この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
コントロール プレーン ポリシング(CoPP)はコントロール プレーンを保護し、それをデータ プレーンから分離することによって、ネットワークの安定性、到達可能性、およびパケット配信を保証します。
この機能により、コントロール プレーンにポリシー マップを適用できるようになります。このポリシー マップは、通常の QoS ポリシーに似ており、非管理ポートからスイッチに入るすべてのトラフィックに適用されます。ネットワーク デバイスへの一般的な攻撃ベクトルは、過剰なトラフィックがデバイス インターフェイスに転送されるサービス妨害(DoS)攻撃です。
Cisco NX-OS デバイスは、DoS 攻撃がパフォーマンスに影響しないようにするために CoPP を提供します。このような攻撃は誤って、または悪意を持って実行される場合があり、通常は、スーパーバイザ モジュールまたは CPU 自体に宛てられた大量のトラフィックが含まれます。
スーパーバイザ モジュールは、管理対象のトラフィックを次の 3 つの機能コンポーネント(プレーン)に分類します。
スーパーバイザ モジュールには、マネージメント プレーンとコントロール プレーンの両方が搭載され、ネットワークの運用にクリティカルなモジュールです。スーパーバイザ モジュールの動作が途絶したり、スーパーバイザ モジュールが攻撃されたりすると、重大なネットワークの停止につながります。たとえば、スーパーバイザに過剰なトラフィックが加わると、スーパーバイザ モジュールが過負荷になり、Cisco NX-OS デバイス全体のパフォーマンスが低下する可能性があります。たとえば、スーパーバイザ モジュールに対する DoS 攻撃は、コントロール プレーンに対して非常に高速に IP トラフィック ストリームを生成することがあります。これにより、コントロール プレーンは、これらのパケットを処理するために大量の時間を費やしてしまい、本来のトラフィックを処理できなくなります。
DoS 攻撃の例は次のとおりです。
これらの攻撃によりデバイスのパフォーマンスが影響を受け、次のようなマイナスの結果をもたらします。
サービス品質の低下(音声、ビデオ、または重要なアプリケーション トラフィックの低下など)
ルート プロセッサまたはスイッチ プロセッサの高い CPU 使用率
ルーティング プロトコルのアップデートまたはキープアライブの消失によるルート フラップ
不安定なレイヤ 2 トポロジ
CLI との低速な、または応答を返さない対話型セッション
メモリやバッファなどのプロセッサ リソースの枯渇
着信パケットの無差別のドロップ
注意 | コントロール プレーンの保護策を講じることで、スーパーバイザ モジュールを偶発的な攻撃や悪意ある攻撃から確実に保護することが重要です。 |
コントロール プレーンを保護するため、Cisco NX-OS デバイスはコントロール プレーンに向かうさまざまなパケットを異なるクラスに分離します。クラスの識別が終わると、Cisco NX-OS デバイスはパケットをポリシングします。これにより、スーパーバイザ モジュールに過剰な負担がかからないようになります。
コントロール プレーンには、次のような異なるタイプのパケットが到達します。
これらのさまざまなパケットは、コントロール プレーンへの悪意ある攻撃に利用され、Cisco NX-OS デバイスに過剰な負荷をかける可能性があります。CoPP は、これらのパケットを異なるクラスに分類し、これらのパケットをスーパーバイザが受信する速度を個別に制御するメカニズムを提供します。
効果的に保護するために、Cisco NX-OS デバイスはスーパーバイザ モジュールに到達するパケットを分類して、パケット タイプに基づいた異なるレート制御ポリシーを適用できるようにします。たとえば、Hello メッセージなどのプロトコル パケットには厳格さを緩め、IP オプションがセットされているためにスーパーバイザ モジュールに送信されるパケットには厳格さを強めることが考えられます。クラス マップとポリシー マップを使用して、パケットの分類およびレート制御ポリシーを設定します。
パケットの分類が終わると、Cisco NX-OS デバイスにはスーパーバイザ モジュールに到達するパケットのレートを制御するメカニズムがあります。スーパーバイザ モジュールへのトラフィックのレート制御には 2 つのメカニズムを使用します。1 つはポリシング、もう 1 つはレート制限と呼ばれるものです。
ハードウェア ポリサーを使用すると、トラフィックが所定の条件に一致する場合、または違反する場合について異なるアクションを定義できます。このアクションには、パケットの送信、パケットのマーク付け、およびパケットのドロップがあります。
ポリシングには、次のパラメータを設定できます。
さらに、一致トラフィックおよび違反トラフィックに対して、送信またはドロップなどの異なるアクションを設定できます。
ポリシング パラメータの詳細については、『Cisco Nexus 9000 Series NX-OS Quality of Service Configuration Guide』を参照してください。
CoPP アクセス コントロール リスト(ACL)は、ダイナミックまたはスタティックのいずれかに分類されます。Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチでは、ダイナミック CoPP ACL のみ使用します。Cisco Nexus 9200 シリーズ スイッチでは、ダイナミックおよびスタティックの両方の CoPP ACL を使用します。
ダイナミック CoPP ACL は Forwarding Information Base(FIB; 転送情報ベース)ベースのスーパーバイザ リダイレクト パケットに対してのみ機能し、スタティック CoPP ACL は ACL ベースのスーパーバイザ リダイレクト パケットに対して機能します。ダイナミック CoPP ACL がサポートされるのは myIP およびリンクローカル マルチキャスト トラフィックであり、スタティック CoPP ACL がサポートされるのは、その他すべてのタイプのトラフィックです。
スタティック CoPP ACL の識別はサブストリングで行われます。こうしたいずれかのサブストリングを持つ ACL は、すべてスタティック CoPP ACL に分類されます。
MAC ベースのスタティック CoPP ACL サブストリング:
プロトコル ベースのスタティック CoPP ACL のサブストリング:
マルチキャスト ベースのスタティック CoPP ACL サブストリング:
スタティック CoPP ACL の詳細については、「CoPP の注意事項と制約事項」を参照してください。
Cisco NX-OS デバイスの初回起動時に、DoS 攻撃からスーパーバイザ モジュールを保護するためのデフォルトの copp-system-p-policy-strict ポリシーが Cisco NX-OS ソフトウェアによりインストールされます。最初のセットアップ ユーティリティで、次のいずれかの CoPP ポリシー オプションを選択することにより、保護レベルを設定できます。
Strict:このポリシーは 1 レート、2 カラーです。
Moderate:このポリシーは 1 レート、2 カラーです。重要クラスのバースト サイズは strict ポリシーより大きく、lenient ポリシーより小さくなります。
Lenient:このポリシーは 1 レート、2 カラーです。重要クラスのバースト サイズは moderate ポリシーより大きく、dense ポリシーより小さくなります。
Dense:このポリシーは 1 レート、2 カラーです。ポリサーの CIR 値は、strict ポリシーよりも低くなります。
Skip:コントロール プレーン ポリシーは適用されません(このオプションは Cisco NX-OS リリース 7.0(3)I2(1) 以降では削除されました。それより前のリリースに関しては、ネットワークのコントロール プレーンに影響するため、skip オプションの使用は推奨されません)。
オプションを選択しなかった場合や、セットアップ ユーティリティを実行しなかった場合には、strict ポリシングが適用されます。strict ポリシーから開始し、必要に応じて、CoPP ポリシーを変更することを推奨します。
copp-system-p-policy ポリシーには、基本的なデバイス操作に最も適した値が設定されています。使用する DoS に対する保護要件に適合するよう、特定のクラスやアクセス コントロール リスト(ACL)を追加する必要があります。デフォルト CoPP ポリシーは、ソフトウェアをアップグレードしても変更されません。
注意 | skip オプションを選択し、その後に CoPP 保護を設定していない場合、Cisco NX-OS デバイスは DoS 攻撃対して脆弱な状態になります。 |
CLI プロンプトから setup コマンドを実行して再度セットアップ ユーティリティを起動するか、または copp profile コマンドを使用して、CoPP のデフォルト ポリシーを再割り当てできます。
copp-system-class-critical クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-critical match access-group name copp-system-p-acl-bgp match access-group name copp-system-p-acl-rip match access-group name copp-system-p-acl-vpc match access-group name copp-system-p-acl-bgp6 match access-group name copp-system-p-acl-ospf match access-group name copp-system-p-acl-rip6 match access-group name copp-system-p-acl-eigrp match access-group name copp-system-p-acl-ospf6 match access-group name copp-system-p-acl-eigrp6 match access-group name copp-system-p-acl-auto-rp match access-group name copp-system-p-acl-mac-l3-isis
copp-system-class-exception クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-exception match exception ip option match exception ip icmp unreachable match exception ipv6 option match exception ipv6 icmp unreachable
copp-system-class-exception-diag クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-exception-diag match exception ttl-failure match exception mtu-failure
copp-system-class-important クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-important match access-group name copp-system-p-acl-hsrp match access-group name copp-system-p-acl-vrrp match access-group name copp-system-p-acl-hsrp6 match access-group name copp-system-p-acl-vrrp6 match access-group name copp-system-p-acl-mac-lldp
copp-system-class-l2-default クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-l2-default match access-group name copp-system-p-acl-mac-undesirable
copp-system-class-l2-unpoliced クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-l2-unpoliced match access-group name copp-system-p-acl-mac-stp match access-group name copp-system-p-acl-mac-lacp match access-group name copp-system-p-acl-mac-cfsoe match access-group name copp-system-p-acl-mac-sdp-srp match access-group name copp-system-p-acl-mac-l2-tunnel match access-group name copp-system-p-acl-mac-cdp-udld-vtp
copp-system-class-l3mc-data クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-l3mc-data match exception multicast rpf-failure match exception multicast dest-miss
copp-system-class-l3uc-data クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-l3uc-data match exception glean
copp-system-class-management クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-management match access-group name copp-system-p-acl-ftp match access-group name copp-system-p-acl-ntp match access-group name copp-system-p-acl-ssh match access-group name copp-system-p-acl-http match access-group name copp-system-p-acl-ntp6 match access-group name copp-system-p-acl-sftp match access-group name copp-system-p-acl-snmp match access-group name copp-system-p-acl-ssh6 match access-group name copp-system-p-acl-tftp match access-group name copp-system-p-acl-https match access-group name copp-system-p-acl-snmp6 match access-group name copp-system-p-acl-tftp6 match access-group name copp-system-p-acl-radius match access-group name copp-system-p-acl-tacacs match access-group name copp-system-p-acl-telnet match access-group name copp-system-p-acl-radius6 match access-group name copp-system-p-acl-tacacs6 match access-group name copp-system-p-acl-telnet6
copp-system-class-monitoring クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-monitoring match access-group name copp-system-p-acl-icmp match access-group name copp-system-p-acl-icmp6 match access-group name copp-system-p-acl-traceroute
copp-system-class-multicast-host クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-multicast-host match access-group name copp-system-p-acl-mld
copp-system-class-multicast-router クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-multicast-router match access-group name copp-system-p-acl-pim match access-group name copp-system-p-acl-msdp match access-group name copp-system-p-acl-pim6 match access-group name copp-system-p-acl-pim-reg match access-group name copp-system-p-acl-pim6-reg match access-group name copp-system-p-acl-pim-mdt-join
copp-system-class-nat-flow クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-nat-flow match exception nat-flow
copp-system-class-ndp クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-ndp match access-group name copp-system-p-acl-ndp
copp-system-class-normal クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-normal match access-group name copp-system-p-acl-mac-dot1x match protocol arp
copp-system-class-normal-dhcp クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-normal-dhcp match access-group name copp-system-p-acl-dhcp match access-group name copp-system-p-acl-dhcp6
copp-system-class-normal-dhcp-relay-response クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-normal-dhcp-relay-response match access-group name copp-system-p-acl-dhcp-relay-response match access-group name copp-system-p-acl-dhcp6-relay-response
copp-system-class-normal-igmp クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-normal-igmp match access-group name copp-system-p-acl-igmp
copp-system-class-redirect クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-redirect match access-group name copp-system-p-acl-ptp
copp-system-class-undesirable クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-undesirable match access-group name copp-system-p-acl-undesirable match exception multicast sg-rpf-failure
copp-system-class-fcoe クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-fcoe match access-group name copp-system-p-acl-mac-fcoe
(注) | copp-system-class-fcoe クラスは Cisco Nexus 9200 シリーズ スイッチではサポートされていません。 |
Cisco Nexus 9200 シリーズ スイッチの場合、strict CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-strict class copp-system-p-class-l3uc-data set cos 1 police cir 800 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-critical set cos 7 police cir 36000 kbps bc 1280000 bytes conform transmit violate drop class copp-system-p-class-important set cos 6 police cir 2500 kbps bc 1280000 bytes conform transmit violate drop class copp-system-p-class-multicast-router set cos 6 police cir 2600 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-management set cos 2 police cir 10000 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-multicast-host set cos 1 police cir 1000 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-l3mc-data set cos 1 police cir 2400 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-normal set cos 1 police cir 1400 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-ndp set cos 6 police cir 1400 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-normal-dhcp set cos 1 police cir 1300 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-normal-dhcp-relay-response set cos 1 police cir 1500 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-normal-igmp set cos 3 police cir 3000 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-redirect set cos 1 police cir 280 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-exception set cos 1 police cir 150 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-exception-diag set cos 1 police cir 150 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-monitoring set cos 1 police cir 150 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-l2-unpoliced set cos 7 police cir 50 mbps bc 8192000 bytes conform transmit violate drop class copp-system-p-class-undesirable set cos 0 police cir 200 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-nat-flow set cos 7 police cir 800 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-l2-default set cos 0 police cir 400 kbps bc 32000 bytes conform transmit violate drop class class-default set cos 0 police cir 400 kbps bc 32000 bytes conform transmit violate drop
Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチの場合、strict CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-strict class copp-system-p-class-l3uc-data set cos 1 police cir 250 pps bc 32 packets conform transmit violate drop class copp-system-p-class-critical set cos 7 police cir 19000 pps bc 128 packets conform transmit violate drop class copp-system-p-class-important set cos 6 police cir 3000 pps bc 128 packets conform transmit violate drop class copp-system-p-class-multicast-router set cos 6 police cir 3000 pps bc 128 packets conform transmit violate drop class copp-system-p-class-management set cos 2 police cir 3000 pps bc 32 packets conform transmit violate drop class copp-system-p-class-multicast-host set cos 1 police cir 2000 pps bc 128 packets conform transmit violate drop class copp-system-p-class-l3mc-data set cos 1 police cir 3000 pps bc 32 packets conform transmit violate drop class copp-system-p-class-normal set cos 1 police cir 1500 pps bc 32 packets conform transmit violate drop class copp-system-p-class-ndp set cos 6 police cir 1500 pps bc 32 packets conform transmit violate drop class copp-system-p-class-normal-dhcp set cos 1 police cir 300 pps bc 32 packets conform transmit violate drop class copp-system-p-class-normal-dhcp-relay-response set cos 1 police cir 400 pps bc 64 packets conform transmit violate drop class copp-system-p-class-normal-igmp set cos 3 police cir 6000 pps bc 64 packets conform transmit violate drop class copp-system-p-class-redirect set cos 1 police cir 1500 pps bc 32 packets conform transmit violate drop class copp-system-p-class-exception set cos 1 police cir 50 pps bc 32 packets conform transmit violate drop class copp-system-p-class-exception-diag set cos 1 police cir 50 pps bc 32 packets conform transmit violate drop class copp-system-p-class-monitoring set cos 1 police cir 300 pps bc 128 packets conform transmit violate drop class copp-system-p-class-l2-unpoliced set cos 7 police cir 20000 pps bc 8192 packets conform transmit violate drop class copp-system-p-class-undesirable set cos 0 police cir 15 pps bc 32 packets conform transmit violate drop class copp-system-p-class-fcoe set cos 6 police cir 1500 pps bc 128 packets conform transmit violate drop class copp-system-p-class-nat-flow set cos 7 police cir 100 pps bc 64 packets conform transmit violate drop class copp-system-p-class-l2-default set cos 0 police cir 50 pps bc 32 packets conform transmit violate drop class class-default set cos 0 police cir 50 pps bc 32 packets conform transmit violate drop
Cisco Nexus 9200 シリーズ スイッチの場合、moderate CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-moderate class copp-system-p-class-l3uc-data set cos 1 police cir 800 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-critical set cos 7 police cir 36000 kbps bc 1920000 bytes conform transmit violate drop class copp-system-p-class-important set cos 6 police cir 2500 kbps bc 1920000 bytes conform transmit violate drop class copp-system-p-class-multicast-router set cos 6 police cir 2600 kbps bc 192000 bytes conform transmit violate drop class copp-system-p-class-management set cos 2 police cir 10000 kbps bc 48000 bytes conform transmit violate drop class copp-system-p-class-multicast-host set cos 1 police cir 1000 kbps bc 192000 bytes conform transmit violate drop class copp-system-p-class-l3mc-data set cos 1 police cir 2400 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-normal set cos 1 police cir 1400 kbps bc 48000 bytes conform transmit violate drop class copp-system-p-class-ndp set cos 6 police cir 1400 kbps bc 48000 bytes conform transmit violate drop class copp-system-p-class-normal-dhcp set cos 1 police cir 1300 kbps bc 48000 bytes conform transmit violate drop class copp-system-p-class-normal-dhcp-relay-response set cos 1 police cir 1500 kbps bc 96000 bytes conform transmit violate drop class copp-system-p-class-normal-igmp set cos 3 police cir 3000 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-redirect set cos 1 police cir 280 kbps bc 48000 bytes conform transmit violate drop class copp-system-p-class-exception set cos 1 police cir 150 kbps bc 48000 bytes conform transmit violate drop class copp-system-p-class-exception-diag set cos 1 police cir 150 kbps bc 48000 bytes conform transmit violate drop class copp-system-p-class-monitoring set cos 1 police cir 150 kbps bc 192000 bytes conform transmit violate drop class copp-system-p-class-l2-unpoliced set cos 7 police cir 50 mbps bc 8192000 bytes conform transmit violate drop class copp-system-p-class-undesirable set cos 0 police cir 200 kbps bc 48000 bytes conform transmit violate drop class copp-system-p-class-nat-flow set cos 7 police cir 800 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-l2-default set cos 0 police cir 400 kbps bc 48000 bytes conform transmit violate drop class class-default set cos 0 police cir 400 kbps bc 48000 bytes conform transmit violate drop
Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチの場合、moderate CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-moderate class copp-system-p-class-l3uc-data set cos 1 police cir 250 pps bc 32 packets conform transmit violate drop class copp-system-p-class-critical set cos 7 police cir 19000 pps bc 192 packets conform transmit violate drop class copp-system-p-class-important set cos 6 police cir 3000 pps bc 192 packets conform transmit violate drop class copp-system-p-class-multicast-router set cos 6 police cir 3000 pps bc 192 packets conform transmit violate drop class copp-system-p-class-management set cos 2 police cir 3000 pps bc 48 packets conform transmit violate drop class copp-system-p-class-multicast-host set cos 1 police cir 2000 pps bc 192 packets conform transmit violate drop class copp-system-p-class-l3mc-data set cos 1 police cir 3000 pps bc 32 packets conform transmit violate drop class copp-system-p-class-normal set cos 1 police cir 1500 pps bc 48 packets conform transmit violate drop class copp-system-p-class-ndp set cos 6 police cir 1500 pps bc 48 packets conform transmit violate drop class copp-system-p-class-normal-dhcp set cos 1 police cir 300 pps bc 48 packets conform transmit violate drop class copp-system-p-class-normal-dhcp-relay-response set cos 1 police cir 400 pps bc 96 packets conform transmit violate drop class copp-system-p-class-normal-igmp set cos 3 police cir 6000 pps bc 64 packets conform transmit violate drop class copp-system-p-class-redirect set cos 1 police cir 1500 pps bc 48 packets conform transmit violate drop class copp-system-p-class-exception set cos 1 police cir 50 pps bc 48 packets conform transmit violate drop class copp-system-p-class-exception-diag set cos 1 police cir 50 pps bc 48 packets conform transmit violate drop class copp-system-p-class-monitoring set cos 1 police cir 300 pps bc 192 packets conform transmit violate drop class copp-system-p-class-l2-unpoliced set cos 7 police cir 20000 pps bc 8192 packets conform transmit violate drop class copp-system-p-class-undesirable set cos 0 police cir 15 pps bc 48 packets conform transmit violate drop class copp-system-p-class-fcoe set cos 6 police cir 1500 pps bc 192 packets conform transmit violate drop class copp-system-p-class-nat-flow set cos 7 police cir 100 pps bc 64 packets conform transmit violate drop class copp-system-p-class-l2-default set cos 0 police cir 50 pps bc 48 packets conform transmit violate drop class class-default set cos 0 police cir 50 pps bc 48 packets conform transmit violate drop
Cisco Nexus 9200 シリーズ スイッチの場合、lenient CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-lenient class copp-system-p-class-l3uc-data set cos 1 police cir 800 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-critical set cos 7 police cir 36000 kbps bc 2560000 bytes conform transmit violate drop class copp-system-p-class-important set cos 6 police cir 2500 kbps bc 2560000 bytes conform transmit violate drop class copp-system-p-class-multicast-router set cos 6 police cir 2600 kbps bc 256000 bytes conform transmit violate drop class copp-system-p-class-management set cos 2 police cir 10000 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-multicast-host set cos 1 police cir 1000 kbps bc 256000 bytes conform transmit violate drop class copp-system-p-class-l3mc-data set cos 1 police cir 2400 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-normal set cos 1 police cir 1400 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-ndp set cos 6 police cir 1400 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-normal-dhcp set cos 1 police cir 1300 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-normal-dhcp-relay-response set cos 1 police cir 1500 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-normal-igmp set cos 3 police cir 3000 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-redirect set cos 1 police cir 280 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-exception set cos 1 police cir 150 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-exception-diag set cos 1 police cir 150 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-monitoring set cos 1 police cir 150 kbps bc 256000 bytes conform transmit violate drop class copp-system-p-class-l2-unpoliced set cos 7 police cir 50 mbps bc 8192000 bytes conform transmit violate drop class copp-system-p-class-undesirable set cos 0 police cir 200 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-nat-flow set cos 7 police cir 800 kbps bc 64000 bytes conform transmit violate drop class copp-system-p-class-l2-default set cos 0 police cir 400 kbps bc 64000 bytes conform transmit violate drop class class-default set cos 0 police cir 400 kbps bc 64000 bytes conform transmit violate drop
Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチの場合、lenient CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-lenient class copp-system-p-class-l3uc-data set cos 1 police cir 250 pps bc 32 packets conform transmit violate drop class copp-system-p-class-critical set cos 7 police cir 19000 pps bc 256 packets conform transmit violate drop class copp-system-p-class-important set cos 6 police cir 3000 pps bc 256 packets conform transmit violate drop class copp-system-p-class-multicast-router set cos 6 police cir 3000 pps bc 256 packets conform transmit violate drop class copp-system-p-class-management set cos 2 police cir 3000 pps bc 64 packets conform transmit violate drop class copp-system-p-class-multicast-host set cos 1 police cir 2000 pps bc 256 packets conform transmit violate drop class copp-system-p-class-l3mc-data set cos 1 police cir 3000 pps bc 32 packets conform transmit violate drop class copp-system-p-class-normal set cos 1 police cir 1500 pps bc 64 packets conform transmit violate drop class copp-system-p-class-ndp set cos 6 police cir 1500 pps bc 64 packets conform transmit violate drop class copp-system-p-class-normal-dhcp set cos 1 police cir 300 pps bc 64 packets conform transmit violate drop class copp-system-p-class-normal-dhcp-relay-response set cos 1 police cir 400 pps bc 128 packets conform transmit violate drop class copp-system-p-class-normal-igmp set cos 3 police cir 6000 pps bc 64 packets conform transmit violate drop class copp-system-p-class-redirect set cos 1 police cir 1500 pps bc 64 packets conform transmit violate drop class copp-system-p-class-exception set cos 1 police cir 50 pps bc 64 packets conform transmit violate drop class copp-system-p-class-exception-diag set cos 1 police cir 50 pps bc 64 packets conform transmit violate drop class copp-system-p-class-monitoring set cos 1 police cir 300 pps bc 256 packets conform transmit violate drop class copp-system-p-class-l2-unpoliced set cos 7 police cir 20000 pps bc 8192 packets conform transmit violate drop class copp-system-p-class-undesirable set cos 0 police cir 15 pps bc 64 packets conform transmit violate drop class copp-system-p-class-fcoe set cos 6 police cir 1500 pps bc 256 packets conform transmit violate drop class copp-system-p-class-nat-flow set cos 7 police cir 100 pps bc 64 packets conform transmit violate drop class copp-system-p-class-l2-default set cos 0 police cir 50 pps bc 64 packets conform transmit violate drop class class-default set cos 0 police cir 50 pps bc 64 packets conform transmit violate drop
Cisco Nexus 9200 シリーズ スイッチの場合、dense CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-dense class copp-system-p-class-l3uc-data set cos 1 police cir 800 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-critical set cos 7 police cir 4500 kbps bc 1280000 bytes conform transmit violate drop class copp-system-p-class-important set cos 6 police cir 2500 kbps bc 1280000 bytes conform transmit violate drop class copp-system-p-class-multicast-router set cos 6 police cir 370 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-management set cos 2 police cir 2500 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-multicast-host set cos 2 police cir 300 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-l3mc-data set cos 1 police cir 600 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-normal set cos 1 police cir 1400 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-ndp set cos 1 police cir 350 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-normal-dhcp set cos 1 police cir 750 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-normal-dhcp-relay-response set cos 1 police cir 750 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-normal-igmp set cos 3 police cir 1400 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-redirect set cos 1 police cir 200 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-exception set cos 1 police cir 200 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-exception-diag set cos 1 police cir 200 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-monitoring set cos 1 police cir 150 kbps bc 128000 bytes conform transmit violate drop class copp-system-p-class-l2-unpoliced set cos 7 police cir 50 mbps bc 8192000 bytes conform transmit violate drop class copp-system-p-class-undesirable set cos 0 police cir 100 kbps bc 32000 bytes conform transmit violate drop class copp-system-p-class-l2-default set cos 0 police cir 200 kbps bc 32000 bytes conform transmit violate drop class class-default set cos 0 police cir 200 kbps bc 32000 bytes conform transmit violate drop
Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチの場合、dense CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-dense class copp-system-p-class-l3uc-data set cos 1 police cir 250 pps bc 32 packets conform transmit violate drop class copp-system-p-class-critical set cos 7 police cir 2500 pps bc 128 packets conform transmit violate drop class copp-system-p-class-important set cos 6 police cir 1200 pps bc 128 packets conform transmit violate drop class copp-system-p-class-multicast-router set cos 6 police cir 1200 pps bc 128 packets conform transmit violate drop class copp-system-p-class-management set cos 2 police cir 1200 pps bc 128 packets conform transmit violate drop class copp-system-p-class-multicast-host set cos 2 police cir 1000 pps bc 128 packets conform transmit violate drop class copp-system-p-class-l3mc-data set cos 1 police cir 1200 pps bc 32 packets conform transmit violate drop class copp-system-p-class-normal set cos 1 police cir 750 pps bc 32 packets conform transmit violate drop class copp-system-p-class-ndp set cos 1 police cir 750 pps bc 32 packets conform transmit violate drop class copp-system-p-class-normal-dhcp set cos 1 police cir 150 pps bc 128 packets conform transmit violate drop class copp-system-p-class-normal-dhcp-relay-response set cos 1 police cir 200 pps bc 128 packets conform transmit violate drop class copp-system-p-class-normal-igmp set cos 3 police cir 2500 pps bc 128 packets conform transmit violate drop class copp-system-p-class-redirect set cos 1 police cir 1500 pps bc 32 packets conform transmit violate drop class copp-system-p-class-exception set cos 1 police cir 50 pps bc 32 packets conform transmit violate drop class copp-system-p-class-exception-diag set cos 1 police cir 50 pps bc 32 packets conform transmit violate drop class copp-system-p-class-monitoring set cos 1 police cir 50 pps bc 128 packets conform transmit violate drop class copp-system-p-class-l2-unpoliced set cos 7 police cir 20000 pps bc 8192 packets conform transmit violate drop class copp-system-p-class-undesirable set cos 0 police cir 15 pps bc 32 packets conform transmit violate drop class copp-system-p-class-fcoe set cos 6 police cir 750 pps bc 128 packets conform transmit violate drop class copp-system-p-class-l2-default set cos 0 police cir 25 pps bc 32 packets conform transmit violate drop class class-default set cos 0 police cir 25 pps bc 32 packets conform transmit violate drop
特定のポリシーの 1 秒間あたりのパケット(PPS)の合計(ポリシーの各クラス部分の PPS の合計)の上限は、PPS のクレジット制限(PCL)の上限になります。特定のクラスの PPS が増加して PCL 超過すると、設定が拒否されます。目的の PPS を増やすには、PCL を超える PPS の分を他のクラスから減少させる必要があります。
CoPP は、モジュラ QoS コマンドライン インターフェイス(MQC)を使用します。MQC は CLI の構造を持っています。MQC を使用すると、トラフィック クラスの定義、トラフィック ポリシー(ポリシー マップ)の作成、およびインターフェイスへのトラフィック ポリシーの適用が可能になります。トラフィック ポリシーには、トラフィック クラスに適用する CoPP 機能を含めます。
1. class-map コマンドを使用して、トラフィック クラスを定義します 。トラフィック クラスは、トラフィックの分類に使用します。
2.
policy-map コマンドを使用して、トラフィック ポリシーを定義します 。トラフィック ポリシー(ポリシー マップ)には、トラフィック クラスと、トラフィック クラスに適用する 1 つまたは複数の CoPP 機能を含めます。トラフィック ポリシー内の CoPP の機能で、分類されたトラフィックの処理方法が決まります。
3.
control-plane コマンド および service-policy コマンドを使用して、トラフィック ポリシー(ポリシー マップ)をコントロール プレーンに適用します。
Cisco NX-OS デバイスは、管理インターフェイス(mgmt0)をサポートしないハードウェア ベースの CoPP だけをサポートします。アウトオブバンド mgmt0 インターフェイスは CPU に直接接続するため、CoPP が実装されているインバンド トラフィック ハードウェアは通過しません。
mgmt0 インターフェイスで、ACL を設定して、特定タイプのトラフィックへのアクセスを許可または拒否することができます。
次の表に、この機能のライセンス要件を示します。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
CoPP にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
CoPP に関する注意事項と制約事項は次のとおりです。
最初に strict デフォルト CoPP ポリシーを使用し、後で、データセンターおよびアプリケーションの要件に基づいて CoPP ポリシーを変更することを推奨します。
CoPP のカスタマイズは継続的なプロセスです。CoPP を設定するときには、特定の環境で使用されるプロトコルや機能に加えて、サーバ環境に必要なスーパーバイザ機能を考慮する必要があります。これらのプロトコルや機能が変更されたら、CoPP を変更する必要があります。
CoPP を継続的にモニタすることを推奨します。ドロップが発生した場合は、CoPP がトラフィックを誤ってドロップしたのか、または誤動作や攻撃に応答してドロップしたのかを判定してください。いずれの場合も、状況を分析し、CoPP ポリシーを変更する必要を評価します。
他のクラス マップで指定しないトラフィックはすべて、最後のクラス(デフォルト クラス)に配置されます。このクラス内のドロップをモニタし、これらのドロップが必要のないトラフィックに基づいているのか、または設定されていないために追加が必要な機能の結果であるかどうかを調査します。
アクセス コントロール リスト(ACL)を通してルータ プロセッサにリダイレクトする必要のあるパケット(たとえば、ARP および DHCP)を判定するために、すべてのブロードキャスト トラフィックが CoPP ロジックを通して送信されます。リダイレクトする必要のないブロードキャスト トラフィックは CoPP ロジックに対して照合され、準拠したパケットと違反したパケットの両方がハードウェア内でカウントされますが、CPU には送信されません。CPU に送信する必要のあるブロードキャスト トラフィックと、CPU に送信する必要のないブロードキャスト トラフィックを異なるクラスに分離する必要があります。
CoPP を設定した後、古いクラス マップや未使用のルーティング プロトコルなど、使用されていないものはすべて削除してください。
CoPP ポリシーによって、ルーティング プロトコルなどのクリティカルなトラフィック、またはデバイスへのインタラクティブなアクセスがフィルタリングされないように注意してください。このトラフィックをフィルタリングすると、Cisco NX-OS デバイスへのリモート アクセスが禁止され、コンソール接続が必要になる場合があります。
Cisco NX-OS ソフトウェアは、出力 CoPP とサイレント モードをサポートしません。CoPP は、入力でのみサポートされます(コントロール プレーン インターフェイスに対して service-policy output copp コマンドは使用できません)。
ハードウェアのアクセス コントロール エントリ(ACE)ヒット カウンタは、ACL 論理だけで使用できます。CPU のトラフィックを評価するには、ソフトウェアの ACE ヒット カウンタと show access-lists および show policy-map type control-plane コマンドを使用します。
Cisco NX-OS デバイスのハードウェアは、フォワーディング エンジン単位で CoPP を実行します。CoPP は分散ポリシーをサポートしていません。したがって、レートを選択する場合は、集約トラフィックでスーパーバイザ モジュールに過剰な負荷をかけることのない値にしてください。
複数のフローが同じクラスにマッピングされる場合、個々のフローの統計情報は使用できません。
CoPP 機能をサポートする Cisco NX-OS リリースから、新しいプロトコルの追加クラスを含む CoPP 機能をサポートする Cisco NX-OS リリースにアップグレードする場合は、CoPP の新しいクラスを使用可能にするためにセットアップ ユーティリティを setup コマンドで実行するか copp profile コマンドを実行する必要があります。
CoPP 機能をサポートする Cisco NX-OS リリースから、同じく CoPP 機能をサポートする以前の Cisco NX-OS リリースにダウングレードする場合は、事前に show incompatibility nxos bootflash:filename コマンドを使用して互換性を確認しておく必要があります。互換性がある場合は、ソフトウェアをダウングレードする前にダウングレード イメージと互換性のない機能をすべてディセーブルにします。
CoPP をディセーブルにすることはできません。これを無効にしようとすると、パケットには毎秒 50 パケットのレート制限が課されます(Cisco NX-OS リリース 7.0(3)I2(1) より前)。またはエラー メッセージが表示されます(Cisco NX-OS リリース 7.0(3)I2(1) 以降)。
Cisco Nexus 9200 シリーズ スイッチでサポートされる CoPP ポリサー レートは、10 kbps の倍数のみです。10 kbps の倍数でないレートが設定されると、レートは丸められます。たとえば、55 Kbps のレートを設定しても、スイッチは 50 kbps を使用します(show policy-map type control-plane コマンドで表示されるのはユーザ設定のレートです。詳細については、CoPP の設定の確認 を参照してください)。
Cisco Nexus 9200 シリーズ スイッチでは、ip icmp redirect、ipv6 icmp redirect、ip icmp unreachable、ipv6 icmp unreachable、および mtu-failure は同じ TCAM エントリを使用し、これらがすべて分類されるクラス マップではポリシー中に最初の例外が存在します。CoPP strict プロファイルでこれらは class-exception クラス マップに分類されます。異なる CoPP のポリシーでは、最初の例外が異なるクラス マップ(たとえば class-exception-diag)に存在する場合、残りの例外は同じクラス マップに分類されます。
copp-system-class-fcoe クラスは Cisco Nexus 9200 シリーズ スイッチではサポートされていません。
スタティック CoPP ACL には、次のガイドラインと制限事項が適用されます。
Cisco Nexus 9200 シリーズ スイッチでは、スタティック CoPP ACL のみを使用します。
スタティック CoPP ACL は、異なる CoPP クラスに再マッピングできます。
アクセス コントロール エントリ(ACE)を変更したり削除してスタティック CoPP ACL にすることはできません。
CoPP ACL にスタティック ACL のサブストリングがある場合、このタイプのトラフィックに対してマッピングされます。たとえば、ACL に acl-mac-stp サブストリングが含まれている場合、STP トラフィックはこの ACL のクラス マップに分類されます。
スタティック CoPP ACL はダイナミック CoPP ACL よりも優先され、この優先度は CoPP ポリシー中での位置、設定の順序、および show policy-map type control-plane コマンドでの表示順には関係しません。
スタティック CoPP ACL は CoPP ポリシーに含めておく必要があります。これを行わないと、CoPP ポリシーは拒否されます。
(注) | Cisco IOS の CLI に慣れている場合、この機能の Cisco NX-OS コマンドは従来の Cisco IOS コマンドと異なる点があるため注意が必要です。 |
パラメータ |
デフォルト |
||
---|---|---|---|
デフォルト ポリシー |
strict |
||
デフォルト ポリシー |
9 ポリシー エントリ
|
||
スケール ファクタ値 |
1.00 |
ここでは、CoPP の設定方法について説明します。
コントロール プレーン ポリシーのコントロール プレーン クラス マップを設定する必要があります。
トラフィックを分類するには、既存の ACL に基づいてパケットを照合します。ACL キーワードの permit および deny は、照合時には無視されます。
IP バージョン 4(IPv4)および IP バージョン 6(IPv6)のパケットに対してポリシーを設定できます。
クラス マップ内で ACE ヒット カウンタを使用する場合は、IP ACL が設定してあることを確認します。
1.
configure terminal
2.
class-map type control-plane [match-all | match-any] class-map-name
3.
(任意) match access-group nameaccess-list-name
4.
(任意) match exception {ip | ipv6} icmp redirect
5.
(任意) match exception {ip | ipv6} icmp unreachable
6.
(任意) match exception {ip | ipv6} option
7.
match protocol arp
8.
exit
9.
(任意) show class-map type control-plane [class-map-name]
10.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | class-map type control-plane [match-all | match-any] class-map-name
例: switch(config)# class-map type control-plane ClassMapA switch(config-cmap)# |
コントロール プレーン クラス マップを指定し、クラス マップ コンフィギュレーション モードを開始します。デフォルトのクラス一致は match-any です。名前は最大 64 文字で、大文字と小文字は区別されます。
| ||
ステップ 3 | match access-group nameaccess-list-name
例: switch(config-cmap)# match access-group name MyAccessList | (任意)
IP ACL のマッチングを指定します。
| ||
ステップ 4 | match exception {ip | ipv6} icmp redirect
例: switch(config-cmap)# match exception ip icmp redirect | (任意)
IPv4 または IPv6 ICMP リダイレクト例外パケットのマッチングを指定します。 | ||
ステップ 5 | match exception {ip | ipv6} icmp unreachable
例: switch(config-cmap)# match exception ip icmp unreachable | (任意)
IPv4 または IPv6 ICMP 到達不能例外パケットのマッチングを指定します。 | ||
ステップ 6 | match exception {ip | ipv6} option
例: switch(config-cmap)# match exception ip option | (任意)
IPv4 または IPv6 ICMP オプション例外パケットのマッチングを指定します。 | ||
ステップ 7 | match protocol arp
例: switch(config-cmap)# match protocol arp |
IP アドレス解決プロトコル(ARP)および逆アドレス解決プロトコル(RARP)パケットのマッチングを指定します。 | ||
ステップ 8 | exit 例: switch(config-cmap)# exit switch(config)# |
クラスマップ コンフィギュレーション モードを終了します。 | ||
ステップ 9 | show class-map type control-plane [class-map-name]
例: switch(config)# show class-map type control-plane | (任意)
コントロール プレーン クラス マップの設定を表示します。 | ||
ステップ 10 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
コントロール プレーン クラス マップが設定してあることを確認します。
1.
configure terminal
2.
policy-map type control-planepolicy-map-name
3.
class {class-map-name [insert-beforeclass-map-name2] | class-default}
4.
次のいずれかのコマンドを入力します。
5.
(任意) logging drop threshold [drop-count [levelsyslog-level]]
6.
(任意) setcoscos-value
7.
exit
8.
exit
9.
(任意) show policy-map type control-plane [expand] [nameclass-map-name]
10.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||||
---|---|---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||||
ステップ 2 | policy-map type control-planepolicy-map-name
例: switch(config)# policy-map type control-plane ClassMapA switch(config-pmap)# |
コントロール プレーン ポリシー マップを指定し、ポリシー マップ コンフィギュレーション モードを開始します。ポリシー マップ名は最大 64 文字で、大文字と小文字は区別されます。 | ||||
ステップ 3 | class {class-map-name [insert-beforeclass-map-name2] | class-default}
例: switch(config-pmap)# class ClassMapA switch(config-pmap-c)# |
コントロール プレーン クラス マップ名またはクラス デフォルトを指定し、コントロール プレーン クラス コンフィギュレーション モードを開始します。 class-default クラス マップは、必ずポリシー マップのクラス マップ リストの末尾に位置します。 | ||||
ステップ 4 | 次のいずれかのコマンドを入力します。
例: switch(config-pmap-c)# police cir 52000 bc 1000 packets 例: switch(config-pmap-c)# police cir 3400 kbps bc 200 kbytes |
認定情報レート(CIR)を指定します。有効なレート範囲は次のとおりです。
認定バースト(BC)の範囲は次のとおりです。
conform transmit アクションは、パケットを送信します。
| ||||
ステップ 5 | logging drop threshold [drop-count [levelsyslog-level]]
例: switch(config-pmap-c)# logging drop threshold 100 | (任意)
ドロップされたパケットのしきい値を指定し、ドロップ数が設定したしきい値を超えた場合、Syslog を生成します。drop-count 引数の範囲は 1 ~ 8000000000 バイトです。syslog-level 引数の範囲は 1 ~ 7 であり、デフォルト レベルは 4 です。 | ||||
ステップ 6 | setcoscos-value
例: switch(config-pmap-c)# set cos 1 | (任意)
802.1Q CoS 値を指定します。有効な範囲は 0 ~ 7 です。デフォルト値は 0 です | ||||
ステップ 7 | exit 例: switch(config-pmap-c)# exit switch(config-pmap)# |
ポリシー マップ クラス コンフィギュレーション モードを終了します。 | ||||
ステップ 8 | exit 例: switch(config-pmap)# exit switch(config)# |
ポリシー マップ コンフィギュレーション モードを終了します。 | ||||
ステップ 9 | show policy-map type control-plane [expand] [nameclass-map-name]
例: switch(config)# show policy-map type control-plane | (任意)
コントロール プレーン ポリシー マップの設定を表示します。 | ||||
ステップ 10 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
CoPP サービス ポリシーに対して 1 つまたは複数のポリシー マップを設定できます。
(注) | CoPP ポリシーを変更し CoPP のカスタム ポリシーを適用しようとした場合、ハードウェア内では非アトミックとして設定され、次のメッセージが表示されます。 This operation can cause disruption of control traffic. Proceed (y/n)? [no] y 2013 Nov 13 23:16:46 switch %ACLQOS-SLOT24-5-ACLQOS_NON_ATOMIC: Non atomic ACL/QoS policy update done for CoPP 2013 Nov 13 23:16:46 switch %ACLQOS-SLOT23-5-ACLQOS_NON_ATOMIC: Non atomic ACL/QoS policy update done for CoPP 2013 Nov 13 23:16:46 switch %ACLQOS-SLOT21-5-ACLQOS_NON_ATOMIC: Non atomic ACL/QoS policy update done for CoPP 2013 Nov 13 23:16:46 switch %ACLQOS-SLOT25-5-ACLQOS_NON_ATOMIC: Non atomic ACL/QoS policy update done for CoPP 2013 Nov 13 23:16:46 switch %ACLQOS-SLOT26-5-ACLQOS_NON_ATOMIC: Non atomic ACL/QoS policy update done for CoPP 2013 Nov 13 23:16:46 switch %ACLQOS-SLOT22-5-ACLQOS_NON_ATOMIC: Non atomic ACL/QoS policy update done for CoPP 2013 Nov 13 23:16:46 switch %ACLQOS-SLOT4-5-ACLQOS_NON_ATOMIC: Non atomic ACL/QoS policy update done for CoPP |
コントロール プレーン ポリシー マップが設定してあることを確認します。
1.
configure terminal
2.
control-plane
3.
[no] service-policy input policy-map-name
4.
exit
5.
(任意)
show running-config copp [all]
6.
(任意)
copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal
例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
control-plane
例: switch(config)# control-plane switch(config-cp)# |
コントロール プレーン コンフィギュレーション モードを開始します。 |
ステップ 3 |
[no] service-policy input policy-map-name
例: switch(config-cp)# service-policy input PolicyMapA |
入トラフィックのポリシー マップを指定します。ポリシー マップが複数ある場合は、この手順を繰り返します。 CoPP をディセーブルにすることはできません。このコマンドを no 形式で入力すると、パケットには毎秒 50 パケットのレート制限が課されます(Cisco NX-OS リリース 7.0(3)I2(1) より前)、またはエラー メッセージが表示されます(Cisco NX-OS リリース 7.0(3)I2(1) 以降)。 |
ステップ 4 |
exit
例: switch(config-cp)# exit switch(config)# |
コントロール プレーン コンフィギュレーション モードを終了します。 |
ステップ 5 |
show running-config copp [all]
例: switch(config)# show running-config copp | (任意)
CoPP 設定を表示します。 |
ステップ 6 |
copy running-config startup-config
例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。 |
ラインカードごとの CoPP のスケール ファクタを設定できます。
スケール ファクタの設定は、特定のラインカードに適用された CoPP のポリシーのポリサー レートのスケーリングに使用されます。受け入れ値は 0.10 ~ 2.00 です。特定のラインカードに対して現在の CoPP ポリシーを変更せずに、ポリサー レートを増加または削減できます。変更はすぐに有効となるため、CoPP ポリシーを再適用する必要はありません。
1.
configure terminal
2.
control-plane
3.
scale-factorvaluemodulemultiple-module-range
4.
(任意) show policy-map interface control-plane
5.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | control-plane
例: switch(config)# control-plane switch(config-cp)# |
コントロール プレーン コンフィギュレーション モードを開始します。 |
ステップ 3 | scale-factorvaluemodulemultiple-module-range
例: switch(config-cp)# scale-factor 1.10 module 1-2 |
ラインカードごとにポリサー レートを設定します。許可されたスケール ファクタ値は 0.10 ~ 2.00 です。スケール ファクタ値が設定されている場合、ポリシング値にはモジュールの対応するスケール ファクタ値が乗算され、特定のモジュールにプログラミングされます。 デフォルトのスケール ファクタ値 1.00 に戻すには、no scale-factorvaluemodulemultiple-module-range コマンドを使用するか、scale-factor 1 modulemultiple-module-range コマンドを使用して明示的にデフォルトのスケール ファクタ値を 1.00 に設定します。 |
ステップ 4 | show policy-map interface control-plane
例: switch(config-cp)# show policy-map interface control-plane | (任意)
CoPP ポリシーが適用される場合に適用されるスケール ファクタ値を表示します。 |
ステップ 5 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
別のデフォルト CoPP ポリシーに変更したり、同じデフォルト CoPP ポリシーを再適用したりすることができます。
1.
[no] copp profile [strict | moderate | lenient | dense]
2.
(任意) show copp status
3.
(任意) show running-config copp
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | [no] copp profile [strict | moderate | lenient | dense]
例: switch(config)# copp profile moderate |
CoPP ベスト プラクティス ポリシーを適用します。 CoPP をディセーブルにすることはできません。このコマンドを no 形式で入力すると、パケットには毎秒 50 パケットのレート制限が課されます(Cisco NX-OS リリース 7.0(3)I2(1) より前)、またはエラー メッセージが表示されます(Cisco NX-OS リリース 7.0(3)I2(1) 以降)。 |
ステップ 2 | show copp status
例: switch(config)# show copp status | (任意)
最後の設定動作およびそのステータスなど、CoPP のステータスを表示します。このコマンドを実行すると、CoPP ベスト プラクティス ポリシーがコントロール プレーンにアタッチされていることを確認することもできます。 |
ステップ 3 | show running-config copp
例: switch(config)# show running-config copp | (任意)
実行コンフィギュレーション内の CoPP 設定を表示します。 |
CoPP ベスト プラクティス ポリシーは読み取り専用です。その設定を変更する場合は、それをコピーする必要があります。
1.
copp copy profile {strict | moderate | lenient | dense} {prefix | suffix} string
2.
(任意) show copp status
3.
(任意) show running-config copp
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | copp copy profile {strict | moderate | lenient | dense} {prefix | suffix} string
例: switch# copp copy profile strict prefix abc |
CoPP ベスト プラクティス ポリシーのコピーを作成します。 CoPP は、指定したプレフィックスまたはサフィックスのすべてのクラス マップおよびポリシー マップの名前を変更します。 |
ステップ 2 | show copp status
例: switch# show copp status | (任意)
最後の設定動作およびそのステータスなど、CoPP のステータスを表示します。このコマンドを実行すると、コピーされたポリシーがコントロール プレーンにアタッチされていないことを確認することもできます。 |
ステップ 3 | show running-config copp
例: switch# show running-config copp | (任意)
コピーされたポリシー設定を含む、実行コンフィギュレーション内の CoPP 設定を表示します。 |
CoPP の設定情報を表示するには、次のいずれかの作業を行います。
コマンド |
目的 |
||
---|---|---|---|
show policy-map type control-plane [expand] [namepolicy-map-name] |
コントロール プレーン ポリシー マップと関連するクラス マップ、および CIR と BC の値を表示します。 |
||
show policy-map interface control-plane |
|
||
show class-map type control-plane [class-map-name] |
このクラス マップにバインドされている ACL を含め、コントロール プレーン クラス マップの設定を表示します。 |
||
show copp diff profile {strict | moderate | lenient | dense} [prior-ver] profile {strict | moderate | lenient | dense}show copp diff profile |
2 つの CoPP ベスト プラクティス ポリシーの違いを表示します。 prior-ver オプションを指定しない場合、このコマンドは、現在適用されている 2 つのデフォルトの CoPP のベスト プラクティス ポリシー(現在適用されている厳密なポリシーと現在適用されている中程度のポリシーなど)の差異を表示します。 prior-ver オプションを指定した場合、このコマンドは、現在適用されているデフォルトの CoPP ベスト プラクティス ポリシーと以前に適用したデフォルトの CoPP ベスト プラクティス ポリシーの違いを表示します(現在適用されている厳密なポリシーと以前適用した緩いポリシーなど)。 |
||
show copp profile {strict | moderate | lenient | dense} |
クラスおよびポリサー値とともに、CoPP ベスト プラクティス ポリシーの詳細を表示します。 |
||
show running-config aclmgr [all] |
実行コンフィギュレーションのユーザ設定によるアクセス コントロール リスト(ACL)を表示します。all オプションを使用すると、実行コンフィギュレーションのデフォルト(CoPP 設定)とユーザ定義による ACL の両方が表示されます。 |
||
show running-config copp [all] |
実行コンフィギュレーション内の CoPP 設定を表示します。 |
||
show startup-config aclmgr [all] |
スタートアップ コンフィギュレーションのユーザ設定によるアクセス コントロール リスト(ACL)を表示します。all オプションを使用すると、スタートアップ コンフィギュレーションのデフォルト(CoPP 設定)とユーザ定義による ACL の両方が表示されます。 |
1. switch# show copp status
コマンドまたはアクション | 目的 |
---|
次に、CoPP 設定ステータスを表示する例を示します。
switch# show copp status
1. switch# show policy-map interface control-plane
コマンドまたはアクション | 目的 |
---|
次に、CoPP をモニタする例を示します。
switch# show policy-map interface control-plane Control Plane Service-policy input: copp-system-p-policy-strict class-map copp-system-p-class-critical (match-any) set cos 7 police cir 19000 pps , bc 128 packets module 4 : transmitted 373977 packets; dropped 0 packets;
1. (任意) switch# show policy-map interface control-plane
2. switch# clear copp statistics
コマンドまたはアクション | 目的 |
---|
次に、インターフェイス環境で、CoPP 統計情報をクリアする例を示します。
switch# show policy-map interface control-plane switch# clear copp statistics
ここでは、CoPP の設定例を示します。
次に、IP ACL と MAC ACL を使用する CoPP を設定する例を示します。
configure terminal ip access-list copp-system-p-acl-igmp permit igmp any 10.0.0.0/24 ip access-list copp-system-p-acl-msdp permit tcp any any eq 639 mac access-list copp-system-p-acl-arp permit any any 0x0806 ip access-list copp-system-p-acl-tacas permit udp any any eq 49 ip access-list copp-system-p-acl-ntp permit udp any 10.0.1.1/23 eq 123 ip access-list copp-system-p-acl-icmp permit icmp any any class-map type control-plane match-any copp-system-p-class-critical match access-group name copp-system-p-acl-igmp match access-group name copp-system-p-acl-msdp class-map type control-plane match-any copp-system-p-class-normal match access-group name copp-system-p-acl-icmp match exception ip icmp redirect match exception ip icmp unreachable match exception ip option policy-map type control-plane copp-system-p-policy class copp-system-p-class-critical police cir 19000 pps bc 128 packets conform transmit violate drop class copp-system-p-class-important police cir 500 pps bc 128 packets conform transmit violate drop class copp-system-p-class-normal police cir 300 pps bc 32 packets conform transmit violate drop class class-default police cir 50 pps bc 32 packets conform transmit violate drop control-plane service-policy input copp-system-p-policy
class-map type control-plane copp-arp-class match access-group name copp-arp-acl
policy-map type control-plane copp-system-policy class copp-arp-class police pps 500
セットアップ ユーティリティを使用して CoPP のデフォルト ポリシーを再適用する例を次に示します。
switch# setup
---- Basic System Configuration Dialog ----
This setup utility will guide you through the basic configuration of
the system. Setup configures only enough connectivity for management
of the system.
*Note: setup is mainly used for configuring the system initially,
when no configuration is present. So setup always assumes system
defaults and not the current system configuration values.
Press Enter at anytime to skip a dialog. Use ctrl-c at anytime
to skip the remaining dialogs.
Would you like to enter the basic configuration dialog (yes/no): yes
Do you want to enforce secure password standard (yes/no)[y]: <CR>
Create another login account (yes/no) [n]: n
Configure read-only SNMP community string (yes/no) [n]: n
Configure read-write SNMP community string (yes/no) [n]: n
Enter the switch name : <CR>
Enable license grace period? (yes/no) [n]: n
Continue with Out-of-band (mgmt0) management configuration? (yes/no) [y]: n
Configure the default gateway? (yes/no) [y]: n
Configure advanced IP options? (yes/no) [n]: <CR>
Enable the telnet service? (yes/no) [n]: y
Enable the ssh service? (yes/no) [y]: <CR>
Type of ssh key you would like to generate (dsa/rsa) : <CR>
Configure the ntp server? (yes/no) [n]: n
Configure default interface layer (L3/L2) [L3]: <CR>
Configure default switchport interface state (shut/noshut) [shut]: <CR>
Configure best practices CoPP profile (strict/moderate/lenient/dense/skip) [strict]: strict
The following configuration will be applied:
password strength-check
no license grace-period
no telnet server enable
no system default switchport
system default switchport shutdown
policy-map type control-plane copp-system-p-policy
Would you like to edit the configuration? (yes/no) [n]: <CR>
Use this configuration and save it? (yes/no) [y]: y
switch#
ここでは、CoPP の実装に関する追加情報について説明します。
関連項目 |
マニュアル タイトル |
---|---|
ライセンス |
『Cisco NX-OS Licensing Guide』 |
標準 |
タイトル |
---|---|
RFC 2698 |
『A Two Rate Three Color Marker』 |