コントロール プレーンのトラフィック

コントロール プレーン ポリシングについて

コントロール プレーン ポリシング(CoPP)はコントロールプレーンを保護し、ネットワークの安定性、到達可能性、およびパケット配信を保証します。

この機能により、コントロール プロセッサに到達可能な各プロトコルに対して、パラメータの仕様でポリサーを使用したレート制限が可能になります。ポリシングは、ルータまたはレイヤ 3 スイッチの IP アドレスのいずれかを宛先とするすべてのトラフィックに適用されます。ネットワーク デバイスへの一般的な攻撃ベクトルは、過剰なトラフィックがデバイス インターフェイスに転送されるサービス妨害(DoS)攻撃です。

  [Cisco アプリケーション セントリック インフラストラクチャ(Cisco Application Centric Infrastructure)][ACI])リーフおよびスパインスイッチ NX-OS は、DoS 攻撃がパフォーマンスに影響しないようにするために CoPP を提供します。このような攻撃は誤って、または悪意を持って実行される場合があり、通常、 [Cisco ACI] リーフおよびスパイン スイッチの CPU または CPU 自体に大量のトラフィックが送り付けられることが関係しています。

  [Cisco ACI] リーフおよびスパインスイッチ スイッチのスーパーバイザモジュールは、管理対象のトラフィックを次の 2 つの機能コンポーネント(プレーン)に分類します:

  • データ プレーン:すべてのデータ トラフィックを処理します。NX-OS デバイスの基本的な機能は、インターフェイス間でパケットを転送することです。スイッチ自身に向けられたものでないパケットは、中継パケットと呼ばれます。データ プレーンで処理されるのはこれらのパケットです。

  • コントロール プレーン:ルーティング プロトコルのすべての制御トラフィックを処理します。ボーダー ゲートウェイ プロトコル(BGP)や Open Shortest Path First(OSPF)プロトコルなどのルーティング プロトコルは、デバイス間で制御パケットを送信します。これらのパケットはルータのアドレスを宛先とし、コントロール プレーン パケットと呼ばれます。

  [Cisco ACI] のリーフ スイッチおよびスパイン スイッチのスーパーバイザ モジュールにはコントロール プレーンがあり、ネットワークの操作に重要です。スーパーバイザ モジュールの動作が途絶したり、スーパーバイザ モジュールが攻撃されたりすると、重大なネットワークの停止につながります。たとえば、スーパーバイザに過剰なトラフィックが加わると、スーパーバイザ モジュールが過負荷になり、 [Cisco ACI] ファブリック全体のパフォーマンスが低下する可能性があります。もう 1 つの例は、 [Cisco ACI] のリーフスイッチおよびスパインスイッチのスーパーバイザモジュールに対する DoS 攻撃は、コントロールプレーンに対して非常に高速に IP トラフィックストリームを生成することがあります。これにより、コントロールプレーンでは、これらのパケットを処理するために大量の時間を費やしてしまい、本来のトラフィックを処理できなくなります。

次に、DoS 攻撃の例を示します。

  • インターネット制御メッセージ プロトコル(ICMP)エコー要求

  • IP フラグメント

  • TCP SYN フラッディング

これらの攻撃によりデバイスのパフォーマンスが影響を受け、次のようなマイナスの結果をもたらします。

  • サービス品質の低下(音声、ビデオ、または重要なアプリケーション トラフィックの低下など)

  • ルート プロセッサまたはスイッチ プロセッサの高い CPU 使用率

  • ルーティング プロトコルのアップデートまたはキープアライブの消失によるルート フラップ

  • メモリやバッファなどのプロセッサ リソースの枯渇

  • 着信パケットの無差別のドロップ


(注)  

[Cisco ACI] のリーフスイッチとスパインスイッチは、デフォルトで、デフォルト設定の CoPP によって保護されます。この機能では、顧客のニーズに基づいてノードのグループにパラメータを調整できます。

コントロール プレーン保護

コントロール プレーンを保護するため [Cisco ACI] のリーフスイッチおよびスパインスイッチで実行されている Cisco NX-OS は、コントロールプレーンのさまざまなパケットを異なるクラスに分離します。クラスの識別が終わると、Cisco NX-OS デバイスはパケットをポリシングします。これにより、スーパーバイザ モジュールに過剰な負担がかからないようになります。

コントロール プレーンのパケット タイプ:

コントロール プレーンには、次のような異なるタイプのパケットが到達します。

  • 受信パケット:ルータの宛先アドレスを持つパケット。宛先アドレスには、レイヤ 2 アドレス(ルータ MAC アドレスなど)やレイヤ 3 アドレス(ルータ インターフェイスの IP アドレスなど)があります。これらのパケットには、ルータ アップデートとキープアライブ メッセージも含まれます。ルータが使用するマルチキャスト アドレス宛てに送信されるマルチキャスト パケットも、このカテゴリに入ります。

  • 例外パケット:スーパーバイザ モジュールによる特殊な処理を必要とするパケット。たとえば、宛先アドレスが Forwarding Information Base(FIB)に存在せず、結果としてミスとなった場合は、スーパーバイザ モジュールが送信側に到達不能パケットを返し、DDOS 攻撃からスーパーバイザ モジュールを保護します。IP オプションを含む IPパケットは、スーパーバイザによってドロップされます。

  • パケットのリダイレクト:スーパーバイザ モジュールにリダイレクトされるパケット。ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングやダイナミック アドレス解決プロトコル(ARP)インスペクションなどの機能は、パケットをスーパーバイザ モジュールにリダイレクトします。

  • 収集パケット:宛先 IP アドレスのレイヤ 2 MAC アドレスが FIB に存在していない場合は、スーパーバイザ モジュールがパケットを受信し、ARP 要求をそのホストに送信します。

これらのさまざまなパケットは、コントロール プレーンへの悪意ある攻撃に利用され、 [Cisco ACI] ファブリックに過剰な負荷をかける可能性があります。CoPP は、これらのパケットを異なるクラスに分類し、これらのパケットを [Cisco ACI] のリーフスイッチとスパインスイッチのスーパーバイザモジュールが受信する速度を個別に制御するメカニズムを提供します。

CoPP の分類:

効果的な保護のために、 [Cisco ACI] のリーフ スイッチおよびスパイン スイッチの NX-OS は、スーパーバイザ モジュールに到達するパケットを分類して、パケットタイプに基づいた異なるレート制御ポリシーを適用できるようにします。たとえば、Hello メッセージなどのプロトコル パケットには厳格度を緩和するのに対し、IP オプションがセットされているためにスーパーバイザ モジュールに送信されるパケットには厳格度を強化することが考えられます。

利用可能なプロトコル:

  • ACLLOG

  • ARP

  • BGP

  • CDP

  • COOP

  • DHCP

  • EIGRP

  • ICMP

  • IGMP

  • ISIS

  • LACP

  • LLDP

  • MCP

  • ND

  • OSPF

  • PERMIT LOG

  • PIM

  • STP

  • TRACEROUTE

  • Infra ARP

  • IFC Other

  • IFC SPAN

  • IFC

  • Glean

  • Tor-Glean

プロトコルごとに、毎秒のパケット数(PPS)でレートとバーストを指定できます。レートとバーストの詳細については、 レート制御メカニズムを参照してください。

レート制御メカニズム:

  [Cisco ACI] のリーフおよびスパイン スイッチの NX-OS デバイスには、パケットの分類後に、スーパーバイザモジュールに到達するパケットのレートを制御するメカニズムがあります。

ポリシングには、次のパラメータを設定できます。

  • 認定情報レート(CIR):1 秒あたりのパケット数(PPS)で指定される、必要な帯域幅。

  • 認定バースト(BC):パケット数で指定され、特定の時間枠内に CIR を超えるが、スケジューリングに影響を与えないトラフィック バーストのサイズ。

デフォルトのポリシング ポリシー:

  [Cisco ACI] のリーフ スイッチおよびスパイン スイッチが最初に起動するとき、異なるプロトコル用に事前定義された CoPP パラメータは、シスコで行ったテストに基づいています。

CoPP の注意事項と制約事項

CoPP に関する注意事項と制約事項は次のとおりです。

  • 最初にデフォルト CoPP ポリシーを使用し、後で、データセンターおよびアプリケーションの要件に基づいて CoPP ポリシーを変更することをお勧めします。

  • CoPP のカスタマイズは継続的なプロセスです。CoPP を設定するときには、特定の環境で使用されるプロトコルや機能に加えて、サーバ環境に必要なスーパーバイザ機能を考慮する必要があります。これらのプロトコルや機能が変更されたら、CoPP を変更する必要があります。

  • CoPP を継続的にモニタすることを推奨します。ドロップが発生した場合は、CoPP がトラフィックを誤ってドロップしたのか、または誤動作や攻撃に応答してドロップしたのかを判定してください。いずれの場合も、状況を分析し、CoPP ポリシーを変更する必要を評価します。

  • CoPP ポリシーによって、ルーティング プロトコルなどのクリティカルなトラフィック、またはデバイスへのインタラクティブなアクセスがフィルタリングされないように注意してください。このトラフィックをフィルタリングすると、Cisco ACI リーフ/スパインへのリモート アクセスが禁止され、コンソール接続が必要となる場合があります。

  • CoPP プレフィルタ エントリを誤って設定しないでください。CoPP プレフィルタ エントリは、マルチポッド設定、リモート リーフ スイッチ、および Cisco ACI マルチサイト展開への接続に影響を与える可能性があります。

  • APIC UI を使用して、CoPP パラメータを調整することができます。

  • プロトコルごとの各インターフェイスはリーフ スイッチでのみサポートされています。

  • プロトコルごとの各インターフェイスで FEX ポートはサポートされていません。

  • プロトコルごとの各インターフェイスでサポートされているプロトコルは、ARP、ICMP、CDP、LLDP、LACP、BGP、STP、BFD、および OSPF です。

  • プロトコルごとの各インターフェイスの最大の TCAM エントリは 256 です。しきい値を超過すると、障害が発生します。

APIC GUI を使用した CoPP の設定

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [アクセス ポリシー(Access Policies)]をクリックします。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [ポリシー(Policies)] > [スイッチ(Switch)] > [CoPP リーフ(CoPP Leaf)] を右クリックし、 [CoPP リーフ レベル ポリシーの作成(Create CoPP Leaf Level Policy)]を選択します。

ステップ 3

次に [CoPP リーフ レベル ポリシーの作成(Create CoPP Leaf Level Policy)] ダイアログで、次のサブステップを実行します:

  1.   [名前(Name)] フィールドにポリシーの名前を入力します。

  2.   [プロファイルの種類(Type of Profile)] フィールドで、プロファイルの種類を選択します。

    (注)  

     

    各プロトコルを個別に設定する場合、 [CoPP にはカスタム値がある(CoPP has custom values)] を選択します。プロファイルの種類を選択しなかった場合、デフォルト値が適用されます。

  3.   [送信(Submit)]をクリックします。

ステップ 4

  [ナビゲーション(Navigation)] ペインで、 [スイッチ(Switches)] > [リーフスイッチ(Leaf Switches)] > [ポリシー グループ(Policy Groups)] を右クリックし、 [アクセス スイッチ ポリシー グループの作成(Create Access Switch Policy Group)]を選択します。

ステップ 5

  [アクセス スイッチ ポリシー グループの作成(Create Access Switch Policy Group)] ダイアログで、次のサブステップを実行します:

  1.   [名前(Name)] フィールドにポリシーの名前を入力します。

  2.   [COPP リーフ ポリシー(COPP Leaf Policy)] フィールドで、以前作成したポリシーを選択します。

  3.   [送信(Submit)]をクリックします。

ステップ 6

  [ナビゲーション(Navigation)] ペインで、 [スイッチ(Switches)] > [リーフ スイッチ(Leaf Switches)] > [プロファイル(Profiles)] を右クリックし、 [リーフ プロファイルの作成(Create Leaf Profile)]を選択します。

ステップ 7

  [リーフ プロファイルの作成(Create Leaf Profile)] ダイアログで、次のサブステップを実行します:

  1.   [名前(Name)] フィールドに、プロファイルの名前を入力します。

  2.   [リーフ セレクタ(Leaf Selectors)] テーブルで、 [+]をクリックして、リーフ セレクタの名前を [名前(Name)] フィールドに入力し、スイッチを [ブロック(Block)] フィールドで選択し、先ほど作成した [ポリシー グループ(Policy Group)] を選択して、 [更新(Update)]をクリックします。

  3.   [次へ(Next)] をクリックし、 [終了(Finish)] をクリックして、CoPP の設定を完了します。

Cisco NX-OS CLI を使用した CoPP の設定

手順

ステップ 1

CoPP リーフ プロファイルを設定します。

例:

# configure copp Leaf Profile
apic1(config)# policy-map type control-plane-leaf leafProfile
apic1(config-pmap-copp-leaf)# profile-type custom
apic1(config-pmap-copp-leaf)# set arpRate 786
# create a policy group to be applied on leaves
apic1(config)# template leaf-policy-group coppForLeaves 
apic1(config-leaf-policy-group)# copp-aggr leafProfile
apic1(config-leaf-policy-group)# exit
# apply the leaves policy group on leaves
apic1(config)# leaf-profile applyCopp
apic1(config-leaf-profile)# leaf-group applyCopp
apic1(config-leaf-group)# leaf 101-102
apic1(config-leaf-group)# leaf-policy-group coppForLeaves

ステップ 2

CoPP スパイン プロファイルを設定します。

例:

# configure copp Spine Profile
apic1(config)# policy-map type control-plane-spine spineProfile
apic1(config-pmap-copp-spine)# profile-type custom
apic1(config-pmap-copp-spine)# set arpRate 786
# create a policy group to be applied on spines
apic1(config)# template leaf-policy-group coppForSpines 
apic1(config-spine-policy-group)# copp-aggr spineProfile
apic1(config-spine-policy-group)# exit
# apply the spine policy group on spines
apic1(config)# spine-profile applyCopp
apic1(config-spine-profile)# spine-group applyCopp
apic1(config-spine-group)# spine 201-202
apic1(config-spine-group)# spine-policy-group coppForSpines

REST API を使用した CoPP の設定

手順

ステップ 1

CoPP リーフ プロファイルを設定します。

例:

<!-- api/node/mo/uni/.xml -->
<infraInfra>
  <coppLeafProfile type="custom" name="mycustom">                  <!---->define copp leaf profile -->
    <coppLeafGen1CustomValues bgpBurst="150" bgpRate="300"/>
  </coppLeafProfile>
  <infraNodeP name="leafCopp">
    <infraLeafS name="leafs" type="range">
      <infraNodeBlk name="leaf1" from_="101" to_="101"/>
      <infraNodeBlk name="leaf3" from_="103" to_="103"/>
      <infraRsAccNodePGrp tDn="uni/infra/funcprof/accnodepgrp-myLeafCopp"/>
    </infraLeafS>
  </infraNodeP>
  <infraFuncP>
    <infraAccNodePGrp name="myLeafCopp">
      <infraRsLeafCoppProfile tnCoppLeafProfileName="mycustom"/>   <!---->bind copp leaf policy to leaf </infraAccNodePGrp>                                                     profile --> 
  </infraFuncP>
</infraInfra>

ステップ 2

CoPP スパイン プロファイルを設定します。

例:

<!-- api/node/mo/uni/.xml -->
<infraInfra>
  <coppSpineProfile type="custom" name="mycustomSpine">             <!---->define copp leaf profile -->
    <coppSpineGen1CustomValues bgpBurst="150" bgpRate="300"/>
  </coppSpineProfile>
  <infraSpineP name="spineCopp">
    <infraSpineS name="spines" type="range">
      <infraNodeBlk name="spine1" from_="104" to_="104"/>
      <infraRsSpineAccNodePGrp tDn="uni/infra/funcprof/spaccnodepgrp-mySpineCopp"/>
    </infraSpineS>
  </infraSpineP>
  <infraFuncP>
    <infraSpineAccNodePGrp name="mySpineCopp">
      <infraRsSpineCoppProfile tnCoppSpineProfileName="mycustomSpine"/> <!---->bind copp spine policy to
    </infraSpineAccNodePGrp>                                                 spine profile -->
  </infraFuncP>
</infraInfra>

GUI を使用した CoPP 統計情報の表示

CoPP の調整を適切に行うには、指定のモードの指定のプロトコルでドロップ/許可されたパケット数を知る必要があります。次の手順を使用して、GUI で情報を表示できます。

手順

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)] > [ポッド(Pod)][number] > [ノード(Node)][name] > [コントロールプレーン統計情報(Control Plane Statistics)] > [デフォルト(default)]をクリックし、クラスのリストから選択して、統計情報の表示形式を設定します。

CoPP によって許可またはドロップされたパケット数に関する統計情報を収集することができます。

APIC GUI を使用したプロトコル CoPP ポリシーごとの各インターフェイスの設定

手順

ステップ 1

メニューバーで、 [ファブリック(Fabric)] > [外部アクセス ポリシー(External Access Policies)]をクリックします。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [ポリシー(Policies)] > [インターフェイス(Interface)] > [CoPP インターフェイス(CoPP Interface)]を展開し、 [プロトコル CoPP ポリシーごとの各インターフェイスの作成(Create Per Interface Per Protocol CoPP Policy)] ダイアログ ボックスを右クリックして、 [プロトコル CoPP ポリシーごとの各インターフェイスの作成(Create Per Interface Per Protocol CoPP Policy)] ダイアログ ボックスで以下の操作を実行します:

  1.   [名前(Name)] フィールドでポリシー名を追加します。

  2.   [CoPP ポリシー プロトコル(CoPP policy Protocol)] テーブルを展開し、プロトコル名、タイプ、レート、バースト情報を入力します。 [更新(Update)] および [送信(Submit)]をクリックします。

ステップ 3

  [ナビゲーション(Navigation)] ペインで、 [インターフェイス(Interfaces)] > [リーフ インターフェイス(Leaf Interfaces)] > [ポリシー グループ(Policy Groups)] > [リーフ アクセス ポート ポリシー グループの作成(Create Leaf Access Port Policy Group)]を展開し、 [リーフ アクセス ポート ポリシー グループの作成(Create Leaf Access Port Policy Group)] ダイアログ ボックスを右クリックして、 [リーフ アクセス ポート ポリシー グループの作成(Create Leaf Access Port Policy Group)] ダイアログ ボックスで以下の操作を実行します:

  1.   [名前(Name)] フィールドでポリシー名を追加します。

  2.   [COPP リーフ ポリシー(COPP Leaf Policy)] フィールドで、以前に作成されたポリシーを選択します。

  3.   [送信(Submit)]をクリックします。

ステップ 4

  [ナビゲーション(Navigation)] ペインで、 [インターフェイス(Interfaces)] > [リーフ インターフェイス(Leaf Interfaces)] > [プロファイル(Profiles)] > [リーフ プロファイル(Leaf Profiles)]を展開し、 [リーフ インターフェイス プロファイルの作成(Create Leaf Interface Profile)] ダイアログ ボックスを右クリックして、 [リーフ インターフェイス プロファイルの作成(Create Leaf Interface Profile)] ダイアログ ボックスで以下の操作を実行します:

  1.   [名前(Name)] フィールドで、プロファイル名を追加します。

  2.   [インターフェイス セレクタ(Interface Selectors)] テーブルで、 [名前(Name)] および [インターフェイス ID(Interface IDs)]フィールドでインターフェイス情報を追加し、先ほど作成した [インターフェイス ポリシー グループ(Interface Policy Group)] を選択します。

  3.   [OK] および [送信(Submit)] をクリックして、プロトコル CoPP ごとの各インターフェイス設定を完了します。

NX-OS スタイル CLI を使用するプロトコル CoPP ポリシーごとのインターフェイスごとの設定

手順

ステップ 1

CoPP クラス マップおよびポリシー マップを定義します。

例:

(config)# policy-map type control-plane-if <name>  
        (config-pmap-copp)# protocol bgp bps <value>        
        (config-pmap-copp)# protocol ospf bps <value>

ステップ 2

リーフのインターフェイスに設定を適用します。

例:

(config)# leaf 101
        (config-leaf)# int eth 1/10
        (config-leaf-if)# service-policy type control-plane-if output<name>

REST API を使用するプロトコルごとのインターフェイスあたりの CoPP の設定

手順

プロトコルごとにインターフェイスあたりの CoPP を設定します。

例:

<polUni>
    <infraInfra>
    <infraNodeP name="default">
        <infraLeafS name="default" type="range">
            <infraNodeBlk name="default" to_="101" from_="101"/>
        </infraLeafS>
        <infraRsAccPortP tDn="uni/infra/accportprof-default"/>
    </infraNodeP>
    <infraAccPortP name="default">
        <infraHPortS name="regularPorts" type="range">
            <infraPortBlk name="blk1" toPort="7" fromPort="1" toCard="1" fromCard="1"/>
                <infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-copp"/>
        </infraHPortS>
    </infraAccPortP>
 
    <infraFuncP>
        <infraAccPortGrp name="copp">
            <infraRsCoppIfPol tnCoppIfPolName="pc"/>
        </infraAccPortGrp>
    </infraFuncP>
   
    <coppIfPol name = "pc" >
        <coppProtoClassP name = "test" matchProto="lldp,arp" rate="505" burst = "201"/>
        <coppProtoClassP name = "test1" matchProto="bgp" rate="500" burst = "200" />
    </coppIfPol> 
</infraInfra>
</polUni>

CoPP プレフィルタについて

  [Cisco アプリケーション セントリック インフラストラクチャ(Cisco Application Centric Infrastructure)][ACI])では、コントロール プレーン ポリシング(CoPP)プレフィルタ機能を使用して、CPU に送信される制御パケットをフィルタ処理できます。CoPP プレフィルタは、インフラストラクチャ アクセス制御リスト(iACL)と同じです。

この機能を使用する前に、次の重要な点に注意してください。

  1. この機能は、インターフェイスごと、または L3Out ごとではなく、リーフ スイッチまたはスパイン スイッチごとに機能します。

  2. この機能は、VRF インスタンス全体で有効になります。つまり、定義するフィルタは VRF インスタンスに固有のものにはなりません。CoPP プレフィルタを有効にし、CoPP プレフィルタの構成で ICMP トラフィックを明示的に許可しなかった場合、対象のリーフ スイッチにおいて、すべての VRF インスタンスのブリッジ ドメインに送信された ICMP トラフィックはドロップされます。

  3. CoPP プレフィルタは許可リストとして構成されます。

  4. この機能は、最初のフィルタリング ルールを入力するとアクティブになります。つまり、フィルタリング ルールが設定されていない場合は、すべてが許可されます。最初のルールを入力するとすぐに、フィルタリング ルールで許可したトラフィック以外はすべてドロップされるようになります。これは、許可リストに追加しない限り、すべての IPv4/IPv6 コントロール プレーン トラフィックがデフォルトで拒否されることを意味します。

  5. フィルタ構成では、プロトコル/DIP/ SIP/Protocol/L4 ポート/L4 ポート範囲を入力できます。トラフィックの送信元と宛先の IP アドレスを入力できます。

  6. 暗黙的に許可されていないアンダーレイ プロトコルも許可する必要があります。たとえば、BGP は許可する必要があります。許可しないと、リーフまたはスパイン スイッチへのインフラ BGP セッションがダウンします。別の例として、リモート リーフ スイッチでこの機能を有効にする場合は、リモート リーフの到達可能性のために OSPF を許可する必要があります。

  7. ポイント 6 のため、単一の POD のリーフまたはスパイン スイッチで CoPP プレフィルタを構成する場合は、BGP および DHCPトラフィックが許可されていることを確認する必要があります。スパイン スイッチが IPN/ISN にも接続されている場合は、OSPF を許可することを検討する必要があります。

  8. ポイント #6 のため、 [Cisco ACI マルチポッド(Cisco ACI Multi-Pod)][Cisco ACI マルチサイト(Cisco ACI Multi-Site)] または [Cisco Nexus ダッシュボード オーケストレータ(Cisco Nexus Dashboard Orchestrator)]、GOLF、またはリモート リーフ スイッチでは、インフラ接続の許可リストに BGP、 DHCP 、および OSPF を追加する必要があります。

  9.   [Cisco Application Policy Infrastructure Controller][APIC])トラフィックが自動的に許可されるため、この機能を有効にしても、リーフスイッチがファブリックから切断されることはありません。ただし、許可リストに明示的に BGP を追加しない限り、この機能を有効にすると、リーフ スイッチへのインフラ BGP セッションが切断されることに注意してください。

  10. COOP トラフィック、vPC コントロール プレーン トラフィック、LACP/LLDP/CDP、ARP などのプロトコル、およびネイバー探索パケット(RS/ RA/NS/NA)は自動的に許可されます。

  11. ICMP、IGMP、およびその他のプロトコルは明示的に許可する必要があります。CoPP プレフィルタを有効にし、サーバーがブリッジ ドメイン サブネット IP アドレスに ping を送信できることを確認する際には、ICMP が許可されていることを確認する必要があります。

  12. ICMP 応答または要求のみを許可する ICMP サブタイプはサポートされていません。ICMP を有効にすると、両方が有効になります。

サポートされるプラットフォーム

このセクションでは、CoPP プレフィルター機能のサポートされているプラットフォームを示します。

リーフ スイッチがサポートされています。

  • N9K-C93108TC-EX

  • N9K-C93108TC-FX

  • N9K-C93108YC-FX

  • N9K-C93180LC-EX

  • N9K-C93180YC-EX

  • N9K-C9348GC-FXP

スパイン スイッチがサポートされています。

  • N9K-C92300YC

  • N9K-C92304QC

  • N9K-C9232C

  • N9K-C9236C

  • N9K-C9272Q

  • N9K-C9364C

  • N9K C9508 FM 2

  • N9K-C9516-FM-E2

制限事項

  • イーサネット タイプ IPv4 または IPv6 パケットだけは、出力 TCAM で一致ことができます。ARP ND パケットが一致しません。

  • 合計 128 (ワイド キー) エントリの許可リストに含めることができます。ただし、一部のエントリは、社外秘予約されています。

GUI を使用した CoPP プレフィルタ、ポリシー グループ、プロファイルの設定

Cisco APIC GUI を使用した CoPP プレフィルタの設定

このセクションでは、Cisco APIC GUI を使用して、リーフ レベルとスパイン レベルで CoPP プレフィルタを設定する方法について説明します。

始める前に

APIC GUI へのアクセス

手順

ステップ 1

  [ファブリック(Fabric)] > [外部アクセス ポリシー(External Access Policies)]をクリックします。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [ポリシー(Policy)] > [スイッチ(Switch)]をクリックします。

  [リーフの CoPP プレフィルタ(CoPP Pre-Filter for Leaf)] および [スパインの CoPP プレフィルタ(CoPP Pre-Filter for Spine)] ノードが [ナビゲーション(Navigation)] ペインに表示されます。

ステップ 3

  [ナビゲーション(Navigation)] ペインで、次のオプションから選択します:

  • [リーフの CoPP プレフィルタ(CoPP Pre-Filter for Leaf)]:リーフ スイッチの CoPP プレフィルタを作成するには、 [リーフの CoPP プレフィルタ(CoPP Pre-Filter for Leaf)] を右クリックし、 [リーフ レベルで適用する CoPP プレフィルタのプロファイルの作成(Create Profiles for CoPP Pre-Filter To Be Applied At The Leaf Level)]を選択します。

  • [スパインの CoPP プレフィルタ(CoPP Pre-Filter for Spine)]:スパイン スイッチの CoPP プレフィルタを作成するには、 [スパインの CoPP プレフィルタ(CoPP Pre-Filter for Spine)] をクリックし、 [スパイン レベルで適用する CoPP プレフィルタのプロファイルの作成(Create Profiles for CoPP Pre-Filter To Be Applied At The Spine Level)] を選択します。

それぞれの CoPP プレフィルタのダイアログが表示されます。

ステップ 4

ダイアログのフィールドに適切な値を入力します。

(注)  

 

ダイアログ ボックスのフィールドの詳細については、ヘルプ アイコンをクリックすると Cisco APIC ヘルプ ファイルが表示されます。

ステップ 5

完了したら、 [送信(Submit)]をクリックします。

次のタスク

ポリシー グループを設定します。

GUI を使用したリーフ ポリシー グループの設定

このセクションでは、ポリシー グループを作成する方法について説明します。

始める前に

Cisco APIC GUI にアクセスします。

手順

ステップ 1

  [ファブリック(Fabric)] > [外部アクセス ポリシー(External Access Policies)]をクリックします。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [スイッチ(Switches)] > [リーフ スイッチ(Leaf Switches)]をクリックします。

  [ポリシー グループ(Policy Groups)] ノードが [ナビゲーション(Navigation)] ペインに表示されます。

ステップ 3

  [ナビゲーション(Navigation)] ペインから、 [ポリシー グループ(Policy Groups)]:リーフ ポリシー グループを作成するには、 [ポリシー グループ(Policy Groups)] を右クリックし、 [アクセス スイッチ ポリシー グループの作成(Create Access Switch Policy Group)]を選択します。

それぞれのポリシー グループ ダイアログが表示されます。

ステップ 4

ポリシー グループ ダイアログから、 [名前(Name)] フィールドに名前を入力して、適用するポリシー タイプのドロップダウン矢印をクリックします。選択したポリシー タイプに設定されているポリシーがドロップダウン リストに表示されます。

(注)  

 

ダイアログ ボックスのフィールドの詳細については、ヘルプ アイコンをクリックすると Cisco APIC ヘルプ ファイルが表示されます。

ステップ 5

完了したら、 [送信(Submit)]をクリックします。

次のタスク

プロファイルを設定します。

GUI を使用したリーフ プロファイルの設定

このセクションでは、プロファイルを作成する方法について説明します。

始める前に

設定されているポリシー グループが必要です。

手順

ステップ 1

  [ファブリック(Fabric)] > [外部アクセス ポリシー(External Access Policies)]をクリックします。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [スイッチ(Switches)] > [リーフ スイッチ(Leaf Switches)] > [プロファイル(Profiles)]をクリックします。

  [リーフ プロファイル(Leaf Profiles)] ノードが [ナビゲーション(Navigation)] ペインに表示されます。

ステップ 3

  [ナビゲーション(Navigation)] ペインから、 [プロファイル(Profiles)]:リーフスイッチのプロファイルを作成するには、 [プロファイル(Profiles)] を右クリックし、 [リーフ プロファイルの作成(Create Leaf Profile)]を選択します。

個別にプロファイル ダイアログが表示されます。

ステップ 4

プロファイル ダイアログから、 [名前(Name)] フィールドに名前を入力し、 [+] をクリックしてセレクタ情報を入力します。終了したら、 [更新(Update)] をクリックします。

  [更新(Update)]をクリックすると、プロファイル ダイアログに戻ります。

ステップ 5

  [次へ(Next)] をクリックして、インターフェイス セレクタ プロファイル情報を入力します。

(注)  

 

ダイアログ ボックスのフィールドの詳細については、ヘルプ アイコンをクリックすると Cisco APIC ヘルプ ファイルが表示されます。

ステップ 6

完了したら、 終了(Finish)をクリックします。

CLI を使用した CoPP プレフィルタの設定

CLI を使用したリーフ スイッチの CoPP プレフィルタの設定

このセクションでは、CoPP プレフィルタ ポリシーとポリシー グループを設定し、CLI を使用してスイッチ ポリシー グループとスイッチ プロファイルを関連付ける方法を説明します。

手順

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# template control-plane-policing-prefilter-leaf <name>

リーフ スイッチの CoPP プレフィルタ プロファイルを作成します。

ステップ 3

Switch (config-control-plane-policing-prefilter-leaf)# permit proto { tcp | udp | eigrp | unspecified | icmp | icmpv6 | egp | igp | l2tp | ospf | pim }

指定された IP プロトコルを許可します。

ステップ 4

Switch (config-control-plane-policing-prefilter-leaf)#exit

グローバル コンフィギュレーション モードを開始します。

ステップ 5

Switch(config)# template leaf-policy-group <name>

CoPP プレフィルタ ポリシー グループ リーフ スイッチを作成します。

ステップ 6

Switch(config-leaf-policy-group)# control-plane-policing-prefilter <name>

CoPP プレフィルタ ポリシーとリーフ ポリシー グループを関連付けます。

ステップ 7

Switch(config-leaf-policy-group)# exit <name>

グローバル コンフィギュレーション モードを開始します。

ステップ 8

Switch(config)# leaf-profile <name>

リーフ プロファイルを作成します。

ステップ 9

Switch(config-leaf-profile)# leaf-group <name>

リーフ プロファイルとリーフ グループを関連付けます。

ステップ 10

Switch(config-leaf-group)# leaf-policy-group <name>

リーフ グループとリーフ ポリシー グループを関連付けます。

CLI を使用したスパイン スイッチの CoPP プレフィルタの設定

このセクションでは、CoPP プレフィルタ ポリシーとポリシー グループを設定し、CLI を使用してスイッチ ポリシー グループとスイッチ プロファイルを関連付ける方法を説明します。

手順

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# template control-plane-policing-prefilter-spine <name>

スパイン スイッチの CoPP プレフィルタ プロファイルを作成します。

ステップ 3

Switch (config-control-plane-policing-prefilter-spine)# permit proto { tcp | udp | eigrp | unspecified | icmp | icmpv6 | egp | igp | l2tp | ospf | pim }

指定された IP プロトコルを許可します。

ステップ 4

Switch (config-control-plane-policing-prefilter-spine)#exit

グローバル コンフィギュレーション モードを開始します。

ステップ 5

Switch(config)# template spine-policy-group <name>

CoPP プレフィルタ ポリシー グループ スパイン スイッチを作成します。

ステップ 6

Switch(config-spine-policy-group)# control-plane-policing-prefilter <name>

CoPP プレフィルタ ポリシーとスパイン ポリシー グループを関連付けます。

ステップ 7

Switch(config-spine-policy-group)# exit <name>

グローバル コンフィギュレーション モードを開始します。

ステップ 8

Switch(config)# spine-profile <name>

スパイン プロファイルを作成します。

ステップ 9

Switch(config-spine-profile)# spine-group <name>

スパイン プロファイルとスパイン グループを関連付けます。

ステップ 10

Switch(config-spine-group)# spine-policy-group <name>

スパイン グループとスパイン ポリシー グループを関連付けます。

REST API を使用した CoPP プレフィルタの設定

REST API を使用したリーフ スイッチの CoPP プレフィルタ ポリシーの設定

このセクションでは、REST API を使用してリーフ スイッチの CoPP プレフィルタ ポリシーを設定する方法について説明します。

手順

ステップ 1

許可リストのエントリとともに CoPP プレフィルタのスイッチ ポリシーを作成します。 


<iaclLeafProfile descr="" dn="uni/infra/iaclspinep-spine_icmp" name="COPP_PreFilter_BGP_Config " ownerKey="" ownerTag="">
<iaclEntry dstAddr="0.0.0.0/0" dstPortFrom="179" dstPortTo="179" ipProto="tcp" name="bgp" nameAlias="" srcAddr="0.0.0.0/0" srcPortFrom="179" srcPortTo="179"/>
</iaclLeafProfile>

ステップ 2

CoPP プレフィルタ ポリシーでスイッチ ポリシー グループを作成します。 


<infraAccNodePGrp descr="" dn="uni/infra/funcprof/accnodepgrp-COPP_PreFilter_BGP_Config " name="COPP_PreFilter_BGP_Config" nameAlias="" ownerKey="" ownerTag="">
<infraRsIaclLeafProfile tnIaclLeafProfileName="COPP_PreFilter_BGP_Config"/>
</infraAccNodePGrp>

ステップ 3

スイッチ プロファイルにスイッチ ポリシー グループを関連付けます。


<infraNodeP descr="" dn="uni/infra/nprof-leafP-103" name="leafP-103" nameAlias="" ownerKey="" ownerTag="">
<infraLeafS descr="" name="103_Sel" nameAlias="" ownerKey="" ownerTag="" type="range">
<infraRsAccNodePGrp tDn="uni/infra/funcprof/accnodepgrp-COPP_PreFilter_BGP_Config"/>
<infraNodeBlk descr="" from_="103" name="nblk1" nameAlias="" to_="103"/>
</infraLeafS>
</infraNodeP>

REST API を使用したスパインの CoPP プレフィルタ ポリシーの設定

このセクションでは、REST API を使用してスパイン スイッチの CoPP プレフィルタ ポリシーを設定する方法について説明します。

手順

ステップ 1

許可リストのエントリとともに CoPP プレフィルタのスイッチ ポリシーを作成します。 


<iaclSpineProfile descr="" dn="uni/infra/iaclspinep-spine_icmp" name="COPP_PreFilter_OSPF_Config" ownerKey="" ownerTag="">
<iaclEntry dstAddr="0.0.0.0/0" dstPortFrom="unspecified" dstPortTo="unspecified" ipProto="ospfigp" name="" nameAlias="" srcAddr="0.0.0.0/0" srcPortFrom="unspecified" srcPortTo="unspecified"/>
</iaclSpineProfile>

ステップ 2

CoPP プレフィルタ ポリシーでスイッチ ポリシー グループを作成します。 

<infraSpineAccNodePGrp descr="" dn="uni/infra/funcprof/spaccnodepgrp-COPP_PreFilter_OSPF_Config" name="COPP_PreFilter_OSPF_Config" nameAlias="" ownerKey="" ownerTag="">
<infraRsIaclSpineProfile tnIaclSpineProfileName="COPP_PreFilter_OSPF_Config"/>
</infraSpineAccNodePGrp>

ステップ 3

スイッチ プロファイルにスイッチ ポリシー グループを関連付けます。

<infraSpineP descr="" dn="uni/infra/spprof-204" name="204" nameAlias="" ownerKey="" ownerTag="">
<infraSpineS descr="" name="204" nameAlias="" ownerKey="" ownerTag="" type="range">
<infraRsSpineAccNodePGrp tDn="uni/infra/funcprof/spaccnodepgrp-COPP_PreFilter_OSPF_Config"/>
<infraNodeBlk descr="" from_="204" name="nodeblock1" nameAlias="" to_="204"/>
</infraSpineS>
<infraRsSpAccPortP tDn="uni/infra/spaccportprof-204"/>
</infraSpineP>

次のタスク