Nexus Data Broker（NDB）VXLAN および iVXLAN 終端により、スイッチは VXLAN および iVXLAN パケットの受信時にヘッダーを削除できます。

NDB スイッチは、以下のシナリオでパケットを受信します。

• スパインとリーフ間のテスト アクセス ポイント（TAP）ポートは、ACI ファブリックのファブリック リンクに配置されます。

• スイッチド ポート アナライザ（SPAN）セッションが設定されるか、TAP が VXLAN オーバーレイ ネットワークに配置されます。

Cisco NX-OS リリース 10.2(2)F 以降、VXLAN ストリッピング機能は Cisco Nexus 9364C および 9300-EX、9300-FX、9300-FX2、9300-FX3、9300-GX、9300-GX2、9500-EX、および 9500-FX ラインカードでサポートされています。

Cisco NX-OS リリース 10.2(2)F 以降、iVXLAN ストリッピング機能は Cisco Nexus 9364C および 9300-EX、9300-FX、9300-FX2、9300-GX、9300-GX2、9500- EX および 9500-FX ラインカードでサポートされています。

• VXLAN アンダーレイが V4 の場合、VXLAN ヘッダ ストリップがサポートされます。

• PTEP / VTEP を使用せずに VXLAN および iVXLAN ヘッダを削除できる必要があります。

• VXLAN ヘッダ ストリップはポートごとに有効になります。

• VXLAN および iVXLAN ストリッピングは、次の機能が有効になっている場合はサポートされません。

  • NV オーバーレイ

  • VN-segment-vlan

  • レガシー MPLS ストリップおよび tap-aggregation

• VXLAN ストリッピングは、デフォルトの UDP 値が使用されている場合にサポートされます。

• ポートは、トンネリングされたパケットとトンネリングされていないパケットの両方を管理できる必要があります。

• レイヤ 2 スイッチ ポート モード トランクまたはレイヤ 2 PO インターフェイスは、VXLAN ヘッダを削除できる必要があります。

• リダイレクト インターフェイスが出力ポートまたはアナライザ ポートを指している場合、Tap-ACL に redirect キーワードを含む適切な ACE が含まれていることを確認します。そうでない場合、パケットは同じ入力ポートにフラッディングされます。

• OFM は、標準 ISSU および LXC-ISSUの VXLAN ストリッピング機能を有効にします。

• Cisco NX-OS リリース 10.2(1)F 以降、VXLAN および iVXLAN ストリッピング機能は、Cisco Nexus 9364C および 9300-EX、9300-FX、9300-FX2、9500-EX、および 9500-FX ラインカードでサポートされています。

• Cisco NX-OS リリース 10.2（2）F 以降、VXLAN と iVXLAN ストリッピング機能は Cisco Nexus 9300-GX と 9300-GX2 プラットフォーム スイッチでサポートされます。

• カプセル化のタイプごとに 1 つずつ、最大 4 つのトンネル プロファイルをスイッチ上に作成できます。 ただし、Cisco NX-OS リリース 10.2(3)F 以降では、最大 5 つのトンネル プロファイルがサポートされます。

• 最大 12 のリダイレクト インターフェイス (リリース 10.2(1) より前) および 32 のリダイレクト インターフェイス (リリース 10.2(1) 以降) は、TAP アグリゲーション ポリシーの単一の ACE でのみ構成できます。

• Cisco Nexus 9300-GX プラットフォーム スイッチの場合、VXLAN ストリップ後、L2 ヘッダー アドレスの送信元 MAC は VDC MAC アドレス、宛先 MAC は 000000abcdef に書き換えられます。

• Cisco NX-OS リリース 10.2(3)F 以降、VXLAN ストリップは Cisco N9K-C93180YC-FX3 と N9K-C93108TC-FX3P プラットフォーム スイッチでサポートされます。

VXLAN および iVXLAN ヘッダ ストリップでは、以下のステートメントが当てはまります。

• インターフェイスは、内部パケットで Q-in-Q VLAN のスラップを許可します。

• パケット CRC が正しく実行されます。

• 内部パケットは、入力ポート ACL を使用してフィルタリングできます。

次に、VXLAN および iVXLAN ヘッダー ストリッピングの例を示します。手順は iVXLAN でも同じです：

switch(config-tnl-profile)# show run ofm
show running-config ofm
feature ofm
tunnel-profile vxlan1
encapsulation vxlan
destination any
flow terminate interface add port-channel101
flow terminate interface add Ethernet1/1

tunnel-profile vxlan2
encapsulation ivxlan
destination any
flow terminate interface add port-channel101
flow terminate interface add Ethernet1/1
switch(config-tnl-profile)#
switch(config-tnl-profile)# show tunnel-profile
Profile : vxlan1
Encapsulation : Vxlan
State : UP
Destination : Any
Terminate Interfaces : 2
Terminate List : port-channel101 Ethernet1/1
Profile : vxlan2
Encapsulation : iVxlan
State : UP
Destination : Any
Terminate Interfaces : 2
Terminate List : port-channel101 Ethernet1/1
switch(config-tnl-profile)#

この機能は、NX-OS スイッチまたは Nexus Data Broker（NDB）スイッチの着信 ERSPAN パケットからのインライン ERSPAN ヘッダ ストリッピングを実装します。

ERSPAN パケットが着信すると、この機能によって ERSPAN ヘッダが削除され、インラインで外部ボックスに転送されます。つまり、パケットは終端ポートに着信し、ACL 設定に基づいて、外部サーバに接続されているポートにリダイレクトされます。

この機能は、単一パスの ERSPAN ヘッダ ストリッピングと PACL リダイレクトを実行します。

Cisco NX-OS リリース 10.2(1)F 以降では、Cisco Nexus 9300-FX2、9300-FX3、9300-GX、および 9300-GX2 プラットフォーム スイッチで ERSPAN ヘッダー ストリッピングがサポートされています。ただし、この機能は TOR スイッチでのみサポートされます。

• 着信ポートはレイヤ 2 ポートである必要がありますが、レイヤ 3 への接続は SVI 経由である必要があります。

• ERSPAN 接続先セッションと ERSPAN ストリッピングは共存できません。

• ポート チャネル メンバーを含む終端ポートの総数は、31 を超えることはできません。

• この機能にはモード タップアグを設定しないでください。

• すべての ERSPAN ID のトンネル プロファイルがサポートされます。特定の ERSPAN セッション ID の終了はサポートされていません。ERSPAN セッション ID を持つトラフィックは、終端ノードで終端されます。

• ノードごとに 1 つのトンネル プロファイルのみがサポートされます。

• 最大 31 のフロー終端インターフェイスが、encap タイプ：ERSPAN のトンネル プロファイルでサポートされます。

• Cisco Nexus 9300-FX2、9300-FX3、9300-GX、および 9300-GX2 プラットフォーム スイッチで ERSPAN ヘッダ ストリッピング機能がサポートされます。この機能は TOR スイッチでのみサポートされます。

• ERSPAN 削除/リダイレクトが正しく動作するように、ポートで ERSPAN 削除を有効にする必要があります。他のストリップが有効になっているポートでは、ERSPAN トラフィックを送信しないでください。

• 終端ポートのすべての着信 ERSPAN ヘッダを削除します。

• この機能は、OFM トンネル プロファイル および ACL リダイレクトが構成されている場合にのみ機能します。

• この機能は、ポート ACL がレイヤ 2 終端ポートに適用されている場合にのみ機能します。

• スイッチ上の ERSPAN カプセル化のトンネル プロファイルは 1 つだけです。

• ポート ACL を使用するには、適切な tcam をカービングする必要があります。たとえば、カービングに tcam region ing-ifacl を使用します。

次に、ERSPAN ヘッダ ストリッピングの例を示します。

switch(config)# feature ofm
switch(config)# tunnel-profile foo
switch(config-tnl-profile)# encapsulation erspan
switch(config-tnl-profile)# erspan session-id all
switch(config-tnl-profile)# flowterminate interface add ethernet1/16
switch(config)# ip access-list test
permit ip any any redirect ethernet1/1,ethernet1/19
interfacee1/16 (config-if)# ip port access-group test in

この機能を使用すると、GRE カプセル化されて着信するパケットから GRE ヘッダーを取り除くことができます。GRE カプセル化パケットの内部パケットには、イーサネット ヘッダーが含まれていません。したがって、GRE ストリップの後、イーサネット ヘッダーが次のカスタム フィールドとともに内部パケットに追加されます：

1. 802.1q ヘッダーには、着信ポートで構成された VLAN が設定されます。

2. 接続先 MAC アドレスは に設定されます。 00:00:00:ab:cd:ef または 000.000.abc.def。

3. 送信元 MAC アドレスは、スイッチの VDC MAC アドレスに設定されます。

• トンネル プロファイルからフロー インターフェイスを削除するには、no の代わりに remove を使用します。no コマンドを使用すると、フロー終了リストからすべてのインターフェースが削除されます。

  次に例を示します。

  switch(config)# tunnel-profile gre_strip
  switch(config-tnl-profile)# flow terminate interface remove Ethernet 1/48

• フロー終了インターフェイスは、ESPRAN および GRE/VXLAN/IVXLAN プロファイルを共有できません。

• GRE ストリップ対応インターフェイスが ERSPAN トラフィックを受信した場合、ストリップは成功しますが、トラフィックはリダイレクト ポートに転送されません。

• 機能 OFM と機能トンネルは、同じスイッチ上に共存できません。

• Cisco Nexus 9300-EX、9300-FX、9300-FX2、9300-FX3、9300-GX、および N9K-C9332D-GX2B TOR上でサポートされている NBD GRE ヘッダー ストリッピング機能。ただし、この機能はラインカードではサポートされていません。

• mode tap-aggregation の構成は、GRE ヘッダー ストリッピング機能が有効になっているインターフェイスに存在しないようにする必要があります。

• トンネル カプセル化タイプの変更は許可されていません。

  QP-CF-1(config-tnl-profile)# encapsulation gre
  Error: encap-type modify not allowed, delete and add again
  

• 最大 500 のフロー終端インターフェイスが、encap タイプ iVXLAN/VXLAN/GRE のトンネル プロファイルでサポートされます。

• 最大 31 のフロー終端インターフェイスが、encap タイプ ERSPAN のトンネル プロファイルでサポートされます。

• フロー終了インターフェイス CLI が add キーワードなしで設定されている場合、それは replace として機能します。つまり、以前に追加されたフロー終了インターフェイスが削除され、新しいインターフェイスだけがフロー終了インターフェイスとして機能します。

• 以前の NX-OS バージョンから 10.2(3)F への中断のないアップグレード後、特定のインターフェイスの GRE ヘッダー ストリップ機能を有効にする前に、ポート ACL をすべてのインターフェイスから削除して追加する必要があります。

• dot1q トンネル伝搬を許可するには、9300-GX で hardware acl tap-agg redirect disable-dot1q-sharing コマンドが必要です。このコマンドを有効にした後、スイッチをリロードする必要があります。

インターフェイスで GRE ヘッダーを有効にするために構成する CLI は次のとおりです：

feature ofm
tunnel-profile gre_strip
    encapsulation gre
    destination any
    flow terminate interface add Ethernet1/1-10

次に、トンネル プロファイルの show コマンドを示します：

switch# show tunnel-profile gre_strip
  Profile               : gre_strip
  Encapsulation         : GRE
  State                 : UP
  Destination           : Any
  Terminate Interfaces  : 10
  Terminate List        : Ethernet1/1 Ethernet1/2 Ethernet1/3 Ethernet1/4 Ethernet1/5 Ethernet1/6 Ethernet1/7 Ethernet1/8 Ethernet1/9 Ethernet1/10

この機能を使用すると、MPLS カプセル化されて着信したパケットから MPLS ヘッダーを取り除くことができます。MPLS ラベル ストリップの後、イーサネット ヘッダーが次のカスタム フィールドを使用して内部パケットに追加されます。

1. 着信ポートに 802.1q ヘッダー と vlan が構成されます。

2. 接続先 MAC アドレスは 00:00:00:ab:cd:ef または 000.000.abc.def に設定されます。

3. 送信元 MAC アドレスは、スイッチの VDC MAC アドレスに設定されます。

レガシー MPLS ヘッダー ストリッピングから OFM ベースの構成に移行する場合は、次の注意事項と制限事項が適用されます。

• レガシー MPLS ストリッピング導入は OFM ベースのストリッピングと共存できません。

• 機能 OFM と機能トンネルは、同じスイッチ上に共存できません。

• レガシー MPLS ストリッピング機能から移行するには、OFM ベースの MPLS ストリッピングを有効にする前に、次のクリーンアップが必要です。

  • インターフェース レベルでの mode tap-aggregation の削除

  • グローバル レベルでのmpls strip; mpls strip dot1q の除去

  • 構成を保存して、上記の構成でスイッチをリロードします。

• Cisco NX-OS リリース 10.2（3）F 以降、NDM MPLS ヘッダー ストリッピング機能がサポートされています。

  • IPoMPLS（パケット フォーマット）ヘッダー ストリッピングは、Cisco Nexus 9300-EX、9300-FX、9300-FX2、9300-FX3、9300-GX、および C9332D-GX2B プラットフォームでサポートされています。

  • EoMPLS（パケット形式）ヘッダー ストリッピングは、Cisco Nexus 9300-EX プラットフォーム スイッチでのみサポートされています。ただし、VPLS ストリップおよび制御ワード パケット ストリップはサポートされていません。

  （注）	OFM MPLS ストリッピング機能は、TOR でのみサポートされます。ラインカードではサポートされていません。

• 以前の NX-OS バージョンから 10.2(3)F への中断のないアップグレード後、特定のインターフェイスの MPLS ヘッダー ストリッピング機能を有効にする前に、ポート ACL をすべてのインターフェイスから削除して追加する必要があります。

• dot1q トンネル伝搬を許可するには、Cisco Nexus 9300-GX プラットフォーム スイッチで hardware acl tap-agg redirect disable-dot1q-sharing コマンドが必要です。このコマンドを有効にした後、スイッチをリロードする必要があります。

• トンネル カプセル化タイプの変更は許可されていません。

  QP-CF-1(config-tnl-profile)# encapsulation mpls
  Error: encap-type modify not allowed, delete and add again

• ERSPAN ACL リダイレクト トンネル プロファイルが構成されておらず、インターフェイスが ERSPAN パケットを受信している場合、ERSPAN パケットは TapAgg ポリシーの ERSPAN ACL リダイレクト エントリにヒットし、削除されません。

• MPLS ヘッド ストリップが有効になっているインターフェイスでは、モード タップ アグリゲーションが存在しないようにする必要があります。

• MPLS ストリッピングは IP PACL に基づいており、ストリッピングに MAC-ACL を使用しないでください。

• MPLS ストリッピング中、オリジナル パケットの着信 VLAN は維持されません。

• ERSPAN トンネル プロファイルでは、入力インターフェイスが dot1q-tunnel からトランク モードに変換されると、出力パケットに VLAN=1 の dot1q タグが付けられます。このタグ付けは、ストリップされたパケットとリダイレクトされる通常の IP パケットの両方に対して行われます。

• MPLS ストリップ対応インターフェイスが ERSPAN トラフィックを受信すると、ストリップは成功しますが、トラフィックはリダイレクト ポートに転送されません。

• トンネル プロファイルからフロー インターフェイスを削除するには、no の代わりに remove を使用します。no コマンドを使用すると、フロー終了リストからすべてのインターフェースが削除されます。

  次に例を示します。

  switch(config)# tunnel-profile mpls_strip
  switch(config-tnl-profile)# flow terminate interface remove Ethernet 1/48

• add キーワードなしでフロー 終端 インターフェイス コマンドを構成すると、replace として動作します。このことは、以前追加したフロー終了インターフェイスは削除され、新しいものだけがフロー 終端 インターフェイスとして動作することを意味します。

• 入力インターフェイスは、トランク モードまたはアクセス モードのいずれかです。どちらのモードでも、タグ付きパケットとタグなしパケットのリダイレクトが可能です。access-mode が dot1q-tunnel モードで使用される場合、ヘッダー ストリッピングの後に、access-mode で指定された方法で VLAN_tag が追加されます。

インターフェイスで MPLS ヘッダーを有効にするには、次のコマンドを構成する必要があります：

feature ofm
tunnel-profile
mpls_strip encapsulation mpls destination any
flow terminate interface add Ethernet1/1-10

トンネル プロファイルの show コマンドは次のとおりです。

switch# show tunnel-profile mpls_strip
  Profile               : mpls_strip
  Encapsulation         : MPLS
  State                 : UP
  Destination           : Any
  Terminate Interfaces  : 10
  Terminate List        : Ethernet1/1 Ethernet1/2 Ethernet1/3 Ethernet1/4 Ethernet1/5 Ethernet1/6 Ethernet1/7 Ethernet1/8 Ethernet1/9 Ethernet1/10