データプレーンポリシング

この章は、次の項で構成されています。

データプレーンポリシングの概要

ACI データプレーンポリシング（DPP）は、 [Cisco アプリケーションセントリックインフラストラクチャ（Cisco Application Centric Infrastructure）] （[ACI]）ファブリックアクセスインターフェイスの帯域幅消費を管理するために使用します。DPP ポリシーは出力トラフィック、入力トラフィック、またはその両方に適用できます。DPP は特定のインターフェイスのデータレートを監視します。データレートがユーザー設定値を超えると、ただちにパケットのマーキングまたはドロップが発生します。ポリシングではトラフィックがバッファリングされないため、伝搬遅延への影響はありません。トラフィックがデータレートを超えると、 [Cisco ACI] ファブリックは、パケットのドロップか、パケット内 QoS フィールドのマーキングのどちらかを実行する可能性があります。

3.2 リリースより前は、DPP ポリシーが EPG に適用されている場合、ポリサーの標準的な動作は EPG メンバーごとでしたが、レイヤ 2 およびレイヤ 3 の場合は同じポリサーがリーフスイッチに割り当てられていました。この区別は、レイヤ 2/レイヤ 3 ケースの DPP ポリサーがすでにインターフェイスごとになっていると想定され、異なるインターフェイスは、別のポリサーを取得できると想定されたため行われました。EPG ごとの DPP ポリシーが導入されましたが、特定のリーフスイッチに複数のメンバーが存在する可能性があることは明らかでした。したがって、ポリサーは、不要なドロップを避けるためにメンバーごとに実行することが理にかなっていました。

3.2 のリリース以降、明確なセマンティクスはデータプレーンポリサーポリシー自体に与えられました。また、CLI に示される共有モード設定を導入する新しいフラグが設けられました。基本的に、データプレーンポリサーがレイヤ 2/レイヤ 3 または各 EPG に適用される場合、異なる暗黙の動作はありません。現在、ユーザーは動作の管理が可能です。共有モードが [共有（shared）]に設定されている場合、同じデータプレーンポリサーを参照するリーフスイッチ上のすべてのエンティティが同じハードウェアポリサーを共有します。共有モードが [専用（dedicated）] に設定されている場合、リーフスイッチの各レイヤ 2 またはレイヤ 3 または EPG メンバーに異なる HW ポリサーが割り当てられます。ポリサーは、制限する必要があるエンティティ専用です。

DPP ポリシーは、シングルレート、デュアルレート、カラー対応のいずれかになります。シングルレートポリシーは、トラフィックのコミット情報レート（CIR）を監視します。デュアルレートポリサーは、CIR とピーク情報レート（PIR）の両方を監視します。また、システムは、関連するバーストサイズもモニタします。指定したデータレートパラメータに応じて、適合（緑）、超過（黄）、違反（赤）の 3 つのカラー、つまり条件が、パケットごとにポリサーによって決定されます。

通常、DPP ポリシーは、サーバやハイパーバイザなどの仮想または物理デバイスへの物理または仮想レイヤ 2 接続に適用されます。ルータについてはレイヤ 3 接続で適用されます。リーフスイッチアクセスポートに適用される DPP ポリシーは、 [Cisco ACI] ファブリックのファブリックアクセス（インフラ）部分で設定され、ファブリック管理者が設定する必要があります。境界リーフスイッチアクセスポート（l3extOut または l2extOut）のインターフェイスに適用される DPP ポリシーは、 [Cisco ACI] ファブリックのテナント（fvTenant）部分で設定され、テナント管理者が設定できます。

データプレーンポリサーは、エンドポイントのグループから [Cisco ACI] ファブリックに入るトラフィックが、EPG のメンバーアクセスインターフェイスごとに制限されるように、EPG に適用されます。これは、アクセスリンクがさまざまな EPG により共有される単一の EPG が独占されることを防ぐために役立ちます。

各状況に設定できるアクションは 1 つだけです。たとえば、DPP ポリシーを最大 200 ミリ秒のバーストで、256,000 bps のデータレートに適合させることが可能です。この場合、システムは、このレートの範囲内のトラフィックに対して適合アクションを適用し、このレートを超えるトラフィックに対して違反アクションを適用します。カラー対応ポリシーは、トラフィックが以前にカラーによってすでにマーキングされているものと見なします。その後、このタイプのポリサーが実行するアクションの中で、その情報が使用されます。

トラフィックストーム制御の概要については、 Cisco APIC レイヤ 2 ネットワーク設定ガイドを参照してください。

Cisco APIC 6.1(2) 以降、ビット毎秒（BPS）モードに加えて、パケット毎秒（PPS）モードがサポートされます。

注意事項と制約事項

下記はデータプレーンポリシングの構成に関する注意事項と制限事項です：

データプレーンポリサー（DPP）は、ACI ファブリックアクセスインターフェイス上の CPU から送信されたパケットおよび CPU バウンドパケットをポリシー処理しません。
専用ポリサー共有モードは EPG レベルのポリサーでのみサポートされ、物理インターフェイス、レイヤ 2 インターフェイス、レイヤ 3 インターフェイスではサポートされません。
出力通信ポリシングは、ファブリックエクステンダ（FEX）ポートではサポートされません。

ポリサーモードオプションのガイドラインおよび制約事項は、次のとおりです：ビットポリサーモード（Bits-Per-Seconds: BPS）およびパケットポリサーモード（Packet-Per-Seconds: PPS）があります。

出力方向では、BPS と PPS の両方のポリサーモードがサポートされます。（PPS ポリサーモードには Cisco ACI 6.1(2) 以降が必要）
出力方向では、PPS ポリサーモードは FX スイッチ以降でのみサポートされます。
入力方向では、BPS ポリサーモードのみがサポートされます。
ポリサー統計情報は、現在設定されているポリサーモードでのみ使用できます。ポリサーモードを変更すると、以前に累積された統計情報が削除されます。

次に、[適合アクション（Conform Action）] と [違反アクション（Violate Action）] を設定する際のガイドラインと制限事項を示します。

入力方向では、次のアクションがサポートされています：
- 適合アクション：ドロップと送信
- 違反アクション：ドロップ、マークおよび送信
出力方向では、次のアクションがサポートされています：
- 適合アクション：ドロップと送信
- 違反アクション：ドロップ

次に、EPG ポリシングのガイドラインと制限事項を示します。

機能サポートは、EX または FX で終わるスイッチモデルおよびそれ以降の後続モデルから開始されます（例：N9K-C93180YC-EX）。
EPG レベルポリサーでは、出力トラフィックポリシングはサポートされていません。
ポリサータイプ 2R3C はサポートされていません。
ポリサーは、次の場合はサポートされていません。 EPG 内分離 が EPG で強制される場合。
調整の統計情報および考慮事項。以下が含まれます。
- 許可/ドロップされたパケットを認識することは、移行に関する問題やリソースの過度な使用を知るために重要です。
- 統計情報は、統計情報のインフラストラクチャを使用して GUI で提供されます。統計は、 [Cisco ACI] ファブリック内の統計と同様に REST API を介してエクスポートされます。
- 統計情報は各 EPG メンバーで使用でき、データプレーンのポリサーポリシーが専用の場合に役立ちます。そうでない場合、統計情報には、リーフスイッチ上でポートを使用するすべてのポートの統計情報が反映されます。
フレームが FCoE でサポートされているデバイスを通過する場合など、特定のケースではこれらは no drop FCoE クラスに分類されます。FCoE デバイスでは、パケット長が許可されている 2,184 バイトよりも長い場合、パケットがドロップオフする可能性があります。

GUI を使用したレイヤ 2 インターフェイスのデータプレーンポリシングの構成

始める前に

データプレーンポリシングポリシーを構成するテナント、VRF、外部ルーテッドネットワークはすでに作成されている必要があります。

レイヤ 2 データプレーンポリシングポリシーを適用するには、ポリシーをポリシーグループに追加し、ポリシーグループをインターフェイスプロファイルにマッピングする必要があります。

手順

ステップ 1

メニューバーで、 [ファブリック（Fabric）] > [アクセスポリシー（Access Policies）]を選択します。

ステップ 2

[ナビゲーション（Navigation）] ペインで [ポリシー（Policies）] > [インターフェイス（Interface）] > [データプレーンポリシング（Data Plane Policing）]を選択します。

ステップ 3

[データプレーンポリシング（Data Plane Policing）]を右クリックし、 [データプレーンポリシングポリシーの作成（Create Data Plane Policing Policy）]をクリックします。

ステップ 4

[データプレーンポリシングポリシーの作成（Create Data Plane Policing Policy）] ダイアログボックスで [名前（Name）] フィールドにポリシーの名前を入力します。

ステップ 5

[管理状態（Administrative State）]については、 [有効（enabled）]を選択します。

ステップ 6

[ポリサーモード（Policer Mode）]では、 [ビットポリサー（Bit Policer）] または [パケットポリサー（Packet Policer）]のいずれかを選択します。

ステップ 7

[タイプ（Type）]については、 [1 レート 2 カラー（1 Rate 2 Color）] または [2 レート 3 カラー（2 Rate 3 Color）]を選択します。

EX/FX で終わるスイッチモデル（例：N9K-C93180YC-EX）以降のモデルは、 [2 レート 3 カラー（2 Rate 3 Color）]をサポートしていません。

（注）

[2 レート 3 カラー（2 Rate 3 Color）] を選択すると、フォールトが生成されます。

ステップ 8

[適合アクション（Conform Action）]では、アクションを選択します。

この選択により、特定の条件に一致するトラフィックのアクションが定義されます。

[ドロップ（Drop）]：条件が満たされた場合、パケットをドロップします。
[マーク（Mark）]：条件が満たされた場合にパケットにマークを付けます。
[送信（Transmit）]：条件が満たされた場合、パケットを送信します。

（注）

次の手順は、出力 DPP 機能には適用されません。

ステップ 9

[適合アクション（Conform Action）] で [マーク（Mark）]を選択した場合は、次のサブステップを実行します。

[適合マーク CoS（Conform mark CoS）]には、条件に適合したパケットのサービスクラスを入力します。
[適合マーク dscp（Conform mark dscp）]には、条件に適合したパケットの差別化サービスコードポイント（DSCP）を入力します。

ステップ 10

管理者は、 [Conform（適合）] および [Violate（違反）] フィールドの CoS および DSCP 値を設定できます。

ステップ 11

[タイプ（Type）] で [2 レート 3 カラー（2 Rate 3 Color）]を選択した場合、 [超過アクション（Exceed Action）]でアクションを選択します。

この選択によって、ある一定の条件を超えるトラフィックのアクションを定義します。

[ドロップ（Drop）]：条件が満たされた場合、パケットをドロップします。
[マーク（Mark）]：条件が満たされた場合にパケットにマークを付けます。
[送信（Transmit）]：条件が満たされた場合、パケットを送信します。

ステップ 12

次の場合に超過アクションで [マーク（Mark）]を選択した場合は、次のサブステップを実行します：

[超過マーク CoS（Exceed mark CoS）] には、条件を超えたパケットのサービスクラスを入力します。
[超過マーク dscp（Exceed mark dscp）]には、条件を超えたパケットの差別化サービスコードポイント（DSCP）を入力します。

ステップ 13

[違反アクション（Violate Action）]:では、アクションを選択します。

この選択によって、特定の条件に違反したトラフィックのアクションを定義します。

[ドロップ（Drop）]：条件が満たされた場合、パケットをドロップします。
[マーク（Mark）]：条件が満たされた場合にパケットにマークを付けます。
[送信（Transmit）]：条件が満たされた場合、パケットを送信します。

ステップ 14

[違反アクション（Violate Action）]: で [マーク（Mark）]を選択した場合は、次のサブステップを実行します：

[違反マーク CoS（Violate mark CoS）]には、条件に違反したパケットのサービスクラスを入力します。
[違反マーク dscp（Violate mark dscp）] には、条件に違反したパケットの差別化サービスコードポイント (DSCP) を入力します。

ステップ 15

[共有モード（Sharing Mode）]については、 [共有ポリサー（Shared Policer）]を選択します。

[共有ポリサー（Shared Policer）] モード機能を使用すると、同じポリシングパラメータを複数のインターフェイスに同時に適用できます。 [専用ポリサー（Dedicated Policer）] モードは、レイヤ 2 インターフェイスではサポートされていません。

ステップ 16

[レート（Rate）]には、パケットがシステムに許可されるレートを入力し、パケットごとの単位を選択します。

ステップ 17

[バースト（Burst）]には、バースト中にラインレートで許可されるパケット数を入力し、パケットごとの単位を選択します。

ステップ 18

[タイプ（Type）] で [2 レート 3 カラー（2 Rate 3 Color）]を選択した場合は、次のサブステップを実行します：

[ピークレート（Peak Rate）]には、超えるとデータトラフィックに悪影響を与えるレートであるピーク情報レートを入力し、パケットあたりの単位を選択します。
[超過バースト（Excessive Burst）]には、すべてのトラフィックがピーク情報レートを超える前にトラフィックバーストの到達を許容できるサイズを入力し、パケットあたりの単位を選択します。

ステップ 19

[送信（Submit）]をクリックします。

これでレイヤ 2 の DPP 構成は完了です。データプレーンポリシーを、レイヤ 2 インターフェイスにマッピングするインターフェイスポリシーグループにマッピングできるようになりました。

レイヤ 3 インターフェイスのデータプレーンポリシングのAPIC GUI を使用した設定

始める前に

データプレーンポリシングポリシーを設定するテナント、VRF、外部ルーテッドネットワークはすでに作成されています。

データプレーンポリシングポリシーは、インターフェイスプロファイルにマッピングされたポリシーグループおよびポリシーグループに追加され、L3 DPP ポリシーを適用する必要があります。

手順

ステップ 1

[ナビゲーション（Navigation）] ペインで、 Tenant_name > [ネットワーキング（Networking）] > [外部ルーテッドネットワーク（External Routed Network）] > Network_name > [論理ノードプロファイル（Logical Node Profiles）] > Logical Node Profile_name > [論理インターフェイスプロファイル（Logical Interface Profiles）]をクリックし、次のアクションを実行します。

[論理インターフェイスプロファイル（Logical Interface Profiles）]を右クリックし、 [インターフェイスプロファイルの作成（Create Interface Profile）]を選択します。
[インターフェイスプロファイルの作成（Create Interface Profile）] ダイアログボックスの [名前（Name）] フィールドに、プロファイルの名前を入力します。
[入力データプレーンポリシングポリシー（Ingress Data Plane Policing Policy）]の隣で、 [データプレーンポリシングポリシーの作成（Create Data Plane Policing Policy）]を選択します。
[名前（Name）] フィールドにポリシーの名前を入力します。
[管理状態（Administrative State）] フィールドで、 [有効（enabled）]をクリックします。
[ポリサーモード（Policer Mode）]の隣で、 [ビットポリサー（Bit Policer）] または [パケットポリサー（Packet Policer）]のいずれかのボタンを選択します。
[タイプ（Type）]の隣で、 [1 レート 2 カラー（1 Rate 2 Color）] または [2 レート 3 カラー（2 Rate 3 Color）]のボタンを選択します。

EX/FX で終わるスイッチモデル（例: N9K-C93180YC-EX）以降のモデルは、2 レート 3 カラーをサポートしていません。

管理者は、 [Conform（適合）] および [Violate（違反）] フィールドの CoS および DSCP 値を設定できます。

[共有モード（Sharing Mode）] フィールドで、ポリサーモードを選択します。

（注）

共有ポリサーモード機能を使用すると、同じポリシングパラメータを複数のインターフェイスに同時に適用できます。

[バースト（Burst）]、 [超過バースト（Excessive Burst）] と [レート（Rate）] フィールドの隣で、ドロップダウン矢印で [1 レート 2 カラー（1 Rate 2 Color）] ポリシータイプを選択します。

（注）

[2 レート 3 カラー（2 Rate 3 Color）] ポリシータイプの場合 [ピークレート（Peak Rate）] フィールドが追加されます。

[送信（Submit）]。

ステップ 2

[ルーテッドインターフェイス（Routed Interfaces）] テーブルの [パス（Path）] フィールドでインターフェイスに移動し、ポリシーを適用して、次のアクションを実行します：

[IPv4/IPv6 優先アドレス（IPv4/IPv6 Preferred Address）]の隣で、サブネット IP アドレスを入力します。
[OK]をクリックします。
[SVI] タブをクリックして展開し、 [パス（Path）] フィールドでインターフェイスに移動して、ポリシーを適用します。
[カプセル化（Encap）]の隣で、VLAN 名を入力します。
[IPv4/IPv6 優先アドレス（IPv4/IPv6 Preferred Address）]の隣で、サブネット IP アドレスを入力します。
[OK]をクリックします。
[ルーテッドサブインターフェイス（Routed Sub-Interfaces）] タブを展開し、ルーテッドインターフェイスについても同じ設定手順を実行します。
[OK]をクリックします。これにより L3 の DPP 設定を完了します。

REST API を使用したデータプレーンポリシングの設定

リーフスイッチに着信するレイヤ 2 トラフィックをポリシングするには、次の手順を実行します。

<!--  api/node/mo/uni/.xml  -->
<infraInfra>
<qosDppPol name="infradpp5" burst="2000" rate="2000" be="400" sharingMode="shared"/>
<!--
 List of nodes. Contains leaf selectors. Each leaf selector contains list of node blocks
-->
<infraNodeP name="leaf1">
<infraLeafS name="leaf1" type="range">
<infraNodeBlk name="leaf1" from_="101" to_="101"/>
</infraLeafS>
<infraRsAccPortP tDn="uni/infra/accportprof-portselector1"/>
</infraNodeP>
<!--
 PortP contains port selectors. Each port selector contains list of ports. It
       also has association to port group policies 
-->
<infraAccPortP name="portselector1">
<infraHPortS name="pselc" type="range">
<infraPortBlk name="blk" fromCard="1" toCard="1" fromPort="48" toPort="49"></infraPortBlk>
<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-portSet2"/>
</infraHPortS>
</infraAccPortP>
<!--  FuncP contains access bundle group policies  -->
<infraFuncP>
<infraAccPortGrp name="portSet2">
<infraRsQosIngressDppIfPol tnQosDppPolName="infradpp5"/>
</infraAccPortGrp>
</infraFuncP>
</infraInfra>

リーフスイッチから発信されるレイヤ 2 トラフィックをポリシングするには、次の手順を実行します。

<!--  api/node/mo/uni/.xml  -->
<infraInfra>
<qosDppPol name="infradpp2" burst="4000" rate="4000"/>
<!--
 List of nodes. Contains leaf selectors. Each leaf selector contains list of node blocks
-->
<infraNodeP name="leaf1">
<infraLeafS name="leaf1" type="range">
<infraNodeBlk name="leaf1" from_="101" to_="101"/>
</infraLeafS>
<infraRsAccPortP tDn="uni/infra/accportprof-portselector2"/>
</infraNodeP>
<!--
 PortP contains port selectors. Each port selector contains list of ports. It
       also has association to port group policies 
-->
<infraAccPortP name="portselector2">
<infraHPortS name="pselc" type="range">
<infraPortBlk name="blk" fromCard="1" toCard="1" fromPort="37" toPort="38"></infraPortBlk>
<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-portSet2"/>
</infraHPortS>
</infraAccPortP>
<!--  FuncP contains access bundle group policies  -->
<infraFuncP>
<infraAccPortGrp name="portSet2">
<infraRsQosEgressDppIfPol tnQosDppPolName="infradpp2"/>
</infraAccPortGrp>
</infraFuncP>
</infraInfra>

リーフスイッチに着信するレイヤ 3 トラフィックをポリシングするには、次の手順を実行します。

<!--  api/node/mo/uni/.xml  -->
<fvTenant name="dppTenant">
<qosDppPol name="gmeo" burst="2000" rate="2000"/>
<l3extOut name="Outside">
<l3extInstP name="extroute"/>
<l3extLNodeP name="borderLeaf">
<l3extRsNodeL3OutAtt tDn="topology/pod-1/node-101" rtrId="10.0.0.1">
<ipRouteP ip="0.0.0.0">
<ipNexthopP nhAddr="192.168.62.2"/>
</ipRouteP>
</l3extRsNodeL3OutAtt>
<l3extLIfP name="portProfile">
<l3extRsPathL3OutAtt addr="192.168.40.1/30" ifInstT="l3-port" tDn="topology/pod-1/paths-101/pathep-[eth1/40]"/>
<l3extRsPathL3OutAtt addr="192.168.41.1/30" ifInstT="l3-port" tDn="topology/pod-1/paths-101/pathep-[eth1/41]"/>
<l3extRsIngressQosDppPol tnQosDppPolName="gmeo"/>
</l3extLIfP>
</l3extLNodeP>
</l3extOut>
</fvTenant>

リーフスイッチから発信されるレイヤ 3 トラフィックをポリシングするには、次の手順を実行します。

<!--  api/node/mo/uni/.xml  -->
<fvTenant name="dppTenant">
<qosDppPol name="gmeo" burst="2000" rate="2000"/>
<l3extOut name="Outside">
<l3extInstP name="extroute"/>
<l3extLNodeP name="borderLeaf">
<l3extRsNodeL3OutAtt tDn="topology/pod-1/node-101" rtrId="10.0.0.1">
<ipRouteP ip="0.0.0.0">
<ipNexthopP nhAddr="192.168.62.2"/>
</ipRouteP>
</l3extRsNodeL3OutAtt>
<l3extLIfP name="portProfile">
<l3extRsPathL3OutAtt addr="192.168.40.1/30" ifInstT="l3-port" tDn="topology/pod-1/paths-101/pathep-[eth1/40]"/>
<l3extRsPathL3OutAtt addr="192.168.41.1/30" ifInstT="l3-port" tDn="topology/pod-1/paths-101/pathep-[eth1/41]"/>
<l3extRsEgressQosDppPol tnQosDppPolName="gmeo"/>
</l3extLIfP>
</l3extLNodeP>
</l3extOut>
</fvTenant>

NX-OS スタイル CLI を使用したデータプレーンポリシングの設定

手順

ステップ 1

1 つの EPG を伝送するようにレイヤ 2 ポートを設定します。

例:

apic1# conf t
apic1(config)# vlan-domain test
apic1(config-vlan)# vlan 1000-2000
apic1(config-vlan)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# vlan-domain member test
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit
apic1(config)# tenant test1
apic1(config-tenant)# vrf context v1
apic1(config-tenant-vrf)# exit
apic1(config-tenant)# bridge-domain bd1
apic1(config-tenant-bd)# vrf member v1
apic1(config-tenant-bd)# exit
apic1(config-tenant)# application ap1
apic1(config-tenant-app)# epg e1
apic1(config-tenant-app-epg)# bridge-domain member bd1
apic1(config-tenant-app-epg)# exit
apic1(config-tenant-app)# exit
apic1(config-tenant)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# switchport trunk allowed vlan 1001 tenant test1 application ap1 epg e1
apic1(config-leaf-if)# switchport trunk allowed vlan 1501 tenant test1 application ap1 epg e1
# Now the port leaf 101 ethernet 1/10 carries two vlan mapped both to the same Tenant/Application/EPG
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit

インターフェイスに適用するポリシーマップを作成します。

例:

apic1(config)# policy-map type data-plane qosTest
apic1(config-pmap-dpp)# set burst 2400 mega
apic1(config-pmap-dpp)# set cir 70 mega 
apic1(config-pmap-dpp)# set sharing-mode shared
apic1(config-pmap-dpp)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# service-policy type data-plane input qosTest
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit
apic1(config)# policy-map type data-plane qosTest2
apic1(config-pmap-dpp)# set cir 78 mega
apic1(config-pmap-dpp)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# service-policy type data-plane output qosTest2
apic1(config-leaf-if)# end

設定されたポリシーを可視化します。

例:

apic1# show policy-map type data-plane infra
Type data-plane policy-maps
====================
Global Policy
policy-map type data-plane default
    set burst unspecified
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set cir 78 mega
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop
Global Policy
policy-map type data-plane qosTest
    set burst 2400 mega
    set cir 78 mega
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop
Global Policy
policy-map type data-plane qosTest2
    set burst unspecified
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set cir 78 mega
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop

show running-config.

例:

apic1# show runn policy-map
# Command: show running-config policy-map
# Time: Fri Jan 29 19:26:18 2016
  policy-map type data-plane default
    exit
  policy-map type data-plane qosTest
    set burst 2400 mega
    set cir 78 mega
    no shutdown
    exit
  policy-map type data-plane qosTest2
    set cir 78 mega
    no shutdown
    exit
apic1# show runn leaf 101
# Command: show running-config leaf 101
# Time: Fri Jan 29 19:26:29 2016
  leaf 101 
    interface ethernet 1/10
      vlan-domain member test
      switchport trunk allowed vlan 1501 tenant test1 application ap1 epg e1 
      service-policy type data-plane input qosTest
      service-policy type data-plane output qosTest2
      exit
    exit

ステップ 2

レイヤ 3 ポートを設定する準備をします。

例:

apic1# conf t
apic1(config)# vlan-domain l3ports
apic1(config-vlan)# vlan 3000-3001
apic1(config-vlan)# exit
apic1(config)# tenant l3test1
apic1(config-tenant)# vrf context v1
apic1(config-tenant-vrf)# exit
apic1(config-tenant)# exit
apic1(config)# leaf 102
apic1(config-leaf)# vrf context tenant l3test1 vrf v1
apic1(config-leaf-vrf)# exit
# Configure a physical Layer 3 port
apic1(config-leaf)# interface ethernet 1/20
apic1(config-leaf-if)# no switchport
apic1(config-leaf-if)# vlan-domain member l3ports
apic1(config-leaf-if)# vrf member tenant l3test1 vrf v1
apic1(config-leaf-if)# ip address 56.1.1.1/24
apic1(config-leaf-if)# ipv6 address 2000::1/64  preferred
apic1(config-leaf-if)# exit
# Configure base interface for L3 subinterfaces
apic1(config-leaf)# interface ethernet 1/21
apic1(config-leaf-if)# vlan-domain member l3ports
apic1(config-leaf-if)# no switchport
apic1(config-leaf-if)# exit
# Configure a Layer 3 subinterface
apic1(config-leaf)# interface ethernet 1/21.3001
apic1(config-leaf-if)# vrf member tenant l3test1 vrf v1
apic1(config-leaf-if)# ip address 60.1.1.1/24
apic1(config-leaf-if)# ipv6 address 2001::1/64 preferred
apic1(config-leaf-if)# exit
# Configure a Switched Vlan Interface
apic1(config-leaf)# interface vlan 3000
apic1(config-leaf-if)# vrf member tenant l3test1 vrf v1
apic1(config-leaf-if)# ip address 70.1.1.1/24
apic1(config-leaf-if)# ipv6 address 3000::1/64 preferred
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit

レイヤ 3 の使用のためにテナントのポリサーを設定します。

例:

apic1(config)# tenant l3test1
apic1(config-tenant)# policy-map type data-plane iPol
apic1(config-tenant-pmap-dpp)# set cir 56 mega
apic1(config-tenant-pmap-dpp)# set burst 2000 kilo
apic1(config-tenant-pmap-dpp)# exit
apic1(config-tenant)# policy-map type data-plane ePol
apic1(config-tenant-pmap-dpp)# set burst 2000 kilo
apic1(config-tenant-pmap-dpp)# set cir 56 mega
apic1(config-tenant-pmap-dpp)# exit
apic1(config-tenant)# exit

レイヤ 3 インターフェイスにポリサーを適用する

例:

apic1(config)# leaf 102
apic1(config-leaf)# interface ethernet 1/20
apic1(config-leaf-if)# service-policy type data-plane input iPol
apic1(config-leaf-if)# service-policy type data-plane output ePol
apic1(config-leaf-if)# exit
apic1(config-leaf)# interface ethernet 1/21.3001
apic1(config-leaf-if)# service-policy type data-plane input iPol
apic1(config-leaf-if)# service-policy type data-plane output ePol
apic1(config-leaf-if)# exit
apic1(config-leaf)# interface vlan 3000
apic1(config-leaf-if)# service-policy type data-plane input iPol
apic1(config-leaf-if)# service-policy type data-plane output ePol
apic1(config-leaf-if)# end

レイヤ 3 インターフェイスで使用されるポリサーのコマンドを表示します。

例:

apic1# show tenant l3test1 policy-map type data-plane
Type data-plane policy-maps
====================
Policy in Tenant: l3test1
policy-map type data-plane ePol
    set burst 2000 kilo
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set cir 56 mega
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop
Policy in Tenant: l3test1
policy-map type data-plane iPol
    set burst 2000 kilo
    set burst unspecified
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set cir 56 mega
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop

レイヤ 3 に使用されるポリサーの show running-config です。

例:

apic1# show runn tenant l3test1
# Command: show running-config tenant l3test1
# Time: Fri Jan 29 19:48:20 2016
  tenant l3test1
    vrf context v1
      exit
    policy-map type data-plane ePol
      set burst 2000 kilo
      set cir 56 mega
      no shutdown
      exit
    policy-map type data-plane iPol
      set burst 2000 kilo
      set cir 56 mega
      no shutdown
      exit
    exit
apic1# show running-config leaf 102
# Command: show running-config leaf 102
# Time: Fri Jan 29 19:48:33 2016
  leaf 102
    vrf context tenant l3test1 vrf v1
      exit
    interface vlan 3000
      vrf member tenant l3test1 vrf v1
      ip address 70.1.1.1/24
      ipv6 address 3000::1/64 preferred
      bfd ip tenant mode
      bfd ipv6 tenant mode
      service-policy type data-plane input iPol
      service-policy type data-plane output ePol
      exit
    interface ethernet 1/20
      vlan-domain member l3ports
      no switchport
      vrf member tenant l3test1 vrf v1
      ip address 56.1.1.1/24
      ipv6 address 2000::1/64 preferred
      bfd ip tenant mode
      bfd ipv6 tenant mode
      service-policy type data-plane input iPol
      service-policy type data-plane output ePol
      exit
    interface ethernet 1/21
      vlan-domain member l3ports
      no switchport
      bfd ip tenant mode
      bfd ipv6 tenant mode
      exit
    interface ethernet 1/21.3001
      vrf member tenant l3test1 vrf v1
      ip address 60.1.1.1/24
      ipv6 address 2001::1/64 preferred
      bfd ip tenant mode
      bfd ipv6 tenant mode
      service-policy type data-plane input iPol
      service-policy type data-plane output ePol
    exit
    exit
apic1#

エンドポイントのグループレベルでのデータプレーンポリシング

データプレーンポリシング（DPP）は、エンドポイントグループ（EPG）に適用できます。トラフィックのポリシングは、EPG が展開されているすべてのリーフスイッチ上のすべての EPG メンバに適用されます。

3.2(1) より前のリリースでは、EPG メンバーごとに独自のポリサーがありました。3.2(1) 以降のリリースでは、動作はデータプレーンポリサーの共有モードプロパティ（CLI または GUI で構成されている場合）に依存します。 [専用（dedicated）]に設定されている場合、状況は 3.2(1) リリース前と同様です。共有モードが [共有（shared）]に設定されている場合、同じデータプレーンポリサーポリシーを使用している同じスライスのすべてのメンバーは、リーフスイッチのハードウェアポリサーを使用します。

たとえば、EPG には次のメンバがあるとします：

リーフ 101、Eth1/1、vlan-300
リーフ 101、Eth1/2、vlan-301
リーフ 102、Eth1/2、vlan-500

この場合、各メンバーは他のメンバーとは独立して、ポリサーに従ってトラフィックを制限します。データプレーンポリサーで共有モードが [共有（shared）]に設定されている場合、上記の同じスライス内のすべてのメンバーは、リーフスイッチで 1 つのポリサーのみを使用します。

データプレーンポリサーは、共有モードが [専用（dedicated）]に設定されている場合、リーフ 101 とリーフ 102 で独立して機能します。次に例を示します：

ポリサー A（100Mbps ポリシング）は、EPG1（リーフ 101 e1/1 vlan-300 、e1/2 vlan-301、およびリーフ 102 e1/2 vlan-500）に適用されます。
リーフ 101：E1/1 vlan-300 および E1/2 vlan-301（インターフェイスごとに 100Mbps）を介したトラフィックに適用される EPG1 レベルでトラフィックをポリシングします。
リーフ 102：E1/2 vlan-500（インターフェイスごとに別の 100Mbps）を介したトラフィックに適用される EPG1 レベルでトラフィックをポリシングします。

EPG1 の合計は最大 300Mbps です。

共有モードが [共有（shared）]に設定されていて、インターフェイスが同じスライスにある場合、同じポリサーを使用して 100 Mbps が EPG 間で共有されます。次に例を示します：

EPG1 および EPG2 に適用されるポリサー A（100Mbps ポリシング）。
リーフ 101：EPG1 と EPG2 のトラフィックの合計をポリシングします。
リーフ 102：EPG1 と EPG2 のトラフィックの合計をポリシングします。

インターフェイスが同じスライスにある場合、EPG1 と EPG2 の合計は最大 200 Mbps です。

以下は、EPG レベルでのデータプレーンポリシングの制限です。

EPG ポリサー機能は、製品 ID に -EX、-FX、またはそれ以降のサフィックスが付いているスイッチモデルでサポートされます。
出力トラフィックポリシングでは EPG レベルポリサーはサポートされていません。
ポリサーモード [1 秒あたりのパケット数（Packet-per-second）] はサポートされていません。
ポリサータイプ 2R3C は EPG ポリサーではサポートされていません。
ポリサーは、 EPG 内分離が EPG に適用されている場合はサポートされていません。
スケール制限は、ノードごとに 128 EPG ポリサーのサポートを可能にします。

CLI を使用したエンドポイントグループレベルでのデータプレーンポリシングの設定

手順の概要

ポリサーの定義：

手順の詳細

ポリサーの定義：

例:

apic1# conf t
apic1(config)# vlan-domain test
apic1(config-vlan)# vlan 1000-2000
apic1(config-vlan)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# vlan-domain member test
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit
apic1(config)# tenant test1
apic1(config-tenant)# vrf context v1
apic1(config-tenant-vrf)# exit
apic1(config-tenant)# bridge-domain bd1
apic1(config-tenant-bd)# vrf member v1
apic1(config-tenant-bd)# exit
apic1(config)# policy-map type data-plane pol1
apic1(config-pmap-dpp)# set burst 2400 mega
apic1(config-pmap-dpp)# set cir 78 mega
apic1(config-pmap-dpp)# exit
apic1(config-tenant)# application ap1
apic1(config-tenant-app)# epg e1
apic1(config-tenant-app-epg)# bridge-domain member db1
apic1(config-tenant-app-epg)# service-policy type data-plane poll
apic1(config-tenant-app-epg)# exit
apic1(config-tenant-app)# exit
apic1(config-tenant)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# switchport trunk allowed vlan 1001 tenant test1 application ap1 epg e1
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit

データプレーン APIC GUI を使用してエンドポイントグループレベルでポリシングを設定する

手順

リスト [テナント（Tenants）] ペインで、 Tenant_name > [ポリシー（Policies）] > [プロトコル（Protocol）] > [データプレーンポリシング（Data Plane Policing）]をクリックします。 [データプレーンポリシング（Data Plane Policing）] を右クリックして、 [データプレーンポリシングポリシーの作成（Create Data Plane Policing Policy）]を選択します。

[名前（Name）] フィールドにポリシーの名前を入力します。
[管理状態（Administrative State）] フィールドで、 [有効（enabled）]をクリックします。
[ポリサーモード（Policer Mode）]の隣で、 [ビットポリサー（Bit Policer）] または [パケットポリサー（Packet Policer）]のいずれかのボタンを選択します。
[タイプ（Type）]の隣で、 [1 レート 2 カラー（1 Rate 2 Color）]のボタンを選択します。
[適合アクション（Conform Action）]では、 [ドロップ（Drop）]、 [マーク（Mark）]または [送信（Transmit）]を選択します。
管理者は、 [Conform（適合）] および [Violate（違反）] フィールドの CoS および DSCP 値を設定できます。
[バースト（Burst）]、 [超過バースト（Excessive Burst）] および [レート（Rate）] フィールドの隣にあるドロップダウン矢印をクリックして、次のいずれかを選択します：
- [バイト/パケット（Bytes/Packets）]
- [キロバイト/パケット（Kilo Bytes/Packets）]
- [メガバイト/パケット（Mega Bytes/Packets）]
- [ギガバイト/パケット（Giga Bytes/Packets）]
- [ミリ秒（Milli Seconds）]
- [マイクロ秒（Micro Seconds）]

データプレーンの Rest API を使用したエンドポイントグループレベルでのポリシングの設定

リーフスイッチに着信するトラフィックを規制します。

<!-- api/node/mo/.xml -->
<polUni>
  <fvTenant  name="t1">                                                                                                                                               
    <qosDppPol name="gmeo" burst="2000" rate="2000"/>
    <fvAp name="ap1">
      <fvAEPg name="ep1">
        <fvRsDppPol tnQosDppPolName="gmeo"/>
      </fvAEPg>
    </fvAp> 
  </fvTenant>
</polUni>

GUI のエンドポイントグループレベルでデータプレーンポリサーの統計情報へのアクセスする

EPG レベルの DPP は、EPG メンバレベルのトラフィックを規制するために使用されます。その結果、統計情報はポリサーが存在するトラフィックをドロップすることを保証する整数です。統計情報は、EPG メンバレベルで詳細に報告されます。

手順

ステップ 1

[テナント（Tenants）] ペインで、 [Tenant_name] > [アプリケーション EPG（Application EPGs）] > [EPG メンバー（EPG Members）] > [静的 EPG メンバー（Static EPG Members）]をクリックします。

ステップ 2

ノードを選択します。

ステップ 3

[統計の選択（Select Stats）]をクリックします。

[サンプリング間隔（Sampling Interval）] の時間単位を選択します。
[利用可能（Available）] ポリサー属性から、矢印を使用して属性を選択します。最大 2 種類の属性を選択できます。
[送信（Submit）]をクリックします。

次のタスク

DPP 統計情報がグラフィカル表示されます。

Cisco APIC リリース 6.1(x) セキュリティ設定ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： データ プレーン ポリシング

データ プレーン ポリシング