グローバル プロトコル パケット ポリシングの制約事項
• platform qos protocol arp police コマンドでサポートされている最小値は、実稼働ネットワークでは小さすぎます。
• ARP パケットの長さは約 40 バイトで、ARP 応答パケットの長さは約 60 バイトです。ポリサー レート値の単位はビット/秒です。バースト値の単位はバイト/秒です。まとめると、ARP 要求および応答は、約 800 ビットです。
• 設定したレート制限は、PFC および各 DFC に別々に適用されます。RP CPU は、設定値にフォワーディング エンジンの数を乗算した数を受け取ります。
• ポリシー ベースのプロトコル パケット ポリシングは、フォワーディング エンジン(PFC およびすべての DFC)ごとに適用されます。
• Supervisor Engine 2T を使用する場合、ポリシー ベースのプロトコル パケット ポリシングは、分散集約ポリシングをサポートします(を参照)。
• プロトコル パケット ポリシング メカニズムは、ラインレート ARP 攻撃などの攻撃から RP CPU を事実上保護しますが、スイッチ へのルーティング プロトコルと ARP パケットの両方をポリシングし、CoPP を下回る粒度で、スイッチを介するトラフィックをポリシングします。
• ポリシング メカニズムとポリシング回避メカニズムは、ルート設定を共有します。ポリシング回避メカニズムでは、ルーティング プロトコルと ARP パケットが、QoS ポリサーに達したとき、ネットワークを流れます。このメカニズムは、platform qos protocol protocol_name pass-through コマンドを使用して設定できます。
• ポリシー ベースのプロトコル パケット ポリシングは、マイクロフロー ポリサーをサポートしていません。
• 入力ポリシー ベースのプロトコル パケット ポリシングだけがサポートされています。
• ポリシー ベースのプロトコル パケット ポリシングは、レイヤ 4 ACL 演算子(を参照)をサポートしていません。この結果、さらに、次の制限が課されます。
– IPv4 トラフィックまたは IPv6 トラフィックで、UDP または TCP のポート範囲マッチングがサポートしません
– IPv6 トラフィックで、優先順位または DSCP のマッチングがサポートされません
• プロトコル パケット ポリシング ポリシーでは、QoS ポリシーと、1 つの集約ポリサーを共有できます。
• 集約ポリサーは、入力トラフィックと出力トラフィックの両方には適用できません。
• Supervisor Engine 2T を使用する場合、ポリシー ベースのプロトコル パケット ポリシングでは、最大 1,000 個のグローバル TCAM エントリをサポートします。
• ポリシー ベースのプロトコル パケット ポリシングでは、 class default and permit protocol_name any any コマンドをサポートしていますが、プロトコル パケット ポリシング ポリシーでは、一致するすべてのトラフィックを処理するため、トラフィック フローに大きく影響することがあります。
• Supervisor Engine 2T を使用する場合、ポリシー ベースのプロトコル パケット ポリシングは、設定されている任意のポートの信頼状態で動作します。
• 単一コマンドのプロトコル パケット ポリシングとポリシー ベースのプロトコル パケット ポリシングの両方を設定できます。単一コマンドのプロトコル パケット ポリシングが最初に適用され、次に、ポリシー ベースのプロトコル パケット ポリシングが適用されます。
(注) ソフトウェアでは、単一コマンドのプロトコル パケット ポリシングとポリシー ベースのプロトコル パケット ポリシングの間にある設定の不整合を検出せず、解決も試みません。
• ポリシー ベースのプロトコル パケット ポリシングとコントロール プレーン ポリシングの両方を設定できます( を参照)。ポリシー ベースのプロトコル パケット ポリシングが最初に適用され、次に、CoPP が適用されます。
• 単一コマンドのプロトコル パケット ポリシングは、入力トラフィック用に設定されたプロトコル固有のアクションをプログラムし、入力結果の出力トラフィックを維持するために、対応する出力トラフィックパススルー アクションを自動的にプログラムします。
• ポリシー ベースのプロトコル パケット ポリシングでは、出力トラフィックで入力ポリシングの結果を自動的に保持しません。
– ポリシー ベースのプロトコル パケット ポリシングを使用して、出力トラフィックで入力ポリシングの結果を保持するには、適切な出力ポリシーを設定します。出力トラフィックを未変更で渡すには、出力ポリシー内の各入力クラスを複製し、クラス マップのアクションとして trust dscp を設定します。
– 出力ポリシーマップがない場合、出力トラフィックは、設定された任意のインターフェイス ベース ポリシーマップによって処理され、入力のグローバル ポリシーの結果は上書きされます。
• PFC および任意の DFC は、 class-map match-all クラス マップで単一の match コマンドをサポートします。ただし、 match protocol コマンドは、 match dscp または match precedence コマンドによってクラス マップに設定できます。
• PFC および任意の DFC は、 class-map match-any クラス マップで複数の match コマンドをサポートします。
• クラス マップでは、 表 76-1 に記載されている match コマンドを使用して、一致基準に基づくトラフィック クラスを設定できます。
PFC および任意の DFC は、 match access group コマンドで使用するために、次の ACL タイプをサポートしています。
|
|
|
|
IPv4 |
Yes: 1 ~ 99 1300 ~ 1999 |
Yes: 100 ~ 199 2000 ~ 2699 |
Yes |
IPv6 |
N/A |
Yes(名前付き) |
Yes |
MAC レイヤ |
N/A |
N/A |
Yes |
ARP |
N/A |
N/A |
Yes |