- はじめに
- 新機能および変更された機能に関する情報
- 概要
- FIPS の設定
- AAA の設定
- RADIUS の設定
- TACACS+ の設定
- LDAP の設定
- SSH および Telnet の設定
- PKI の設定
- ユーザ アカウントおよび RBAC の設定
- 802.1X の設定
- NAC の設定
- Cisco TrustSec の設定
- Cisco TrustSec MACSec の設定
- IP ACL の設定
- MAC ACL の設定
- VLAN ACL の設定
- ポート セキュリティの設定
- DHCP の設定
- ダイナミック ARP インスペクションの設定
- IP ソース ガードの設定
- パスワード暗号化の設定
- キーチェーン管理の設定
- トラフィック ストーム制御の設定
- ユニキャスト RPF の設定
- コントロール プレーン ポリシングの設定
- レート制限の設定
レート制限の設定
この章では、Cisco NX-OS デバイスでスーパーバイザ宛のトラフィックのレート制限を設定する手順について説明します。
この章は、次の項で構成されています。
- 機能情報の確認
- レート制限の概要
- レート制限のバーチャライゼーション サポート
- レート制限のライセンス要件
- レート制限の注意事項と制約事項
- レート制限のデフォルト設定
- レート制限の設定
- スーパーバイザに到達するパケットのレート制限の設定
- レート制限のモニタリング
- レート制限統計情報のクリア
- レート制限の設定の確認
- レート制限の設定例
- レート制限に関する追加情報
- レート制限の機能の履歴
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
レート制限の概要
レート制限を行うことにより、例外のためにリダイレクトされたパケットによって Cisco NX-OS デバイス上のスーパーバイザ モジュールに過剰な負荷がかかるのを回避できます。次のタイプのリダイレクト パケットに対して pps(パケット/秒)単位でレート制限を設定できます。
-
アクセス リスト ログ パケット
-
スーパーバイザ モジュールにコピーされるデータ パケットおよび制御パケット
-
F1 シリーズ モジュール パケット
-
レイヤ 2 トンネリング プロトコル(L2TP)パケット
-
レイヤ 2 マルチキャストスヌーピング パケット
-
レイヤ 2 ポート セキュリティ パケット
-
レイヤ 2 ストーム制御パケット
-
レイヤ 2 仮想ポート チャネル(vPC)低パケット
-
レイヤ 3 制御パケット
-
レイヤ 3 収集パケット
-
レイヤ 3 収集高速パス パケット
-
レイヤ 3 最大伝送単位(MTU)チェック エラー パケット
-
レイヤ 3 マルチキャスト データ パケット
-
レイヤ 3 存続可能時間(TTL)チェック エラー パケット
-
受信パケット
Cisco NX-OS Release 5.1 から、スーパーバイザ モジュールに到達するパケットのレート制限も設定できます。
レート制限のバーチャライゼーション サポート
レート制限はデフォルト仮想デバイス コンテキスト(VDC)だけで設定できますが、そのレート制限の設定は Cisco NX-OS デバイス上のすべての VDC に適用されます。VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。
レート制限のライセンス要件
次の表に、この機能のライセンス要件を示します。
|
製品 |
ライセンス要件 |
|---|---|
|
Cisco NX-OS |
レート制限にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
レート制限の注意事項と制約事項
レート制限機能には、次の設定に関する注意事項と制限事項があります。
-
スーパーバイザ宛の例外トラフィックおよびリダイレクトされたトラフィックに対してレート制限を設定できます。スーパーバイザ宛の他のタイプのトラフィックには、コントロール プレーン ポリシング(CoPP)を使用します。
(注)
ハードウェア レート制限は、スーパーバイザの CPU を過剰な入力トラフィックから保護します。ハードウェア レート制限によって許容されるトラフィック レートは、グローバルに設定され、個々の I/O モジュールのそれぞれに適用されます。結果的に許容されるレートは、システム内の I/O モジュールの数によって異なります。CoPP では、Modular Quality-of-Service CLI(MQC)を利用して、スーパーバイザの CPU をさらに細かく保護することができます。
-
F1 シリーズ モジュールはスーパーバイザ モジュールに送信されるすべての制御トラフィックで共有される最大 5 個のレート リミッタをサポートします。
(注)
F2 シリーズ モジュールでは、F1 シリーズ モジュールの 5 個のレート リミッタはサポートされません。
- F2、M1 および M2 シリーズ モジュールでは、IP リダイレクトは設定されたレイヤ 3 存続可能時間(TTL)のレート制限に従ってレート限定されます。
(注) | Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。 複数のモジュールにハードウェア レート リミッタを設定すると、モジュール レベルのレート リミッタがシステム レベルよりも優先されます。 |
レート制限のデフォルト設定
|
パラメータ |
デフォルト |
||
|---|---|---|---|
|
アクセス リスト ロギング パケットのレート制限 |
100 pps |
||
|
コピー パケットのレート制限 |
30,000 pps |
||
F1 シリーズ モジュールのレート制限 |
RL-1:4,500 pps RL-2:1,000 pps RL-3:1,000 pps RL-4:100 pps RL-5:1,500 pps
|
||
レイヤ 2 L2TP パケットのレート制限 |
4,096 pps |
||
レイヤ 2 マルチキャストスヌーピング パケットのレート制限 |
10,000 pps |
||
|
レイヤ 2 ポート セキュリティ パケットのレート制限 |
ディセーブル |
||
|
レイヤ 2 ストーム制御パケットのレート制限 |
ディセーブル |
||
レイヤ 2 VPC 低パケットのレート制限 |
4,000 pps |
||
|
レイヤ 3 制御パケットのレート制限 |
10,000 pps |
||
|
レイヤ 3 収集パケットのレート制限 |
100 pps |
||
レイヤ 3 収集高速パスのレート制限 |
100 pps |
||
|
レイヤ 3 MTU パケットのレート制限 |
500 pps |
||
レイヤ 3 存続可能時間(TTL)パケットのレート制限 |
500 pps |
||
|
受信パケットのレート制限 |
30,000 pps |
||
スーパーバイザ パケットのレート制限 |
10,000 pps |
レート制限の設定
スーパーバイザ宛トラフィックにレート制限を設定できます。
1.
configure terminal
2.
hardware rate-limiter access-list-log{packets | disable} [modulemodule [portstartend]]
3.
hardware rate-limiter copy{packets | disable} [modulemodule [portstartend]]
4. hardware rate-limiter f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5 {packets | disable}} [modulemodule [portstartend]]
5.
hardware rate-limiter layer-2 l2pt{packets | disable} [modulemodule [portstartend]]
6.
hardware rate-limiter layer-2 mcast-snooping{packets | disable} [modulemodule [portstartend]]
7.
hardware rate-limiter layer-2 port-security{packets | disable} [modulemodule [portstartend]]
8.
hardware rate-limiter layer-2 storm-control{packets | disable} [modulemodule [portstartend]]
9.
hardware rate-limiter layer-2 vpc-low{packets | disable} [modulemodule [portstartend]]
10.
hardware rate-limiter layer-3 control{packets | disable} [modulemodule [portstartend]]
11.
hardware rate-limiter layer-3 glean{packets | disable} [modulemodule [portstartend]]
12.
hardware rate-limiter layer-3 glean-fast{packets | disable} [modulemodule [portstartend]]
13.
hardware rate-limiter layer-3 mtu{packets | disable} [modulemodule [portstartend]]
14.
hardware rate-limiter layer-3 multicast{packets | disable} [modulemodule [portstartend]]
15.
hardware rate-limiter layer-3 ttl{packets | disable} [modulemodule [portstartend]]
16.
hardware rate-limiter receive{packets | disable} [modulemodule [portstartend]]
17.
exit
18.
(任意) show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} |layer-2 {l2pt |mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast |mtu | multicast | ttl} | modulemodule | receive]
19.
(任意) copy running-config startup-config
手順の詳細
スーパーバイザに到達するパケットのレート制限の設定
Cisco NX-OS Release 5.1 以降では、スーパーバイザ モジュールに到達するパケットのレート制限をデバイスでグローバルに設定できます。着信または発信パケットのレートが設定済みレート制限を超過した場合、デバイスはシステム メッセージを記録しますが、パケットをドロップしません。
(注) | 特定のインターフェイスのスーパーバイザ モジュールに到達するパケットのレート制限も設定できます。詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
1.
configure terminal
2.
[no] rate-limit cpu direction {input | output | both} pps packetsaction log
3.
(任意) exit
4.
(任意) show system internal pktmgr internal control sw-rate-limit
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
| ステップ 2 | [no] rate-limit cpu direction {input | output | both} pps packetsaction log 例: switch(config)# rate-limit cpu direction both pps 100 action log |
スーパーバイザ モジュールに到達するパケットのレート制限を pps で設定し、着信パケットまたは発信パケットのレートがレート制限を超えた場合、システム メッセージを記録します。範囲は 1 ~ 100000 です。デフォルト レートは 10000 です。 |
| ステップ 3 | exit 例: switch(config)# exit | (任意)
グローバル コンフィギュレーション モードを終了します。 |
| ステップ 4 | show system internal pktmgr internal control sw-rate-limit 例: switch# show system internal pktmgr internal control sw-rate-limit | (任意)
スーパーバイザ モジュールに到達するパケットのインバンドおよびアウトバンドのグローバル レート制限の設定を表示します。 |
| ステップ 5 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
レート制限のモニタリング
レート制限をモニタリングできます。
1.
show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | module module | receive]
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | module module | receive] 例: switch# show hardware rate-limiter layer-3 glean |
レート制限統計情報を表示します。 |
レート制限統計情報のクリア
レート制限統計情報をクリアできます。
1.
clear hardware rate-limiter {all | access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | receive}
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | clear hardware rate-limiter {all | access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | receive} 例: switch# clear hardware rate-limiter |
レート制限統計情報をクリアします。 |
レート制限の設定の確認
レート制限の設定情報を表示するには、次の作業を行います。
|
コマンド |
目的 |
|---|---|
|
show hardware rate-limiter [access-list-log | copy | f1 {rl-1 | rl-2 | rl-3 | rl-4 | rl-5} | layer-2 {l2pt | mcast-snooping | port-security | storm-control | vpc-low} | layer-3 {control | glean | glean-fast | mtu | multicast | ttl} | module module | receive] |
レート制限の設定を表示します。 |
show system internal pktmgr interface ethernet slot/port |
特定のインターフェイスのスーパーバイザ モジュールに到達するパケットのインバンドおよびアウトバンドのレート制限の設定を表示します。 |
show system internal pktmgr internal control sw-rate-limit |
スーパーバイザ モジュールに到達するパケットのインバンドおよびアウトバンドのグローバル レート制限の設定を表示します。 |
これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
レート制限の設定例
次に、レート制限を設定する例を示します。
switch(config)# hardware rate-limiter layer-3 control 20000 switch(config)# hardware rate-limiter copy 30000
次に、スーパーバイザ モジュールに到達するパケットのデバイスのレート制限をグローバルに設定する例を示します。
switch(config)# rate-limit cpu direction both pps 1000 action log switch(config)# show system internal pktmgr internal control sw-rate-limit inband pps global threshold 1000 outband pps global threshold 1000
レート制限に関する追加情報
ここでは、レート制限の実装に関する追加情報について説明します。
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco NX-OS ライセンス設定 |
『Cisco NX-OS Licensing Guide』 |
|
コマンド リファレンス |
『Cisco Nexus 7000 Series NX-OS Security Command Reference』 |
レート制限の機能の履歴
|
機能名 |
リリース |
機能情報 |
|---|---|---|
レート制限 |
6.2(2) |
レイヤ 3 収集高速パス パケットに対するサポートが追加されました。 |
レート制限 |
6.0(1) |
F2 シリーズ モジュールのサポートが追加されました。 |
レート制限 |
5.2(1) |
Release 5.1 以降、変更はありません。 |
レート制限 |
5.1(1) |
F1 シリーズ モジュール パケットのサポートが追加されました。 |
レート制限 |
5.1(1) |
スーパーバイザ モジュールに到達するパケットのレート制限を設定し、レート制限を超えた場合にシステム メッセージを記録する機能が追加されました。 |
レート制限 |
5.1(1) |
レート制限をディセーブルにしたり、特定のモジュールおよびポート範囲のレート制限を設定したりするためのオプションが追加されました。 |
レート制限 |
5.0(2) |
レイヤ 2 トンネル プロトコル(L2TP)パケットがサポートされるようになりました。 |
|
レート制限 |
4.2(1) |
リリース 4.1 からの変更はありません。 |
フィードバック