tunnel-profile vxlan2
encapsulation ivxlan
destination any
flow terminate interface add port-channel101
flow terminate interface add Ethernet1/1
switch(config-tnl-profile)#
switch(config-tnl-profile)# show tunnel-profile
Profile : vxlan1
Encapsulation : Vxlan
State : UP
Destination : Any
Terminate Interfaces : 2
Terminate List : port-channel101 Ethernet1/1
Profile : vxlan2
Encapsulation : iVxlan
State : UP
Destination : Any
Terminate Interfaces : 2
Terminate List : port-channel101 Ethernet1/1
switch(config-tnl-profile)#

この機能は、NX-OS スイッチまたは Nexus Data Broker（NDB）スイッチの着信 ERSPAN パケットからのインライン ERSPAN ヘッダ ストリッピングを実装します。

ERSPAN パケットが着信すると、この機能によって ERSPAN ヘッダが削除され、インラインで外部ボックスに転送されます。つまり、パケットは終端ポートに着信し、ACL 設定に基づいて、外部サーバに接続されているポートにリダイレクトされます。

この機能は、単一パスの ERSPAN ヘッダ ストリッピングと PACL リダイレクトを実行します。

Cisco NX-OS リリース 10.2(1)F 以降では、Cisco Nexus 9300-FX2、9300-FX3、9300-GX、および 9300-GX2 プラットフォーム スイッチで ERSPAN ヘッダー ストリッピングがサポートされています。ただし、この機能は TOR スイッチでのみサポートされます。

• 着信ポートはレイヤ 2 ポートである必要がありますが、レイヤ 3 への接続は SVI 経由である必要があります。

• 終端ポートが同じ場合、VXLAN ストリッピングと ERSPAN ストリッピングは共存できません。

• ERSPAN 接続先セッションと ERSPAN ストリッピングは共存できません。

• ポート チャネル メンバーを含む終端ポートの総数は、31 を超えることはできません。

• この機能にはモード タップアグを設定しないでください。

• すべての ERSPAN ID のトンネル プロファイルがサポートされます。特定の ERSPAN セッション ID の終了はサポートされていません。ERSPAN セッション ID を持つトラフィックは、終端ノードで終端されます。

• ノードごとに 1 つのトンネル プロファイルのみがサポートされます。

• 最大 31 のフロー終端インターフェイスが、encap タイプ：ERSPAN のトンネル プロファイルでサポートされます。

• Cisco Nexus 9300-FX2、9300-FX3、9300-GX、および 9300-GX2 プラットフォーム スイッチで ERSPAN ヘッダ ストリッピング機能がサポートされます。この機能は TOR スイッチでのみサポートされます。

• 終端ポートのすべての着信 ERSPAN ヘッダを削除します。

• この機能は、OFM トンネル プロファイル および ACL リダイレクトが構成されている場合にのみ機能します。

• この機能は、ポート ACL がレイヤ 2 終端ポートに適用されている場合にのみ機能します。

• スイッチ上の ERSPAN カプセル化のトンネル プロファイルは 1 つだけです。

• この機能は IPv6 をサポートしていません。

次に、ERSPAN ヘッダ ストリッピングの例を示します。

switch(config)# feature ofm
switch(config)# tunnel-profile foo
switch(config-tnl-profile)# encapsulation erspan
switch(config-tnl-profile)# erspan session-id all
switch(config-tnl-profile)# flowterminate interface add ethernet1/16
switch(config)# ip access-list test
permit ip any any redirect ethernet1/1,ethernet1/19
interfacee1/16 (config-if)# ip port access-group test in