Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
レート制限の設定
レート制限の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

レート制限の設定

レート制限の概要

バーチャライゼーション サポート

レート制限のライセンス要件

注意事項および制限事項

レート制限の設定

レート制限統計情報の表示

レート制限統計情報のクリア

レート制限の設定の確認

レート制限の設定例

デフォルト設定

その他の参考資料

関連資料

レート制限の設定

この章では、NX-OS デバイス上で出トラフィックのレート制限を設定する手順について説明します。

ここでは、次の内容を説明します。

「レート制限の概要」

「バーチャライゼーション サポート」

「レート制限のライセンス要件」

「注意事項および制限事項」

「レート制限の設定」

「レート制限の設定の確認」

「レート制限の設定例」

「デフォルト設定」

「その他の参考資料」

レート制限の概要

レート制限を使用すると、出力例外のリダイレクト パケットにより NX-OS デバイスのスーパーバイザ モジュールに過剰な負荷がかかることを回避できます。次のタイプのリダイレクト パケットに対して pps(パケット/秒)単位でレート制限を設定できます。

アクセス リスト ロギング パケット

スーパーバイザ モジュールにコピーされるデータ パケットおよびコントロール パケット

レイヤ 2 ストーム制御パケット

レイヤ 3 グリーニング パケット

レイヤ 3 最大伝送ユニット(maximum transmission unit; MTU)チェック エラー パケット

レイヤ 3 マルチキャスト直接接続パケット

レイヤ 3 マルチキャスト ローカル グループ パケット

レイヤ 3 マルチキャスト RPF リーク パケット

レイヤ 3 Time-to-Live(TTL; 存続可能時間)チェック エラー パケット

受信パケット

レート制限は、レイヤ 3 制御パケットにも設定できます。

バーチャライゼーション サポート

レート制限はデフォルト Virtual Device Context(VDC)でのみ設定できますが、そのレート制限の設定は NX-OS デバイス上のすべての VDC に適用されます。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。

レート制限のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

製品
ライセンス要件

NX-OS

レート制限にライセンスは必要ありません。ライセンス パッケージに含まれない機能はすべて、Cisco NX-OS システム イメージにバンドルされており、無償で提供されます。NX-OS のライセンス方式の詳細については、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。

注意事項および制限事項

レート制限には、次の構成に関する注意事項と制限事項があります。

レート制限は出トラフィックにのみ設定できます。入トラフィックには Control Plane Policing(CoPP)を使用してください( 第 20 章「CoPP の設定」 を参照)。


) Cisco IOS CLI の知識があるユーザは、この機能に関する Cisco NX-OS のコマンドが Cisco IOS のコマンドで使用されるものと異なる場合があることに注意してください。


レート制限の設定

出トラフィックにレート制限を設定できます。

作業を開始する前に

正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。

手順の概要

1. config t

2. platform rate-limit access-log-list packets

platform rate-limit copy packets

platform rate-limit layer-2 storm-control packets

platform rate-limit layer-3 control packets

platform rate-limit layer-3 glean packets

platform rate-limit layer-3 mtu packets

platform rate-limit layer-3 multicast { directly-connected | local-groups | rpf-leak } packets

platform rate-limit layer-3 ttl packets

platform rate-limit receive packets

3. exit

4. show hardware rate-limit

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

platform rate-limit access-list-log packets

 

例:

switch(config)# platform rate-limit access-list-log 200

アクセス リスト ロギングのためにスーパーバイザ モジュールにコピーされるパケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは 100 です。

platform rate-limit copy packets

 

例:

switch(config)# platform rate-limit copy 40000

スーパーバイザ モジュールにコピーされるデータ パケットおよび制御パケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは 30000 です。

platform rate-limit layer-2 storm-control packets

 

例:

switch(config)# platform rate-limit control 100

ストーム制御パケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは 0 です。

platform rate-limit layer-3 control packets

 

例:

switch(config)# platform rate-limit control 20000

レイヤ 3 制御パケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは 10000 です。

platform rate-limit layer-3 glean packets

 

例:

switch(config)# platform rate-limit layer-3 glean 200

レイヤ 3 グリーニング パケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは 100 です。

platform rate-limit layer-3 mtu packets

 

例:

switch(config)# platform rate-limit layer-3 mtu 1000

レイヤ 3 MTU エラー リダイレクト パケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは 500 です。

platform rate-limit layer-3 multicast { directly-connected | local-groups | rpf-leak } packets

 

例:

switch(config)# platform rate-limit layer-3 multicast local-groups 20000

レイヤ 3 マルチキャスト直接接続、ローカル グループ、または RPF リークのリダイレクト パケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは、直接接続パケットが 10000、ローカル グループ パケットが 10000、RPF リーク パケットが 500 です。

platform rate-limit layer-3 ttl packets

 

例:

switch(config)# platform rate-limit layer-3 ttl 1000

レイヤ 3 TTL エラー リダイレクト パケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは 500 です。

platform rate-limit receive packets

 

例:

switch(config)# platform rate-limit receive 40000

スーパーバイザ モジュールにリダイレクトされるパケットのレート制限を pps で設定します。指定できる範囲は 1 ~ 33554431 です。デフォルト レートは 30000 です。

ステップ 3

exit

 

例:

switch(config)# exit

switch#

グローバル コンフィギュレーション モードを終了します。

ステップ 4

show hardware rate-limit [ access-list-log | copy | layer-2 storm-control | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl } | receive ]

 

例:

switch# show running-config | include rate-limit

(任意)レート制限の設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

レート制限統計情報の表示

レート制限統計情報を表示できます。

作業を開始する前に

デフォルト VDC にいることを確認します(または switchto vdc コマンドを使用)。

手順の概要

1. show hardware rate-limit [access-list-log | copy | layer-2 storm-control | layer-3 {control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl} | receive]

詳細な手順

 

コマンド
目的

ステップ 1

show hardware rate-limit [ access-list-log | copy | layer-2 storm-control | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl } | receive ]

 

例:

switch# show hardware rate-limit layer-3 glean

レート制限統計情報を表示します。

このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。

レート制限統計情報のクリア

レート制限統計情報をクリアできます。

作業を開始する前に

デフォルト VDC にいることを確認します(または switchto vdc コマンドを使用)。

手順の概要

1. show hardware rate-limit [ access-list-log | copy | layer-2 storm-control | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl } | receive ]

2. clear hardware rate-limit { all | access-list-log | copy | layer-2 storm-control | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl } | receive }

詳細な手順

 

コマンド
目的

ステップ 1

show hardware rate-limit [ access-list-log | copy | layer-2 storm-control | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl } | receive ]

 

例:

switch# show hardware rate-limit layer-3 glean

(任意)レート制限統計情報を表示します。

ステップ 2

clear hardware rate-limiter { all | access-list-log | copy | layer-2 storm-control | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl } | receive }

 

例:

switch# clear hardware rate-limiter

レート制限統計情報をクリアします。

レート制限の設定の確認

レート制限の設定情報を表示するには、次の作業を行います。

 

コマンド
目的

1. show hardware rate-limit [ access-list-log | copy | layer-2 storm-control | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl} | receive ]

レート制限の設定を表示します。

このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。

レート制限の設定例

次に、レート制限を設定する例を示します。

platform rate-limit layer-3 control 20000
platform rate-limit copy 40000
 

デフォルト設定

表21-1 に、レート制限パラメータのデフォルト設定を示します。

 

表21-1 デフォルトのレート制限パラメータ

パラメータ
デフォルト

アクセス リスト ロギング パケットのレート制限

100 pps

コピー パケットのレート制限

30,000 pps

レイヤ 2 ストーム制御パケットのレート制限

0 pps

レイヤ 3 制御パケットのレート制限

10,000 pps

レイヤ 3 グリーニング パケットのレート制限

100 pps

レイヤ 3 MTU パケットのレート制限

500 pps

レイヤ 3 マルチキャスト直接接続パケットのレート制限

10,000 pps

レイヤ 3 マルチキャスト ローカル グループ パケットのレート制限

10,000 pps

レイヤ 3 マルチキャスト RPF リーク パケットのレート制限

500 pps

受信パケットのレート制限

30,000 pps

その他の参考資料

レート制限の実装に関連する詳細情報については、次を参照してください。

「関連資料」

関連資料

関連事項
タイトル

ライセンス

Cisco NX-OS Licensing Guide, Release 4.0

コマンド リファレンス

Cisco NX-OS Security Command Reference, Release 4.0