CoPP の制約事項
コントロール プレーン ポリシング(CoPP)の制約事項は、次のとおりです。
-
入力 CoPP だけがサポートされます。system-cpp-policy ポリシーマップは、入力方向でのみ、コントロール プレーン インターフェイスで使用可能です。
-
コントロール プレーン インターフェイスにインストールできるのは、system-cpp-policy ポリシーマップのみです。
-
system-cpp-policy ポリシーマップおよびシステム定義のクラスは、変更または削除することはできません。
-
system-cpp-policy ポリシーマップの下で許可されるのは、police アクションのみです。システム定義クラスのポリシングレートは、1 秒あたりのパケット数(pps)でのみ設定する必要があります。
-
1 つ以上の CPU キューがそれぞれのクラス マップの一部となります。複数の CPU キューが 1 つのクラス マップに属している場合、クラス マップのポリサー レートを変更すると、そのクラス マップに属しているすべての CPU キューに影響します。同様に、クラスマップでポリサーを無効にすると、そのクラスマップに属するすべてのキューが無効になります。各クラスマップに属する CPU キューの詳細については、「CoPP のシステム定義値」の表を参照してください。
-
システム定義のクラスマップのポリサーを無効にしないこと、つまり no police rate rate pps コマンドを設定しないことを推奨します。これを行うと、CPU へのトラフィックが多い場合に、システム全体の正常性に影響します。さらに、システム定義のクラスマップのポリサーレートを無効にした場合でも、システム起動プロセスを保護するために、システムはシステムのブートアップ後にデフォルトのポリサーレートに自動的に戻ります。
-
system-cpp ポリシー
の下で設定されたクラスがデフォルト値のままの場合、それらのクラスに関する情報は show run コマンドで表示されません。代わりに show policy-map system-cpp-policy または show policy-map control-plane コマンドを使用します。引き続き show run コマンドを使用して、カスタムポリシーに関する情報を表示できます。
-
大量の CPU バウンドパケットを使用するプロトコルは、同じクラスの他のプロトコルに影響を与える可能性があります。これらのプロトコルの一部は同じポリサーを共有するためです。たとえば、Address Resolution Protocol(ARP)は、system-cpp-police-forus クラスの Telnet、Internet Control Message Protocol(ICMP)、SSH、FTP、SNMP などのホストプロトコルの配列と 4000 個のハードウェアポリサーを共有します。ARP ポイズニングまたは ICMP 攻撃が発生すると、ハードウェアポリサーは、4000 パケット/秒を超える着信トラフィックのスロットリングを開始し、CPU とシステムの全体的な完全性を保護します。その結果、ARP および ICMP ホストプロトコルは、同じクラスを共有する他のホストプロトコルとともにドロップされます。
-
Cisco IOS XE Fuji 16.8.1a 以降、ユーザー定義のクラスマップの作成はサポートされていません。