Cisco NX-OS システムは、発信元および宛先ポートの両方で Encapsulated Remote Switching Port Analyzer（ERSPAN）機能をサポートします。ERSPAN は、IP ネットワークでミラーリングされたトラフィックを転送します。トラフィックは、送信元ルータでカプセル化され、ネットワーク間を転送されます。パケットは宛先ルータでカプセル化解除され、宛先インターフェイスに送信されます。

ERSPAN は、ERSPAN 送信元セッション、ルーティング可能な ERSPAN Generic Routing Encapsulation（GRE）カプセル化トラフィック、および ERSPAN 宛先セッションで構成されています。異なるスイッチで ERSPAN 送信元セッションおよび宛先セッションを個別に設定することができます。ACL を使用し、入力トラフィックをフィルタ処理するように ERSPAN 送信元セッションを設定することもできます。

次の表に、この機能のライセンス要件を示します。

ERSPAN の前提条件は、次のとおりです。

•所定の ERSPAN 設定をサポートするには、まず各デバイス上でポートのイーサネット インターフェイスを設定する必要があります。詳細については、お使いのプラットフォームのインターフェイス コンフィギュレーション ガイドを参照してください。

ERSPAN 設定時の注意事項と制限事項は次のとおりです。

• 同じ送信元は、複数のセッションの一部にすることができます。

• 複数の ACL フィルタは、同じ送信元でサポートされます。

• Cisco Nexus 34180YC プラットフォーム スイッチには次の制限が適用されます。

  • ERSPAN では、PortChannel は宛先インターフェイスとしてサポートされていません。

  • ACL フィルタと VLAN フィルタはサポートされていません。

  • ERSPAN UDF ベースの ACL サポートはサポートされていません

  • Cisco Nexus 34180YC プラットフォーム スイッチは、スイッチに設定されている合計で 32 セッションの SPAN および ERSPAN セッションをサポートします。32 すべてのセッションを同時にアクティブにできます。

  • filter access-group コマンドは、Cisco Nexus 34180YC プラットフォーム スイッチでサポートされていません。

  • スーパーバイザに対する ERSPAN はサポートされていません。

  • ERSPAN での IPv6 ベースのルーティングおよび IPv6 UDF はサポートされていません。

• ERSPAN は次をサポートしています。

  • 4 ～ 6 個のトンネル

  • トンネルなしパケット

  • IP-in-IP トンネル

  • IPv4 トンネル（制限あり）

  • Cisco Nexus 3000 シリーズ スイッチでは、ERSPAN 送信元セッションと一致するパケットのスパニングに汎用 GRE ERSPAN ヘッダー形式を使用します。この形式は、Cisco ERSPAN タイプ 1/2/3 ヘッダー形式に準拠していません。Cisco ASIC ベースのプラットフォームでは、Cisco ERSPAN カプセル化形式タイプに準拠した ERSPAN パケットに対してのみ ERSPAN 終端およびカプセル化解除がサポートされます。したがって、Cisco Nexus 3000 シリーズ スイッチから CISCO ASIC ベース スイッチのローカル宛先 IP アドレスに対して発信される ERSPAN パケットは ERSPAN 終端フィルタと一致しません。宛先 IP アドレスが Cisco ASIC プラットフォーム上のローカル IP アドレスでもある場合、ERSPAN パケットはソフトウェアに送信され、ソフトウェアでドロップされます。

  • ERSPAN 宛先セッション タイプ（ただし、ERSPAN パケットのカプセル化を解除するためのサポートは使用できません。カプセル化されたパケット全体は、ERSPAN 終端ポイントの前面パネル ポートにスパンされます）。

• ERSPAN パケットは、カプセル化されたミラー パケットがレイヤ 2 MTU のチェックに失敗した場合、ドロップされます。

• 出力カプセルでは 112 バイトの制限があります。この制限を超えるパケットはドロップされます。このシナリオは、トンネルとミラーリングが混在する場合に発生することがあります。

• ERSPAN セッションは複数のローカル セッションで共有されます。最大 18 セッションが設定できます。ただし、同時に動作できるのは最大 4 セッションのみです。受信ソースと送信ソースの両方が同じセッションで設定されている場合、2 セッションのみが動作できます。

• NX-OS 5.0(3)U2(2) をインストールして ERSPAN を設定し、その後でソフトウェアを以前のバージョンにダウングレードすると、ERSPAN の設定は失われます。これは、ERSPAN が NX-OS 5.0(3)U2(2) よりも前のバージョンでサポートされていないためです。

  同様の SPAN の制約事項については、SPAN の注意事項および制約事項を参照してください。

• ERSPAN および ERSPAN（ACL フィルタリングあり）は、スーパーバイザが生成したパケットではサポートされません。

• ACL フィルタリングは、Rx ERSPAN に対してのみサポートされます。Tx ERSPAN は、送信元インターフェイスで出力されるすべてのトラフィックをミラーリングします。

• ACL フィルタリングは、TCAM 幅の制限があるため、IPv6 および MAC ACL ではサポートされません。

• 同じ送信元が複数の ERSPAN セッションで設定されていて、各セッションに ACL フィルタが設定されている場合、送信元インターフェイスは、最初のアクティブ ERSPAN セッションに対してのみプログラムされます。その他のセッションに属する ACE には、この送信元インターフェイスはプログラムされません。

• 同じ送信元を使用するように ERSPAN セッションおよびローカル SPAN セッション（filter access-group および allow-sharing オプションを使用）を設定する場合は、設定を保存してスイッチをリロードすると、ローカル SPAN セッションがダウンします。

• モニタ セッションの filter access-group を使用する VLAN アクセスマップ設定では、ドロップ アクションはサポートされていません。モニタ セッションでドロップ アクションのある VLAN アクセスマップに filter access-group が設定されている場合、モニタ セッションはエラー状態になります。

• 許可 ACE と拒否 ACE は、どちらも同様に処理されます。ACE と一致するパケットは、ACL の許可エントリまたは拒否エントリを含んでいるかどうかに関係なく、ミラーリングされます。

• ERSPAN は、管理ポートではサポートされません。

• 宛先ポートは、一度に 1 つの ERSPAN セッションだけで設定できます。

• ポートを送信元ポートと宛先ポートの両方として設定することはできません。

• 1 つの ERSPAN セッションに、次の送信元を組み合わせて使用できます。

  • イーサネット ポートまたはポート チャネル（サブ インターフェイスを除く）。

  • ポート チャネル サブインターフェイスに割り当てることのできる VLAN またはポート チャネル。

  • コントロール プレーン CPU へのポート チャネル。

    （注）	ERSPAN は送信元に関係なく、スーパーバイザによって生成されるパケットをモニタしません。

• 宛先ポートはスパニングツリー インスタンスまたはレイヤ 3 プロトコルに参加しません。

• ERSPAN セッションに、送信方向または送受信方向でモニタされている送信元ポートが含まれている場合、パケットが実際にはその送信元ポートで送信されなくても、これらのポートを受け取るパケットが ERSPAN の宛先ポートに複製される可能性があります。送信元 ポート上でのこの動作の例を、次に示します。

  • フラッディングから発生するトラフィック

  • ブロードキャストおよびマルチキャスト トラフィック

• 入力と出力の両方が設定されている VLAN ERSPAN セッションでは、パケットが同じ VLAN 上でスイッチングされる場合に、宛先ポートから 2 つのパケット（入力側から 1 つ、出力側から 1 つ）が転送されます。

• VLAN ERSPAN がモニタするのは、VLAN のレイヤ 2 ポートを出入りするトラフィックだけです。

• Cisco Nexus 3000 シリーズ スイッチが ERSPAN 宛先の場合、GRE ヘッダーは、終端ポイントからミラー パケットが送信される前には削除されません。パケットは、GRE パケットである GRE ヘッダー、および GRE ペイロードである元のパケットとともに送信されます。

• ERSPAN 送信元セッションの出力インターフェイスは、show monitor session <session-number> CLI コマンドの出力に表示されるようになりました。出力インターフェイスには、物理ポートまたは port-channel を指定できます。ECMP の場合、ECMP メンバー内の 1 つのインターフェイスが出力に表示されます。この特定のインターフェイスがトラフィックの出力に使用されます。

• SPAN/ERSPAN ACL 統計情報は、show monitor filter-list コマンドを使用して表示できます。このコマンドの出力には、SPAN TCAM の統計情報とともにすべてのエントリが表示されます。ACL 名は表示されず、エントリのみ出力に表示されます。統計情報は、clear monitor filter-list statistics コマンドを使用してクリアできます。出力は、show ip access-list コマンドの出力と同様です。Cisco Nexus 3000 シリーズ スイッチは、ACL レベルごとの統計情報をサポートしていません。この機能強化は、ローカル SPAN および ERSPAN の両方でサポートされています。

• CPU とやりとりされるトラフィックはスパニングされます。その他のインターフェイス SPAN に似ています。この機能強化は、ローカル SPAN でのみサポートされています。ACL 送信元ではサポートされていません。Cisco Nexus 3000 シリーズ スイッチは、CPU から送信される（RCPU.dest_port != 0）ヘッダー付きのパケットはスパニングしません。

• SPAN 転送ドロップ トラフィックの場合、フォワーディング プレーンにおけるさまざまな原因でドロップされるパケットのみ SPAN されます。この機能強化は、ERSPAN 送信元セッションでのみサポートされています。SPAN ACL、送信元 VLAN、および送信元インターフェイスとともにはサポートされません。SPAN のドロップ トラフィックには、3 つの ACL エントリがインストールされます。ドロップ エントリに優先度を設定して、その他のモニタ セッションの SPAN ACL エントリや VLAN SPAN エントリよりも高いまたは低い優先度にすることができます。デフォルトでは、ドロップ エントリの優先度の方が高くなります。

• SPAN UDF（ユーザ定義フィールド）ベースの ACL サポート

  • パケットの最初の 128 バイトのパケット ヘッダーまたはペイロード（一定の長さ制限あり）を照合できます。

  • 照合のために、特定のオフセットと長さを指定して UDF を定義できます。

  • 1 バイトまたは 2 バイトの長さのみ照合できます。

  • 最大 8 個の UDF がサポートされます。

  • 追加の UDF 一致基準が ACL に追加されます。

  • UDF 一致基準は、SPAN ACL に対してのみ設定できます。この機能強化は、その他の ACL 機能（RACL、PACL、および VACL）ではサポートされていません。

  • ACE ごとに最大 8 個の UDF 一致基準を指定できます。

  • UDF および HTTP リダイレクト設定を、同じ ACL に共存させることはできません。

  • UDF 名は、SPAN TCAM に適合している必要があります。

  • UDF は、SPAN TCAM によって認定されている場合のみ有効です。

  • UDF 定義の設定および SPAN TCAM での UDF 名の認定では、copy r s コマンドを使用して、リロードする必要があります。

  • UDF の照合は、ローカル SPAN と ERSPAN 送信元セッションの両方でサポートされています。

  • UDF 名の長さは最大 16 文字です。

  • UDF のオフセットは 0（ゼロ）から始まります。オフセットが奇数で指定されている場合、ソフトウェアの 1 つの UDF 定義に対して、ハードウェアで 2 つの UDF が使用されます。ハードウェアで使用している UDF の数が 8 を超えると、その設定は拒否されます。

  • UDF の照合では、SPAN TCAM リージョンが倍幅になる必要があります。そのため、その他の TCAM リージョンのサイズを減らして、SPAN の領域を確保する必要があります。

  • SPAN UDF は、タップ アグリゲーション モードではサポートされていません。

• erspan-src セッションに sup-eth 送信元インターフェイスが設定されている場合、acl-span を送信元としてそのセッションに追加することはできません（その逆も同様）。

• ERSPAN 送信元および ERSPAN 宛先セッションでは、専用のループバック インターフェイスを使用する必要があります。そのようなループバック インターフェイスには、どのようなコントロール プレーン プロトコルも使用しません。

• ERSPAN マーケットパケット UDP データ ペイロードは、Cisco Nexus 3000 シリーズ スイッチで 58 バイトです。

次の表に、ERSPAN パラメータのデフォルト設定を示します。

次に、ERSPAN 送信元セッションを設定する例を示します。

switch# config t
switch(config)# interface e14/30
switch(config-if)# no shut
switch(config-if)# exit
switch(config)# monitor erspan origin ip-address 3.3.3.3 global
switch(config)# monitor session 1 type erspan-source
switch(config-erspan-src)# filter access-group acl1
switch(config-erspan-src)# source interface e14/30
switch(config-erspan-src)# ip ttl 16
switch(config-erspan-src)# ip dscp 5
switch(config-erspan-src)# vrf default
switch(config-erspan-src)# destination ip 9.1.1.2
switch(config-erspan-src)# no shut
switch(config-erspan-src)# exit
switch(config)# show monitor session 1

次に、ERSPAN ACL を設定する例を示します。

switch# configure terminal
switch(config)# ip access-list match_11_pkts
switch(config-acl)# permit ip 11.0.0.0 0.255.255.255 any
switch(config-acl)# exit
switch(config)# ip access-list match_12_pkts
switch(config-acl)# permit ip 12.0.0.0 0.255.255.255 any
switch(config-acl)# exit
switch(config)# vlan access-map erspan_filter 5
switch(config-access-map)# match ip address match_11_pkts
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# vlan access-map erspan_filter 10
switch(config-access-map)# match ip address match_12_pkts
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# monitor session 1 type erspan-source
switch(config-erspan-src)# filter access_group erspan_filter

次に、以下の一致基準を使用して、カプセル化された IP-in-IP パケットの内部 TCP フラグで照合する UDF ベース ERSPAN を設定する例を示します。

• 外部送信元 IP アドレス：10.0.0.2

• 内部 TCP フラグ：緊急 TCP フラグを設定

• バイト：Eth Hdr（14）+ 外部 IP（20）+ 内部 IP（20）+ 内部 TCP（20、ただし、13 番目のバイトの TCP フラグ）

• パケットの先頭からのオフセット：14 + 20 + 20 + 13 = 67

• UDF の照合値：0x20

• UDF マスク：0xFF

udf udf_tcpflags packet-start 67 1
hardware access-list tcam region racl qualify udf udf_tcpflags
copy running-config startup-config
reload
ip access-list acl-udf
	 permit ip 10.0.0.2/32 any udf udf_tcpflags 0x20 0xff
monitor session 1 type erspan-source
  source interface Ethernet 1/1
  filter access-group acl-udf

次に、以下の一致基準を使用して、レイヤ 4 ヘッダーの先頭から 6 バイト目のパケット署名（DEADBEEF）と通常の IP パケットを照合する UDF ベース ERSPAN を設定する例を示します。

• 外部送信元 IP アドレス：10.0.0.2

• 内部 TCP フラグ：緊急 TCP フラグを設定

• バイト：Eth Hdr（14）+ IP（20）+ TCP（20）+ ペイロード：112233445566DEADBEEF7788

• レイヤ 4 ヘッダーの先頭からのオフセット：20 + 6 = 26

• UDF の照合値：0xDEADBEEF（2 バイトのチャンクおよび 2 つの UDF に分割）

• UDF マスク：0xFFFFFFFF

udf udf_pktsig_msb header outer l3 26 2
udf udf_pktsig_lsb header outer l3 28 2
hardware access-list tcam region racl qualify udf udf_pktsig_msb udf_pktsig_lsb
copy running-config startup-config
reload
ip access-list acl-udf-pktsig
		permit udf udf_pktsig_msb 0xDEAD 0xFFFF udf udf_pktsig_lsb 0xBEEF 0xFFFF 
monitor session 1 type erspan-source
		source interface Ethernet 1/1
		filter access-group acl-udf-pktsig