Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 6.x
トラフィック ストーム制御の設定
トラフィック ストーム制御の設定

トラフィック ストーム制御の設定

この章では、Cisco NX-OS デバイスに、トラフィック ストーム制御機能を設定する手順について説明します。

この章は、次の項で構成されています。

トラフィック ストーム制御の概要

トラフィック ストームは、パケットが LAN でフラッディングする場合に発生するもので、過剰なトラフィックを生成し、ネットワークのパフォーマンスを低下させます。 トラフィック ストーム制御機能を使用すると、物理インターフェイス上におけるブロードキャスト、マルチキャスト、または未知のユニキャスト トラフィック ストームによって、レイヤ 2 ポート経由の通信が妨害されるのを防げます。

トラフィック ストーム制御(トラフィック抑制ともいう)では、ブロードキャスト、マルチキャスト、ユニキャストの着信トラフィックのレベルを 10 ミリ秒間隔でモニタできます。 この間、トラフィック レベル(ポートの使用可能合計帯域幅に対するパーセンテージ)が、設定したトラフィック ストーム制御レベルと比較されます。 入力トラフィックが、ポートに設定したトラフィック ストーム制御レベルに到達すると、トラフィック ストーム制御機能によってそのインターバルが終了するまでトラフィックがドロップされます。

次の表に、指定したインターバルでのレイヤ 2 インターフェイス上のブロードキャスト トラフィック パターンを示します。 この例では、トラフィック ストーム制御が T1 と T2 時間の間、および T4 と T5 時間の間で発生します。 これらの間隔中に、ブロードキャスト トラフィックの量が設定済みのしきい値を超過したためです。

図 1. ブロードキャストの抑制



トラフィック ストーム制御しきい値の数値と期間の組み合わせにより、トラフィック ストーム制御アルゴリズムがさまざまな粒度で機能します。 しきい値が高いほど、通過できるパケット数が多くなります。

Cisco NX-OS デバイスのトラフィック ストーム制御はハードウェアに実装されています。 トラフィック ストーム制御回路は、レイヤ 2 インターフェイスを通過してスイッチング バスに到着するパケットをモニタリングします。 次に、パケットの宛先アドレスに設定されている Individual/Group ビットを使用して、パケットがユニキャストかブロードキャストかを判断し、10 ミリ秒以内の間隔でパケット数を追跡します。パケット数がしきい値に到達したら、後続のパケットをすべて破棄します。

トラフィック ストーム制御では、トラフィック量の計測に帯域幅方式を使用します。 制御対象のトラフィックが使用できる、利用可能な合計帯域幅に対するパーセンテージを設定します。 パケットは一定間隔で着信するわけではないので、10 ミリ秒の間隔はトラフィック ストーム制御の動作に影響を及ぼす可能性があります。

次に、トラフィック ストーム制御動作の例を示します。

  • ブロードキャスト トラフィック ストーム制御をイネーブルにした場合、ブロードキャスト トラフィックが 10 ミリ秒のインターバル中に制御レベルを超えると、インターバルが終了するまですべてのブロードキャスト トラフィックがドロップされます。

  • ブロードキャストとマルチキャストのトラフィック ストーム制御をイネーブルにした場合、ブロードキャストとマルチキャストの混合トラフィックが 10 ミリ秒のインターバル中に制御レベルを超えると、インターバルが終了するまでブロードキャストとマルチキャストのすべてのトラフィックがドロップされます。

  • ブロードキャストとマルチキャストのトラフィック ストーム制御をイネーブルにした場合、ブロードキャスト トラフィックが 10 ミリ秒のインターバル中に制御レベルを超えると、インターバルが終了するまでブロードキャストとマルチキャストのすべてのトラフィックがドロップされます。

  • ブロードキャストとマルチキャストのトラフィック ストーム制御をイネーブルにした場合、マルチキャスト トラフィックが 10 ミリ秒のインターバル中に制御レベルを超えると、インターバルが終了するまでブロードキャストとマルチキャストのすべてのトラフィックがドロップされます。

デフォルトでは、トラフィックが設定レベルを超えても、Cisco NX-OS ソフトウェアは是正のための処理を実行しません。 ただし、組み込みイベント マネージャ(EEM)によって、トラフィックが一定期間内に収まらない(しきい値未満にならない)場合にインターフェイスをエラー ディセーブル状態にするように設定できます。 EEM の設定の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Command Reference』を参照してください。

トラフィック ストーム制御のバーチャライゼーション サポート

トラフィック ストーム制御の設定と操作は、仮想デバイス コンテキスト(VDC)に対してローカルです。

VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。

トラフィック ストーム制御のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

トラフィック ストーム制御にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

トラフィック ストーム制御の注意事項と制約事項

トラフィック ストーム制御レベルを設定する際の注意事項と制約事項は次のとおりです。

  • ポート チャネル インターフェイス上にトラフィック ストーム制御を設定できます。

  • ポート チャネル インターフェイスのメンバであるインターフェイスには、トラフィック ストーム制御を設定しないでください。 ポート チャネルのメンバとして設定されているインターフェイスにトラフィック ストーム制御を設定すると、そのポートは中断状態になります。

  • レベルをインターフェイスの帯域幅全体に対する割合として指定します。

    • レベルの指定範囲は 0 ~ 100 です。

    • 任意で、レベルの小数部を 0 ~ 99 の範囲で指定できます。

    • 100% は、トラフィック ストーム制御がないことを意味します。

    • 0.0% は、すべてのトラフィックを抑制します。

ハードウェアの制限およびサイズの異なるパケットがカウントされる方式のため、レベルの割合は概数になります。 着信トラフィックを構成するフレームのサイズに応じて、実際に適用されるパーセンテージ レベルと設定したパーセンテージ レベルの間には、数パーセントの誤差がある可能性があります。


(注)  


Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。


トラフィック ストーム制御のデフォルト設定

次の表に、トラフィック ストーム制御パラメータのデフォルト設定値を示します。

表 1 デフォルトのトラフィック ストーム制御パラメータ

パラメータ

デフォルト

トラフィック ストーム制御

ディセーブル

しきい値パーセンテージ

100

トラフィック ストーム制御の設定

制御対象のトラフィックが使用できる、利用可能な合計帯域幅に対するパーセンテージを設定できます。


(注)  


トラフィック ストーム制御機能では、トラフィック ストーム制御の動作を 10 ミリ秒間隔で変更できます。


手順の概要

    1.    configure terminal

    2.    interface {ethernet slot/port | port-channel number}

    3.    storm-control {broadcast | multicast | unicast} level percentage[.fraction]

    4.    exit

    5.    (任意) show running-config interface {ethernet slot/port | port-channel number}

    6.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 interface {ethernet slot/port | port-channel number}


    例:
    switch# interface ethernet 1/1
    switch(config-if)#
     

    インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 3 storm-control {broadcast | multicast | unicast} level percentage[.fraction]


    例:
    switch(config-if)# storm-control unicast level 40
     

    インターフェイスを通過するトラフィックのトラフィック ストーム制御を設定します。 デフォルトのステートはディセーブルです。

     
    ステップ 4 exit


    例:
    switch(config-if)# exit
    switch(config)#
     

    インターフェイス コンフィギュレーション モードを終了します。

     
    ステップ 5 show running-config interface {ethernet slot/port | port-channel number}


    例:
    switch(config)# show running-config interface ethernet 1/1
     
    (任意)

    トラフィック ストーム制御の設定を表示します。

     
    ステップ 6 copy running-config startup-config


    例:
    switch(config)# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    トラフィック ストーム制御の設定の確認

    トラフィック ストーム制御の設定情報を表示するには、次のいずれかの作業を行います。

    コマンド

    目的

    show interface [ethernet slot/port | port-channel number] counters storm-control

    特定のインターフェイスについて、トラフィック ストーム制御の設定を表示します。

    show running-config interface

    トラフィック ストーム制御の設定を表示します。

    これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

    トラフィック ストーム制御カウンタのモニタリング

    トラフィック ストーム制御動作に関して Cisco NX-OS デバイスが維持するカウンタをモニタリングできます。

    手順の概要

      1.    show interface [ethernet slot/port | port-channel number] counters storm-control


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 show interface [ethernet slot/port | port-channel number] counters storm-control


      例:
      switch# show interface counters storm-control
       

      トラフィック ストーム制御カウンタを表示します。

       

      トラフィック ストーム制御の設定例

      次に、トラフィック ストーム制御の設定例を示します。

      interface Ethernet1/1 
        storm-control broadcast level 40 
        storm-control multicast level 40 
        storm-control unicast level 40
      
      

      トラフィック ストーム制御に関する追加情報

      ここでは、トラフィック ストーム制御の実装に関する追加情報について説明します。

      関連資料

      関連項目

      参照先

      Cisco NX-OS ライセンス設定

      『Cisco NX-OS Licensing Guide』

      コマンド リファレンス

      『Cisco Nexus 7000 Series NX-OS Security Command Reference』

      トラフィック ストーム制御の機能履歴

      次の表に、この機能のリリースの履歴を示します。

      表 2  トラフィック ストーム制御の機能履歴

      機能名

      リリース

      機能情報

      トラフィック ストーム制御

      6.0(1)

      Release 5.2 以降、変更はありません。

      トラフィック ストーム制御

      5.2(1)

      Release 5.1 以降、変更はありません。

      トラフィック ストーム制御

      5.1(1)

      Release 5.0 以降、変更はありません。

      トラフィック ストーム制御

      5.0(2)

      Release 4.2 以降、変更はありません。

      トラフィック ストーム制御

      4.2(1)

      リリース 4.1 からの変更はありません。