Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 6.x
レート制限の設定
レート制限の設定

レート制限の設定

この章では、Cisco NX-OS デバイスでスーパーバイザ宛のトラフィックのレート制限を設定する手順について説明します。

この章は、次の内容で構成されています。

レート制限の概要

レート制限を行うことにより、例外のためにリダイレクトされたパケットによって Cisco NX-OS デバイス上のスーパーバイザ モジュールに過剰な負荷がかかるのを回避できます。 次のタイプのリダイレクト パケットに対して pps(パケット/秒)単位でレート制限を設定できます。

  • アクセス リスト ログ パケット

  • スーパーバイザ モジュールにコピーされるデータ パケットおよび制御パケット

  • F1 シリーズ モジュール パケット

  • レイヤ 2 トンネリング プロトコル(L2TP)パケット

  • レイヤ 2 マルチキャストスヌーピング パケット

  • レイヤ 2 ポート セキュリティ パケット

  • レイヤ 2 ストーム制御パケット

  • レイヤ 2 仮想ポート チャネル(vPC)低パケット

  • レイヤ 3 制御パケット

  • レイヤ 3 収集パケット

  • レイヤ 3 収集高速パス パケット

  • レイヤ 3 最大伝送単位(MTU)チェック エラー パケット

  • レイヤ 3 マルチキャスト データ パケット

  • レイヤ 3 存続可能時間(TTL)チェック エラー パケット

  • 受信パケット

Cisco NX-OS Release 5.1 から、スーパーバイザ モジュールに到達するパケットのレート制限も設定できます。

レート制限のバーチャライゼーション サポート

レート制限はデフォルト仮想デバイス コンテキスト(VDC)だけで設定できますが、そのレート制限の設定は Cisco NX-OS デバイス上のすべての VDC に適用されます。 VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。

レート制限のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

レート制限にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

レート制限の注意事項と制約事項

レート制限機能には、次の設定に関する注意事項と制限事項があります。

  • スーパーバイザ宛の例外トラフィックおよびリダイレクトされたトラフィックに対してレート制限を設定できます。 スーパーバイザ宛の他のタイプのトラフィックには、コントロール プレーン ポリシング(CoPP)を使用します。


    (注)  


    ハードウェア レート制限は、スーパーバイザの CPU を過剰な入力トラフィックから保護します。 ハードウェア レート制限によって許容されるトラフィック レートは、グローバルに設定され、個々の I/O モジュールのそれぞれに適用されます。 結果的に許容されるレートは、システム内の I/O モジュールの数によって異なります。 CoPP では、Modular Quality-of-Service CLI(MQC)を利用して、スーパーバイザの CPU をさらに細かく保護することができます。


  • F1 シリーズ モジュールはスーパーバイザ モジュールに送信されるすべての制御トラフィックで共有される最大 5 個のレート リミッタをサポートします。


    (注)  


    F2 シリーズ モジュールでは、F1 シリーズ モジュールの 5 個のレート リミッタはサポートされません。


  • F2、M1 および M2 シリーズ モジュールでは、IP リダイレクトは設定されたレイヤ 3 存続可能時間(TTL)のレート制限に従ってレート限定されます。

(注)  


Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。


レート制限のデフォルト設定

次の表に、レート制限パラメータのデフォルト設定を示します。

表 1 レート制限パラメータのデフォルト設定

パラメータ

デフォルト

アクセス リスト ロギング パケットのレート制限

100 pps

コピー パケットのレート制限

30,000 pps

F1 シリーズ モジュールのレート制限

RL-1:4,500 pps

RL-2:1,000 pps

RL-3:1,000 pps

RL-4:100 pps

RL-5:1,500 pps

(注)     

これらの F1 シリーズ モジュールのレート制限は、F2 シリーズ モジュールには適用されません。

レイヤ 2 L2TP パケットのレート制限

4,096 pps

レイヤ 2 マルチキャストスヌーピング パケットのレート制限

10,000 pps

レイヤ 2 ポート セキュリティ パケットのレート制限

ディセーブル

レイヤ 2 ストーム制御パケットのレート制限

ディセーブル

レイヤ 2 VPC 低パケットのレート制限

4,000 pps

レイヤ 3 制御パケットのレート制限

10,000 pps

レイヤ 3 収集パケットのレート制限

100 pps

レイヤ 3 収集高速パスのレート制限

100 pps

レイヤ 3 MTU パケットのレート制限

500 pps

レイヤ 3 存続可能時間(TTL)パケットのレート制限

500 pps

受信パケットのレート制限

30,000 pps

スーパーバイザ パケットのレート制限

10,000 pps

レート制限の設定

スーパーバイザ宛トラフィックにレート制限を設定できます。

手順の概要

    1.    configure terminal

    2.    hardware rate-limiter access-list-log {packets | disable} [module module [port start end]]

    3.    hardware rate-limiter copy {packets | disable} [module module [port start end]]

    4.    hardware rate-limiter f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5 {packets | disable}} [module module [port start end]]

    5.    hardware rate-limiter layer-2 l2pt {packets | disable} [module module [port start end]]

    6.    hardware rate-limiter layer-2 mcast-snooping {packets | disable} [module module [port start end]]

    7.    hardware rate-limiter layer-2 port-security {packets | disable} [module module [port start end]]

    8.    hardware rate-limiter layer-2 storm-control {packets | disable} [module module [port start end]]

    9.    hardware rate-limiter layer-2 vpc-low {packets | disable} [module module [port start end]]

    10.    hardware rate-limiter layer-3 control {packets | disable} [module module [port start end]]

    11.    hardware rate-limiter layer-3 glean {packets | disable} [module module [port start end]]

    12.    hardware rate-limiter layer-3 glean-fast {packets | disable} [module module [port start end]]

    13.    hardware rate-limiter layer-3 mtu {packets | disable} [module module [port start end]]

    14.    hardware rate-limiter layer-3 multicast {packets | disable} [module module [port start end]]

    15.    hardware rate-limiter layer-3 ttl {packets | disable} [module module [port start end]]

    16.    hardware rate-limiter receive {packets | disable} [module module [port start end]]

    17.    exit

    18.    (任意) show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | module module | receive]

    19.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 hardware rate-limiter access-list-log {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter access-list-log 200
     

    アクセス リスト ロギングのためにスーパーバイザ モジュールにコピーされるパケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 3 hardware rate-limiter copy {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter copy 40000
     

    スーパーバイザ モジュールにコピーされるデータ パケットおよび制御パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

    (注)     

    レイヤ 3 制御、マルチキャスト直接接続、および ARP 要求のパケットは、レイヤ 2 コピー レート リミッタによって制御されます。 最初の 2 つのタイプのパケットはレイヤ 3 レート リミッタによっても制御され、最後の 2 つのタイプはコントロール プレーン ポリシング(CoPP)によっても制御されます。

     
    ステップ 4 hardware rate-limiter f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5 {packets | disable}} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter f1 rl-1 1000
     

    F1 シリーズ モジュール パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

    (注)     

    F1 シリーズ モジュールでサポートされているレート リミッタは、f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} レート リミッタだけです。 他のレート リミッタは、F2 シリーズおよび M1 シリーズ モジュールにだけ適用できます。

     
    ステップ 5 hardware rate-limiter layer-2 l2pt {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-2 l2pt 30000
     

    レイヤ 2 トンネル プロトコル パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 6 hardware rate-limiter layer-2 mcast-snooping {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-2 mcast-snooping 20000
     

    レイヤ 2 マルチキャストスヌーピング パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 7 hardware rate-limiter layer-2 port-security {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-2 port-security 100000
     

    ポート セキュリティ パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 8 hardware rate-limiter layer-2 storm-control {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-2 storm-control 10000
     

    ブロードキャスト、マルチキャスト、および不明なユニキャスト ストーム制御のトラフィックのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 9 hardware rate-limiter layer-2 vpc-low {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-2 vpc-low 10000
     

    VPC low キュー上でのレイヤ 2 制御パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 10 hardware rate-limiter layer-3 control {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-3 control 20000
     

    レイヤ 3 制御パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 11 hardware rate-limiter layer-3 glean {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-3 glean 200
     

    レイヤ 3 収集パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 12 hardware rate-limiter layer-3 glean-fast {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-3 glean-fast 500
     

    レイヤ 3 収集高速パス パケットのレート制限を pps で設定します。 このコマンドは、F2e、M1、または M2 シリーズ モジュールからスーパーバイザにパケットを送信します。 範囲は 0 ~ 30000 です。

    収集高速パスは、スーパーバイザによる収集パケットの処理を最適化します。 具体的には、ライン カードによりパケット内の ARP をトリガーするために必要な情報が提供され、スーパーバイザがこの情報を調べる手間が省けます。 収集高速パスを使用してスーパーバイザに送信されたパケットはレート制限されます。

    (注)     

    収集高速パスはデフォルトでイネーブルになっています。 収集高速パスのプログラミングが隣接のリソース枯渇が原因で発生しない場合は、システムが通常の収集プログラミングに戻ります。

     
    ステップ 13 hardware rate-limiter layer-3 mtu {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-3 mtu 1000
     

    レイヤ 3 MTU エラー リダイレクト パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 14 hardware rate-limiter layer-3 multicast {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-3 multicast 20000
     

    レイヤ 3 マルチキャスト パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 15 hardware rate-limiter layer-3 ttl {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter layer-3 ttl 1000
     

    レイヤ 3 TTL エラー リダイレクト パケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 16 hardware rate-limiter receive {packets | disable} [module module [port start end]]


    例:
    switch(config)# hardware rate-limiter receive 40000
     

    スーパーバイザ モジュールにリダイレクトされるパケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 17 exit


    例:
    switch(config)# exit
    switch#
     

    グローバル コンフィギュレーション モードを終了します。

     
    ステップ 18 show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | module module | receive]


    例:
    switch# show hardware rate-limiter
     
    (任意)

    レート制限の設定を表示します。

     
    ステップ 19 copy running-config startup-config


    例:
    switch# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    スーパーバイザに到達するパケットのレート制限の設定

    Cisco NX-OS Release 5.1 以降では、スーパーバイザ モジュールに到達するパケットのレート制限をデバイスでグローバルに設定できます。 着信または発信パケットのレートが設定済みレート制限を超過した場合、デバイスはシステム メッセージを記録しますが、パケットをドロップしません。


    (注)  


    特定のインターフェイスのスーパーバイザ モジュールに到達するパケットのレート制限も設定できます。 詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。


    手順の概要

      1.    configure terminal

      2.    [no] rate-limit cpu direction {input | output | both} pps packets action log

      3.    (任意) exit

      4.    (任意) show system internal pktmgr internal control sw-rate-limit

      5.    (任意) copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 [no] rate-limit cpu direction {input | output | both} pps packets action log


      例:
      switch(config)# rate-limit cpu direction both pps 100 action log
       

      スーパーバイザ モジュールに到達するパケットのレート制限を pps で設定し、着信パケットまたは発信パケットのレートがレート制限を超えた場合、システム メッセージを記録します。 範囲は 1 ~ 100000 です。 デフォルト レートは 10000 です。

       
      ステップ 3 exit


      例:
      switch(config)# exit
       
      (任意)

      グローバル コンフィギュレーション モードを終了します。

       
      ステップ 4 show system internal pktmgr internal control sw-rate-limit


      例:
      switch# show system internal pktmgr internal control sw-rate-limit
       
      (任意)

      スーパーバイザ モジュールに到達するパケットのインバンドおよびアウトバンドのグローバル レート制限の設定を表示します。

       
      ステップ 5 copy running-config startup-config


      例:
      switch# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      レート制限のモニタリング

      レート制限をモニタリングできます。

      手順の概要

        1.    show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | module module | receive]


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | module module | receive]


        例:
        switch# show hardware rate-limiter layer-3 glean
         

        レート制限統計情報を表示します。

         

        レート制限統計情報のクリア

        レート制限統計情報をクリアできます。

        手順の概要

          1.    clear hardware rate-limiter {all | access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | receive}


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 clear hardware rate-limiter {all | access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | receive}


          例:
          switch# clear hardware rate-limiter 
           

          レート制限統計情報をクリアします。

           

          レート制限の設定の確認

          レート制限の設定情報を表示するには、次の作業を行います。

          コマンド

          目的

          show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | module module | receive]

          レート制限の設定を表示します。

          show system internal pktmgr interface ethernet slot/port

          特定のインターフェイスのスーパーバイザ モジュールに到達するパケットのインバンドおよびアウトバンドのレート制限の設定を表示します。

          show system internal pktmgr internal control sw-rate-limit

          スーパーバイザ モジュールに到達するパケットのインバンドおよびアウトバンドのグローバル レート制限の設定を表示します。

          これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

          レート制限の設定例

          次に、レート制限を設定する例を示します。

          switch(config)#	hardware rate-limiter layer-3 control 20000 
          switch(config)# hardware rate-limiter copy 40000
          
          

          次に、スーパーバイザ モジュールに到達するパケットのデバイスのレート制限をグローバルに設定する例を示します。

          switch(config)#	rate-limit cpu direction both pps 1000 action log
          switch(config)# show system internal pktmgr internal control sw-rate-limit inband pps global threshold 1000  outband pps global threshold 1000
          
          

          レート制限に関する追加情報

          ここでは、レート制限の実装に関する追加情報について説明します。

          関連資料

          関連項目

          参照先

          Cisco NX-OS ライセンス設定

          『Cisco NX-OS Licensing Guide』

          コマンド リファレンス

          『Cisco Nexus 7000 Series NX-OS Security Command Reference』

          レート制限の機能の履歴

          次の表に、この機能のリリースの履歴を示します。

          表 2  レート制限の機能の履歴

          機能名

          リリース

          機能情報

          レート制限

          6.2(2)

          レイヤ 3 収集高速パス パケットに対するサポートが追加されました。

          レート制限

          6.0(1)

          F2 シリーズ モジュールのサポートが追加されました。

          レート制限

          5.2(1)

          リリース 5.1 からの変更はありません。

          レート制限

          5.1(1)

          F1 シリーズ モジュール パケットのサポートが追加されました。

          レート制限

          5.1(1)

          スーパーバイザ モジュールに到達するパケットのレート制限を設定し、レート制限を超えた場合にシステム メッセージを記録する機能が追加されました。

          レート制限

          5.1(1)

          レート制限をディセーブルにしたり、特定のモジュールおよびポート範囲のレート制限を設定したりするためのオプションが追加されました。

          レート制限

          5.0(2)

          レイヤ 2 トンネル プロトコル(L2TP)パケットがサポートされるようになりました。

          レート制限

          4.2(1)

          リリース 4.1 からの変更はありません。