Cisco IOS セキュリティ コンフィギュレーション ガ イド: コントロール プレーン セキュリティ
コントロール プレーン ポリシング
コントロール プレーン ポリシング
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

コントロール プレーン ポリシング

機能情報の確認

この章の構成

コントロール プレーン ポリシングの前提条件

コントロール プレーン ポリシングの制約事項

コントロール プレーン ポリシングに関する情報

コントロール プレーン ポリシングの利点

理解すべき用語

コントロール プレーン セキュリティとパケット QoS の概要

集約コントロール プレーン サービス

分散コントロール プレーン サービス

分散 CP サービスの使用方法

出力レート制限とサイレント モード動作

コントロール プレーン ポリシングの使用方法

集約コントロール プレーン サービスの定義

前提条件

制約事項

分散コントロール プレーン サービスの定義

前提条件

制約事項

集約コントロール プレーン サービスの確認

分散コントロール プレーン サービスの確認

コントロール プレーン ポリシングの設定例

入力 Telnet トラフィックに対するコントロール プレーン ポリシングの設定例

出力 ICMP トラフィックに対するコントロール プレーン ポリシングの設定例

その他の関連資料

関連マニュアル

標準

MIB

RFC

テクニカル サポート

コマンド リファレンス

コントロール プレーン ポリシングの機能情報

コントロール プレーン ポリシング

コントロール プレーン ポリシング機能により、ユーザは、コントロール プレーン パケットのトラフィック フローを管理する Quality Of Service(QoS)フィルタを設定して、偵察行為や Denial-of-Service(DoS; サービス拒絶)攻撃から Cisco IOS ルータおよびスイッチを保護できます。このように、ルータやスイッチに対する攻撃や大量トラフィック負荷があったとしても、Control Plane(CP; コントロール プレーン)を利用してパケット転送とプロトコル ステートを維持することができます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「コントロール プレーン ポリシングの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

コントロール プレーン ポリシングの前提条件

Modular Quality of Service(QoS)Command-Line interface(CLI; コマンドライン インターフェイス)(MQC; モジュラ QoS コマンドライン インターフェイス)を使用して、コントロール プレーン ポリシング機能が持つパケット分類とポリシングの機能を設定します。

Control Plane Policing(CoPP; コントロール プレーン ポリシング)を設定する前に、MQC の使用手順を理解する必要があります。MQC の詳細については、『 Applying QoS Features Using the MQC 』モジュールを参照してください。

コントロール プレーン ポリシングの制約事項

集約型と分散型のコントロール プレーン ポリシング

集約ポリシングは、Cisco IOS Release 12.0(29)S、Cisco IOS Release 12.2(18)S、Cisco IOS Release 12.3(4)T、および以降のリリースでサポートされています。

分散ポリシングは、Cisco IOS Release 12.0(30)S およびそれ以降の Cisco IOS 12.0S リリースでだけサポートされています。

出力レート制限サポート

出力レート制限は、サイレント(パケット廃棄)モードで実行されます。サイレント モードでは、ルータが、 service-policy output コマンドで出力コントロール プレーン トラフィックに適用されたポリシー マップに従ってパケットを自動的に廃棄できます。詳細については、「出力レート制限とサイレント モード動作」を参照してください。

サイレント モードでの出力レート制限(ポリシング)は、次のリリースだけでサポートされます。

Cisco IOS Release 12.2(25)S およびそれ以降の Cisco IOS 12.2S リリース

Cisco IOS Release 12.3(4)T およびそれ以降の Cisco IOS 12.3T リリース

出力レート制限は、Cisco IOS 12.0S リリースまたは Cisco IOS 12.2SX リリースの分散コントロール プレーン サービスではサポートされません。

出力レート制限は、Cisco 7500 シリーズおよび Cisco 10720 インターネット ルータ上ではサポートされません。

MQC の制約事項

コントロール プレーン ポリシング機能では、MQC によりパケット分類とポリシングを設定する必要があります。MQC を使用してポリシングを設定するときに適用されるすべての制約事項が、コントロール プレーン ポリシングの設定時にも適用されます。ポリシー マップでは、 police drop の 2 つの MQC アクションだけがサポートされます。


) Cisco 10720 インターネット ルータ上では、police コマンドだけがポリシー マップでサポートされ、drop コマンドはサポートされません。また、Cisco 10720 コントロール プレーンに付加された QoS サービス ポリシー内の police コマンドでは、set アクションが conform-actionexceed-action、および violate-action パラメータの引数としてサポートされません。


Network-Based Application Recognition(NBAR)分類を必要とする機能は、コントロール プレーン レベルで適切に機能しない場合があります。次の分類(一致)基準は、すべてのプラットフォームでサポートされます。

標準および拡張 IP アクセス リスト(ACL)

クラスマップ コンフィギュレーション モードの場合: match ip dscp match ip precedence match protocol arp 、および match protocol pppoe の各コマンド


) Cisco IOS 12.2SX リリースでは、match protocol arp コマンドはサポートされません。


Cisco 10720 インターネット ルータ上では、 match input-interface match mpls experimental match protocol ipv6 、および match qos-group の各 MQC コマンドもサポートされます。これらのコマンドを Cisco 10720 インターネット ルータ上でコントロール プレーン ポリシングに使用する場合、次の制約事項に注意してください。

一致基準によるパケット分類は、Cisco 10720 データ パスで分類できないパケット(未知のレイヤ 2 カプセル化や IP オプションなど)に対してサポートされません。

次の IPv6 フィールドは、Cisco 10720 インターネット ルータ上での IPv6 QoS のパケット分類でサポートされないため、コントロール プレーン ポリシングでもサポートされません。

IPv6 の送信元アドレスおよび宛先アドレス

レイヤ 2 Class of Service(CoS; サービス クラス)

IPv6 ルーティング ヘッダー フラグ

IPv6 未決定転送フラグ

IPv6 フロー ラベル

IP Real-Time transport Protocol(RTP; リアルタイム トランスポート プロトコル)


) Cisco 10720 インターネット ルータ上での QoS パケット分類でサポートされないパケットは、コントロール プレーン ポリシング用のデフォルトのトラフィック クラスでポリシングされません。


CISCO-CLASS-BASED-QOS-MIB によるコントロール プレーンのサポート

Cisco IOS Release 12.3(7)T およびそれ以降の Cisco IOS 12.3T リリースでは、CISCO-CLASS-BASED-QOS-MIB が、コントロール プレーン QoS ポリシーを管理し、コントロール プレーンに関する情報を提供するように拡張されます。

Cisco IOS Release 12.2(18)SXD1

Cisco IOS Release 12.2(18)SXD1 およびそれ以降のリリースでは、コントロール プレーン ポリシング用のハードウェア コントロール プレーン インターフェイスに次の制約事項があります。

Supervisor Engine 720 でだけサポートされます。Supervisor Engine 2 ではサポートされません。

CoPP 出力レート制限(ポリシング)をサポートしません。

CoPP サイレント動作モードをサポートしません。

Cisco IOS Release 12.2(18)SXD1 およびそれ以降のリリースでは、すべての DFC 搭載スイッチング モジュールに CoPP サービス ポリシーが自動的にインストールされます。

Cisco IOS Release 12.2(18)SXD1 およびそれ以降のリリースでのコントロール プレーン ポリシングの詳細については、次のマニュアルのいずれかを参照してください。

Catalyst 6500 シリーズ スイッチの場合は、『 Configuring Control Plane Policing (CoPP) 』モジュールを参照してください。

Cisco 7600 シリーズ ルータの場合は、『 Configuring Denial of Service Protection 』モジュールを参照してください。

コントロール プレーン ポリシングに関する情報

コントロール プレーン ポリシング機能を設定するには、次の概念を理解しておく必要があります。

「コントロール プレーン ポリシングの利点」

「理解すべき用語」

「コントロール プレーン セキュリティとパケット QoS の概要」

「集約コントロール プレーン サービス」

「分散コントロール プレーン サービス」

「分散 CP サービスの使用方法」

「出力レート制限とサイレント モード動作」

コントロール プレーン ポリシングの利点

シスコ製のルータまたはスイッチ上でコントロール プレーン ポリシング機能を設定すると、次の効果が得られます。

インフラストラクチャのルータおよびスイッチに対する DoS 攻撃からの保護

シスコ製のルータまたはスイッチのコントロール プレーン宛てに送信されるパケットに対する QoS 制御

コントロール プレーン ポリシーの設定の容易さ

プラットフォームの信頼性と可用性の向上

理解すべき用語

プラットフォームごとにアーキテクチャが異なることがあるため、次の一連の用語が定義されます。図 1 に、コントロール プレーン ポリシングがどのように動作するかを示します。

図 1 ルータ上のコントロール プレーン、中央スイッチ エンジン、分散スイッチ エンジン、およびライン カードのレイアウト


 

コントロール プレーン(CP):Route Processor(RP; ルート プロセッサ)上でプロセス レベルで稼動するプロセスの集合。これらのプロセスがまとまって、Cisco IOS 機能を高いレベルで制御します。

中央スイッチ エンジン:IP パケットの高速ルーティングを行うデバイス。また、通常、非分散インターフェイスの高速入出力サービスも実行します (非分散ラインカードを参照)。中央スイッチ エンジンは、ルータ上のすべてのインターフェイスに集約 CP 保護を実装するために使用されます。


) CP 宛てに送信されるすべての IP パケットは、プロセス レベルに転送される前に中央スイッチ エンジンを通過します。


Cisco 10720 インターネット ルータの場合、コントロール プレーン ポリシングは、Cisco Parallel eXpress Forwarding(PXF)上に Toaster ベースのアーキテクチャで実装されます。PXF は、ルート プロセッサより高いレートでトラフィックをフィルタできるハードウェアベースの中央スイッチ エンジンです。PXF は、ルート プロセッサから独立してすべてのデータ トラフィックをスイッチングします。PXF によるパケット処理は、図 1 に示されている非分散ラインカードとルート プロセッサとの間で実施されます。通常のパントの実行に加え、PXF は、割り込みレベルでの処理をさらに行うために特定のタイプのパケット(未知のレイヤ 2 カプセル化や IP オプション付きパケットなど)を RP にパントすることも行います。


) Cisco 10720 インターネット ルータの場合、ip option drop コマンドを使用して、PXF により RP にパントされる IP オプション付き IPv4 パケットを廃棄することにより、強化された RP 保護を設定できます。トンネル化 IPv4 パケットと未サポートのカプセル化方法による IPv4 パケットは廃棄されません。詳細については、『ACL IP Options Selective Drop』モジュールを参照してください。


分散スイッチ エンジン:中央スイッチ エンジンのリソースを使用せずに、分散ライン カード上で IP パケットの高速スイッチングを行うデバイス。また、通常、ライン カードの入出力サービスも実行します。各分散スイッチ エンジンを使用して、ライン カード上のすべてのポートに分散 CP サービスが実装されます。入力 CP サービスは、複数のライン カード間で処理負荷を分散し、中央スイッチ エンジンの稼動に必要なリソースを節約します。分散 CP サービスはオプションですが、使用することにより、集約サービスよりきめ細かいサービスを実現できます。

非分散ライン カード:パケットの受信を行うラインカード。場合によっては入出力サービスも実行します。すべてのパケットは、ルーティングまたはスイッチングの判定のために、中央スイッチ エンジンに転送される必要があります。集約 CP サービスは、非分散ライン カードを対象とします。


) 分散 CP サービスは、Cisco IOS Release 12.0(30)S およびそれ以降の 12.0S リリースだけでサポートされます。


コントロール プレーン セキュリティとパケット QoS の概要

ルータ上の CP を DoS 攻撃から保護するため、およびパケット QoS を提供するために、コントロール プレーン ポリシング機能では、CP を、それぞれ独自の入力ポートと出力ポート(ルータとスイッチ上のポートのようなもの)を持つ独立したエンティティとして扱います。コントロール プレーン ポリシング機能では CP が独立したエンティティとして扱われるため、一連の規則を作成し、それを CP の入力ポートと出力ポートに関連付けることができます。

これらの規則は、パケットの宛先がその CP であると判定された後またはパケットがその CP から出て行くときにだけ適用されます。したがって、指定したレート制限に到達した後に不要なパケットがそれ以上進むことがないようにサービス ポリシーを設定できます。たとえば、システム管理者は、CP 宛てのすべての TCP/SYN パケットを 1 メガビット/秒の最大レートに制限できます。

入力 CP サービスは、ルータ入力ポート サービスが実行され、入力パスに関するルーティングの決定が行われた後に実行されます。図 2 に示すように、CP セキュリティとパケット QoS は次のレベルで適用されます。

中央スイッチ エンジンごとの集約レベル。ルータ上のすべてのライン カードから受信されるすべての CP パケットに適用されます(「集約コントロール プレーン サービス」を参照)。

ライン カードの分散スイッチ エンジンごとの分散レベル。ライン カード上のすべてのインターフェイスから受信されるすべての CP パケットに適用されます(「分散コントロール プレーン サービス」を参照)。

図 2 入力コントロール プレーン サービス:集約サービスと分散サービス

 

次のタイプのレイヤ 3 パケットは、コントロール プレーンに転送され、集約および分散のコントロール プレーン ポリシングで処理されます。

ルーティング プロトコル制御パケット

ルータのローカル IP アドレス宛てのパケット

管理プロトコル(Simple Network Management Protocol [SNMP; 簡易ネットワーク管理プロトコル]、Telnet、Secure Shell [SSH; セキュア シェル] など)のパケット


) レイヤ 3 制御パケットは、コントロール プレーン宛ての他のパケット タイプよりプライオリティを必ず高くしてください。


集約コントロール プレーン サービス

集約コントロール プレーン サービスは、ルータ上のすべてのラインカード インターフェイスから受信されるすべての CP パケットに対してコントロール プレーン ポリシングを提供します。

中央スイッチ エンジンは、通常の入力ポート サービスを実行し、着信パケットのルーティングを決定します。パケットの宛先が CP になる場合、集約サービスが実行されます。すべてのライン カードからの CP トラフィックは集約 CP サービスを通過しなければならないため、集約 CP サービスは CP に到達する CP トラフィックの累積量を管理します。

集約 CP サービスの手順は、次のとおりです。

1. ライン カードは、パケットを受信し、中央スイッチ エンジンに配送します。


) ハードウェアレベルのポリシングまたはプラットフォーム固有の集約ポリシングをサポートするプラットフォームでは、パケットが中央スイッチ エンジンに送信される前に、追加の処理が必要な場合があります。パケットは、一般的な Cisco IOS チェックを受ける前に、複数のチェックを受ける可能性があります。


2. インターフェイスは、通常の(インターフェイスレベルの)入力ポート サービスと QoS を実行します。

3. 中央スイッチ エンジンは、レイヤ 3 スイッチングを実行するか、ルーティングの決定を行います。それにより、パケットが CP 宛てかどうかを判定します。

4. 中央スイッチ エンジンは、集約 CP サービスをすべての CP パケットに対して実行します。

5. 集約 CP サービスの結果に基づき、中央スイッチ エンジンは、パケットを廃棄するか、最終処理のためにパケットを CP に配送します。

集約 CP サービスの機能の重要点

次のリストは、集約 CP サービスの機能の重要点を示しています。

集約 CP サービスは、1 つの入力インターフェイス(CP など)に定義され、1 台のルータ上のすべてのポートに対する集約を表します。

モジュラ QoS を使用して CP サービスを定義します。DoS 攻撃からの保護とパケット QoS の両方を目的としたクラス マップとポリシー マップを 1 つの集約 CP サービス ポリシーに定義します。

モジュラ QoS では、1 つの不良ポートがすべての割り当て帯域幅を占有するのを防ぐことはできません。インターフェイスまたはサブインターフェイスと一致するクラス マップにより、インターフェイス固有のポリシー マップによる各インターフェイスの影響を抑制できる場合があります。

分散コントロール プレーン サービス

分散コントロール プレーン サービスは、ライン カード上のインターフェイスから受信されるすべての CP パケットに対してコントロール プレーン ポリシングを提供します。

分散スイッチ エンジンは、通常の入力ポート サービスを実行し、パケットのルーティングを決定します。パケットの宛先が CP になる場合、分散 CP サービスが実行されます。その後、各ライン カードからの CP トラフィックは、集約 CP サービスが適用される中央スイッチ エンジンに転送されます。


) 分散 CP サービスは、条件付きパケットを中央スイッチ エンジンに転送することもあります。この場合、集約 CP サービスは、条件付き CP トラフィックに対しても実行されます。


分散 CP サービスの手順は、次のとおりです。

1. ライン カードは、パケットを受信し、分散スイッチ エンジンに配送します。

2. 分散スイッチ エンジンは、通常の(インターフェイスレベルの)入力ポート サービスと QoS を実行します。

3. 分散スイッチ エンジンは、レイヤ 2 またはレイヤ 3 スイッチングを実行するか、ルーティングの決定を行います。それにより、パケットが CP 宛てかどうかを判定します。

4. 分散スイッチ エンジンは、分散 CP サービスをすべての CP パケットに対して実行します。

5. 分散 CP サービスの結果に基づき、分散スイッチ エンジンは、パケットを廃棄するか、さらなる処理のためにパケットをマークキングして中央スイッチ エンジンに配送します。

6. 中央スイッチ エンジンは、集約 CP サービスを実行し、最終処理のためにパケットを CP に配送します。

分散 CP サービスの機能の重要点

次のリストは、分散 CP サービスの機能の重要点を示しています。

分散 CP サービスは、1 つの入力インターフェイス(分散 CP など)に定義され、1 つのライン カード上のすべてのポートに対する集約を表します。

MQC を使用して CP サービスを定義します。DoS 攻撃からの保護とパケット QoS の両方を目的としたクラス マップとポリシー マップを 1 つの分散 CP サービス ポリシーに定義します。各ライン カードには、トラフィック分類、QoS ポリシー、および DoS サービスをそのライン カード上のすべてのポートから受信されるパケットに集約的に適用する独自の CP サービス ポリシーを与えることができます。

MQC では、1 つの不良ポートがライン カード上のすべての割り当て帯域幅を占有するのを防ぐことはできません。インターフェイスまたはサブインターフェイスと一致するクラス マップにより、インターフェイス固有のポリシー マップによる各インターフェイスの影響を抑制できる場合があります。

分散 CP サービスでは、ライン カードから中央スイッチ エンジンに転送される CP パケットの数を制限できます。ルータ上のすべてのライン カードから受信される CP パケットの総数は、集約 CP の水準を超える場合があります。

分散 CP サービスの使用方法

CP 保護とパケット QoS の目的は、コントロール プレーンに到達するパケットを十分に抑制することです。このレベルの CP 保護を正しく設定するには、次の作業を行う必要があります。

MQC を使用して従来の QoS サービスを CP パケットに適用します。

コントロール プレーンへのパスをリソースの枯渇による無差別のパケット廃棄から保護します。ユーザ定義の QoS ポリシーに従って廃棄されないパケットがリソースの制限により廃棄される場合、その QoS ポリシーは維持されません。

分散 CP サービスでは、ラインカード レベルで実施される特定の CP サービスを設定でき、それらは次の場合に必要です。

DoS 攻撃を受けている間に、ラインカードのリソースが尽きる可能性がある場合。この場合、重要なパケットを識別する廃棄ポリシーを設定する必要があります。この廃棄ポリシーにより、すべての重要パケットが集約 CP 保護のための中央スイッチ エンジンに到達し、その後に CP に到達することが保証されます。分散 CP サービスにより、ルータは、リソースが尽きたときに適切な廃棄ポリシーを適用することができ、その結果、必要な QoS プライオリティを維持することができます。ライン カードが無差別にパケットを廃棄すると、集約 CP フィルタの効果がなくなり、QoS プライオリティが維持されなくなります。

1 つのインターフェイスによりすべての集約 CP リソースが占有されることを阻止できない場合。1 つのポートに対する DoS 攻撃が、他のポートからのトラフィックを処理している CP に悪影響を及ぼすことがあります。分散 CP サービスを使用すれば、ライン カードによって CP に転送される重要トラフィックの量を制限できます。たとえば、すべてのライン カードの合成されたレートが集約レートと比べてオーバーサブスクライブされる階層化アプローチを設定できます。個々のライン カードのレートは集約レートより小さくなりますが、すべてのライン カードのレートは組み合わせると集約レートを超えます。このオーバーサブスクリプション モデルは、他のリソース関連の機能で一般的に使用されているものであり、任意の 1 つのライン カードからの CP パケットの影響を制限するのに役立ちます。

分散 CP サービスによりスロットレベル(ライン カード)のフィルタリングを実現する場合。カスタマー方向インターフェイスは、バックボーン デバイスへのネットワーク方向インターフェイスより高いセキュリティ要件を持つ場合があります(制約事項が多いためまたは課金上の理由から)。

分散 CP 保護ではラインカードごとにパケット フィルタを設定できることから、ライン カード上でサイクルを処理することにより、集約レベルの処理をオフロードできる場合。Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)を使用するインターフェイスに対して BGP フィルタリングを分散レベルで設定できます。それにより、集約レベルではパケットを残りのフィルタ要件でフィルタリングすればよくなります。あるいは、パケットがチェック済みであることを集約フィルタに通知する分散パケット マーキング方式を採用して、分散 CP サービスと集約 CP サービスに同一のフィルタを設定することもできます。分散 CP サービスが処理を行うことにより、集約処理はさらに低減され、集約 CP サービスの負荷を大幅に減らすことができます。

出力レート制限とサイレント モード動作

service-policy output policy-map-name コマンドを使用してコントロール プレーン トラフィックに出力ポリシングを設定した場合、ルータがパケットを静かに廃棄するように自動的に設定されます。

CP からの出力トラフィックのレート制限(ポリシング)は、サイレント モードで実行されます。サイレント モードでは、Cisco IOS ソフトウェアを稼動しているルータは、いかなるシステム メッセージも送信せずに動作します。コントロール プレーンから出て行くパケットが出力ポリシングで廃棄されても、エラー メッセージを受け取ることはありません。

コントロール プレーン ポリシングが出力トラフィックに設定されると、次の場合にエラー メッセージが生成されません。

ルータが待ち受けていないポートにトラフィックが送信されている場合

要求の形式に誤りがあるために正規のアドレスとポートへの接続が拒否される場合


) サイレント モード機能と CP トラフィックに対する出力ポリシングは、次のリリースだけでサポートされます。

Cisco IOS Release 12.2(25)S およびそれ以降の Cisco IOS 12.2S リリース

Cisco IOS Release 12.3(4)T およびそれ以降の Cisco IOS 12.3T リリース

サイレント モードと CP トラフィックに対する出力ポリシングは、分散コントロール プレーン サービスではサポートされません。


 

コントロール プレーン ポリシングの使用方法

ここでは、次の手順について説明します。

「集約コントロール プレーン サービスの定義」(必須)

「分散コントロール プレーン サービスの定義」(必須)

「集約コントロール プレーン サービスの確認」(任意)

「分散コントロール プレーン サービスの確認」(任意)

集約コントロール プレーン サービスの定義

アクティブなルート プロセッサに集約 CP サービス(パケット レート制御やサイレント パケット廃棄など)を設定するには、次の手順を実行します。

前提条件

コントロールプレーンのコンフィギュレーション モードを開始して既存の QoS ポリシーをコントロール プレーンに付加する前に、MQC でポリシーを作成してコントロール プレーン トラフィック用のクラス マップとポリシー マップを定義しておく必要があります。

トラフィックを分類し、QoS ポリシーを作成する方法の詳細については、『 Applying QoS Features Using the MQC 』モジュールを参照してください。

制約事項

プラットフォーム固有の制約事項は、あるとしても、サービス ポリシーがコントロール プレーン インターフェイスに適用されるときにチェックされます。

出力ポリシングは、Cisco IOS Release 12.3(4)T およびそれ以降の T トレイン リリースだけでサポートされます (出力ポリシングにパフォーマンス上の利点はないことに注意してください。単にデバイスから出て行く情報を制御するだけです)。

手順の概要

1. enable

2. configure terminal

3. control-plane

4. service-policy { input | output } policy-map-name

5. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

control-plane

 

Router(config)# control-plane

コントロールプレーン コンフィギュレーション モードを開始します(ステップ 4 の前提条件)。

ステップ 4

service-policy { input | output } policy-map-name

 

Router(config-cp)# service-policy input control-plane-policy

QoS サービス ポリシーをコントロール プレーンに付加します。次の点に注意してください。

input :指定したサービス ポリシーをコントロール プレーンで受信されるパケットに適用します。

output :指定したサービス ポリシーをコントロール プレーンから送信されるパケットに適用し、ルータがパケットを静かに廃棄できるようにします。

policy-map-name :付加されるサービス ポリシー マップ( policy-map コマンドで作成)の名前。この名前には、40 文字までの英数字を使用できます。

ステップ 5

end

 

Router(config-cp)# end

(任意)特権 EXEC モードに戻ります。

分散コントロール プレーン サービスの定義

ライン カード上のインターフェイスから CP 宛てに送信されるパケットに分散 CP サービス(パケット レート制御など)を設定するには、次の手順を実行します。

前提条件

コントロールプレーンのコンフィギュレーション モードを開始して分散コントロールプレーン サービスを実行するための既存の QoS ポリシーを付加する前に、MQC でポリシーを作成してコントロールプレーン トラフィック用のクラス マップとポリシー マップを定義しておく必要があります。

トラフィックを分類し、QoS ポリシーを作成する方法の詳細については、『 Applying QoS Features Using the MQC 』モジュールを参照してください。

制約事項

プラットフォーム固有の制約事項は、あるとしても、サービス ポリシーがコントロール プレーン インターフェイスに適用されるときにチェックされます。

出力ポリシングは、Cisco IOS Release 12.3(4)T およびそれ以降の T トレイン リリースだけでサポートされます (出力ポリシングにパフォーマンス上の利点はないことに注意してください。単にデバイスから出て行く情報を制御するだけです)。

Cisco IOS 12.2SX リリースでは、Supervisor Engine 720 がすべての DFC 搭載スイッチング モジュールにサービス ポリシーを自動的にインストールします。

手順の概要

1. enable

2. configure terminal

3. control-plane [ slot slot-number ]

4. service-policy input policy-map-name

5. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

control-plane [ slot slot-number ]

 

Router(config)# control-plane slot 3

コントロールプレーン コンフィギュレーション モードを開始します。このモードでは、指定したスロットに任意で QoS ポリシー(CP トラフィックを管理するために使用される)を付加できます。

必要に応じて、 slot キーワードとスロット番号を入力します。

ステップ 4

service-policy input policy-map-name

 

Router(config-cp)# service-policy input control-plane-policy

集約 CP ポリシーが適用される前に、指定したライン カード上で CP トラフィックのフィルタリングおよび管理を実施する QoS ポリシー マップを付加します。次の点に注意してください。

input :ライン カード上のすべてのインターフェイスから受信される CP パケットに、指定したポリシー マップを分散スイッチ エンジンを使用して適用します。

policy-map-name :付加されるサービス ポリシー マップ( policy-map コマンドで作成)の名前。この名前には、40 文字までの英数字を使用できます。

ステップ 5

end

 

Router(config-cp)# end

(任意)特権 EXEC モードに戻ります。

集約コントロール プレーン サービスの確認

集約 CP サービス用にコントロール プレーンに付加されたサービス ポリシーに関する情報を表示するには、次の手順を実行します。

手順の概要

1. enable

2. show policy-map control-plane [ all] [ input [ class class-name ] | output [ class class-name ]]

3. exit

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

show policy-map control-plane [ all ] [ input [ class class-name ] | output [class class-name]]

 

Router# show policy-map control-plane all

コントロール プレーンに関する情報を表示します。次の点に注意してください。

all :(任意)集約 CP サービスと分散 CP サービスで使用されるすべての QoS ポリシーに関するサービス ポリシー情報

input :(任意)付加された入力ポリシーの統計情報

output :(任意)付加された出力ポリシーの統計情報

class class-name :(任意)設定と統計情報を表示するトラフィック クラスの名前

ステップ 3

exit

 

Router(config-cp)# exit

(任意)特権 EXEC モードを終了します。

次に、ポリシー マップ TEST がコントロール プレーンに関連付けられている例を示します。このポリシー マップでは、クラス マップ TEST と一致するトラフィックがポリシングされ、他のすべてのトラフィック(クラス マップ「class-default」と一致する)はそのまま通過します。

Router# show policy-map control-plane
 
Control Plane
 
Service-policy input:TEST
 
Class-map:TEST (match-all)
20 packets, 11280 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match:access-group 101
police:
8000 bps, 1500 limit, 1500 extended limit
conformed 15 packets, 6210 bytes; action:transmit
exceeded 5 packets, 5070 bytes; action:drop
violated 0 packets, 0 bytes; action:drop
conformed 0 bps, exceed 0 bps, violate 0 bps
 
Class-map:class-default (match-any)
105325 packets, 11415151 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match:any

分散コントロール プレーン サービスの確認

分散 CP サービスを実行するためにコントロール プレーンに付加されたサービス ポリシーに関する情報を表示するには、次の手順を実行します。

手順の概要

1. enable

2. show policy-map control-plane [ all | slot slot-number ] [ input [ class class-name ] | output [ class class-name ]]

3. exit

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

show policy-map control-plane [ all ][ slot slot-number ] [ input [ class class-name ] | output [class class-name]]

 

Router# show policy-map control-plane slot 2

ルータに分散 CP サービスを適用するために使用されるサービス ポリシーに関する情報を表示します。次の点に注意してください。

all :(任意)集約 CP サービスと分散 CP サービスで使用されるすべての QoS ポリシーに関するサービス ポリシー情報

slot slot-number :(任意)指定したライン カード上で分散 CP サービスを実行するために使用される QoS ポリシー マップに関するサービス ポリシー情報

input :(任意)付加された入力ポリシー マップの統計情報

output :(任意)付加された出力ポリシー マップの統計情報

class class-name :(任意)設定と統計情報を表示するトラフィック クラスの名前

ステップ 3

exit

 

Router# exit

(任意)特権 EXEC モードを終了します。

次に、スロット 1 のライン カード上のすべてのインターフェイスから受信される CP トラフィックのクラスに関する情報を表示する例を示します。このライン カードには、ポリシー マップ TESTII が分散 CP サービス用に適用されています。このポリシー マップでは、トラフィック クラス TESTII と一致するトラフィックがポリシングされ、他のすべてのトラフィック(クラス マップ「class-default」と一致する)はそのまま通過します。

Router# show policy-map control-plane slot 1
 
Control Plane - slot 1
 
Service-policy input: TESTII (1048)
 
Class-map: TESTII (match-all) (1049/4)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol arp (1050)
police:
cir 8000 bps, bc 4470 bytes, be 4470 bytes
conformed 0 packets, 0 bytes; actions:
transmit
exceeded 0 packets, 0 bytes; actions:
drop
violated 0 packets, 0 bytes; actions:
drop
conformed 0 bps, exceed 0 bps, violate 0 bps
 
Class-map: class-default (match-any) (1052/0)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any (1053)

コントロール プレーン ポリシングの設定例

ここでは、入力インターフェイスと出力インターフェイスの両方の集約コントロール プレーン サービスの設定例を示します。

「入力 Telnet トラフィックに対するコントロール プレーン ポリシングの設定例」

「出力 ICMP トラフィックに対するコントロール プレーン ポリシングの設定例」

入力 Telnet トラフィックに対するコントロール プレーン ポリシングの設定例

次に、コントロール プレーン上で受信される Telnet トラフィックに集約 CP サービス用の QoS ポリシーを適用する例を示します。送信元アドレスが 10.1.1.1 および 10.1.1.2 の信頼できるホストは Telnet パケットを制約なしでコントロール プレーンに転送します。残りすべての Telnet パケットは指定したレートでポリシングされます。

! Allow 10.1.1.1 trusted host traffic.
Router(config)# access-list 140 deny tcp host 10.1.1.1 any eq telnet
! Allow 10.1.1.2 trusted host traffic.
Router(config)# access-list 140 deny tcp host 10.1.1.2 any eq telnet
! Rate-limit all other Telnet traffic.
Router(config)# access-list 140 permit tcp any any eq telnet
! Define class-map “telnet-class.”
Router(config)# class-map telnet-class
Router(config-cmap)# match access-group 140
Router(config-cmap)# exit
Router(config)# policy-map control-plane-in
Router(config-pmap)# class telnet-class
Router(config-pmap-c)# police 80000 conform transmit exceed drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
! Define aggregate control plane service for the active route processor.
Router(config)# control-plane
Router(config-cp)# service-policy input control-plane-in
Router(config-cp)# end

出力 ICMP トラフィックに対するコントロール プレーン ポリシングの設定例

次に、コントロール プレーンから送信される Telnet トラフィックに集約 CP サービス用の QoS ポリシーを適用する例を示します。送信元アドレスが 10.0.0.0 および 10.0.0.1 の信頼できるネットワークは Internet Control Management Protocol(ICMP)ポート到達不能応答を制約なしで受信します。残りすべての ICMP ポート到達不能応答は廃棄されます。

! Allow 10.0.0.0 trusted network traffic.
Router(config)# access-list 141 deny icmp 10.0.0.0 0.0.0.255 any port-unreachable
! Allow 10.0.0.1 trusted network traffic.
Router(config)# access-list 141 deny icmp 10.0.0.1 0.0.0.255 any port-unreachable
! Rate-limit all other ICMP traffic.
Router(config)# access-list 141 permit icmp any any port-unreachable
Router(config)# class-map icmp-class
Router(config-cmap)# match access-group 141
Router(config-cmap)# exit
Router(config)# policy-map control-plane-out
! Drop all traffic that matches the class "icmp-class."
Router(config-pmap)# class icmp-class
Router(config-pmap-c)# drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
Router(config)# control-plane
! Define aggregate control plane service for the active route processor.
Router(config-cp)# service-policy output control-plane-out
Router(config-cp)# end

その他の関連資料

ここでは、コントロール プレーン ポリシング機能に関する関連資料について説明します。

関連マニュアル

内容
参照先

QoS コマンド:コマンド構文、コマンド モード、コマンド履歴、デフォルト、使用上のガイドライン、および例

Cisco IOS Quality of Service Solutions Command Reference

QoS 機能の概要

Quality of Service Overview 』モジュール

MQC

Applying QoS Features Using the MQC 』モジュール

セキュリティ機能の概要

Security Overview 』モジュール

Cisco IOS Release 12.2(18)SXD1 およびそれ以降のリリースでのコントロール プレーン ポリシング

Catalyst 6500 シリーズ スイッチの場合は、『 Configuring Control Plane Policing (CoPP) 』モジュールを参照してください。

Cisco 7600 シリーズ ルータの場合は、『 Configuring Denial of Service Protection 』モジュールを参照してください。

強化された RP 保護

ACL IP Options Selective Drop 』モジュール

標準

標準
タイトル

この機能によりサポートされた新規標準または改訂標準はありません。またこの機能による既存標準のサポートに変更はありません。

--

MIB

MIB
MIB リンク

CISCO-CLASS-BASED-QOS-MIB

(注) Cisco IOS Release 12.3(7)T だけでサポートされます。

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに対する MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

テクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト
( http://www.cisco.com/techsupport )の、利用頻度の高い ドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

コマンド リファレンス

次のコマンドは、このモジュールで説明した機能で導入または修正されたものです。これらのコマンドの詳細については、 http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_book.html にある『 Cisco IOS Quality of Service Solutions Command Reference 』を参照してください。すべての Cisco IOS コマンドの詳細については、 http://tools.cisco.com/Support/CLILookup にある Command Lookup Tool を使用するか、 http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html にある『 Cisco IOS Master Command List, All Releases 』を参照してください。

control-plane

service-policy (control-plane)

show policy-map control-plane

コントロール プレーン ポリシングの機能情報

表 1 に、この機能のリリース履歴を示します。

すべてのコマンドがご使用の Cisco IOS ソフトウェア リリースで使用できるとは限りません。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS、Catalyst OS、および Cisco IOS XE ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 は、Cisco IOS ソフトウェア リリース トレインで各機能のサポートが導入されたときの Cisco IOS ソフトウェア リリースだけを示しています。特に明記していないかぎり、その Cisco IOS ソフトウェア リリース トレインの以降のリリースでもその機能はサポートされます。


 

表 1 コントロール プレーン ポリシングの機能情報

機能名
リリース
機能情報

コントロール プレーン ポリシング

12.2(18)S
12.3(4)T
12.3(7)T
12.0(29)S
12.2(18)SXD1
12.0(30)S
12.2(27)SBC
12.0(32)S
12.3(31)SB2

コントロール プレーン ポリシング機能により、ユーザは、コントロール プレーン パケットのトラフィック フローを管理する Quality Of Service(QoS)フィルタを設定して、偵察行為や Denial-of-Service(DoS; サービス拒絶)攻撃から Cisco IOS ルータおよびスイッチを保護できます。

Release 12.2(18)S では、この機能が導入されました。

Release 12.3(4)T では、この機能が Cisco IOS Release 12.3(4)T に統合され、出力レート制限(サイレント モード動作)機能が追加されました。

Release 12.3(7)T では、CISCO-CLASS-BASED-QOS-MIB がコントロール プレーン QoS ポリシーを管理するように拡張され、 police rate コマンドがコントロール プレーン トラフィックに対して秒ごとのパケット数に基づいたトラフィック ポリシングをサポートするように導入されました。

Release 12.0(29)S では、この機能が Cisco IOS Release 12.0(29)S に統合されました。

Release 12.2(18)SXD1 では、この機能が Cisco IOS Release 12.2(18)SXD1 に統合されました。

Release 12.0(30)S では、Cisco 12000 シリーズ インターネット ルータ上で分散コントロール プレーン サービスをサポートするようにこの機能が修正されました。

Release 12.2(27)SBC では、この機能が Cisco IOS Release 12.2(27)SBC に統合されました。

Release 12.0(32)S では、Cisco 10720 インターネット ルータ上で集約コントロール プレーン サービスをサポートするようにこの機能が修正されました。

Release 12.3(31)SB2 では、この機能が PRE3 の Cisco 10000 シリーズ ルータに実装されました。