Cisco APIC リリース 5.2(x) セキュリティ設定ガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索

検索結果

Updated:
2022年8月16日火曜日

章のタイトル: データ プレーン ポリシング

データ プレーン ポリシング

この章は、次の項で構成されています。

データ プレーン ポリシングの概要

データ プレーン ポリシング(DPP)を使用して、Cisco Application Centric InfrastructureACI)ファブリック アクセス インターフェイスの帯域幅使用量を管理します。DPP ポリシーは出力トラフィック、入力トラフィック、またはその両方に適用できます。DPP は特定のインターフェイスのデータ レートを監視します。データ レートがユーザ設定値を超えると、ただちにパケットのマーキングまたはドロップが発生します。ポリシングではトラフィックがバッファリングされないため、伝搬遅延への影響はありません。トラフィックがデータ レートを超えた場合、Cisco ACI ファブリックは、パケットのドロップか、パケット内 QoS フィールドのマーキングのどちらかを実行できます。

3.2 リリースより前は、DPP ポリシーが EPG に適用されている場合、ポリサーの標準的な動作は EPG メンバーごとでしたが、レイヤ 2 およびレイヤ 3 の場合は同じポリサーがリーフ スイッチに割り当てられていました。この区別は、レイヤ 2/レイヤ 3 ケースの DPP ポリサーがすでにインターフェイスごとになっていると想定されたため行われました。そのため、異なるのインターフェイスは、別のポリサーを取得できると想定されました。EPG ごとの DPP ポリシーが導入されましたが、特定のリーフ スイッチに複数のメンバーが存在する可能性があることは明らかでした。したがって、ポリサーは、不要なドロップを避けるためにメンバーごとにすることが理にかなっていました。

3.2 のリリース以降、明確なセマンティクスはデータ プレーン ポリサー ポリシー自体になり、同じように CLI に示されるように共有モード設定を導入する新しいフラグです。基本的に、データ プレーン ポリサーがレイヤ 2/レイヤ 3 または各 EPG に適用される場合、異なる暗黙の動作はありません。現在、ユーザーは動作の管理が可能です。共有モードが [共有済み(shared)] に設定されている場合、同じデータ プレーン ポリサーを参照するリーフ スイッチ上のすべてのエンティティが同じハードウェア ポリサーを共有します。共有モードが [専用(dedicated)] に設定されている場合、リーフ スイッチの各レイヤ 2 またはレイヤ 3 または EPG メンバーに異なる HW ポリサーが割り当てられます。ポリサーは、制限する必要があるエンティティ専用です。

DPP ポリシーは、シングルレート、デュアルレート、カラー対応のいずれかになります。シングルレート ポリシーは、トラフィックの認定情報レート(CIR)を監視します。デュアルレート ポリサーは、CIR と最大情報レート(PIR)の両方を監視します。また、システムは、関連するバースト サイズもモニタします。指定したデータ レート パラメータに応じて、適合(グリーン)、超過(イエロー)、違反(レッド)の 3 つのカラー、つまり条件が、パケットごとにポリサーによって決定されます。

通常、DPP ポリシーは、サーバやハイパーバイザなどの仮想または物理デバイスへの物理または仮想レイヤ 2 接続に適用されます。ルータについてはレイヤ 3 接続で適用されます。リーフ スイッチ アクセス ポートに適用される DPP ポリシーは、Cisco ACI ファブリックのファブリック アクセス(インフラ)部分で設定され、ファブリック管理者が設定する必要があります。境界リーフ スイッチ アクセス ポート(l3extOut または l2extOut)のインターフェイスに適用される DPP ポリシーは、Cisco ACI ファブリックのテナント(fvTenant)部分で設定され、テナント管理者が設定できます。

データ プレーン ポリサーを EPG に適用して、エンドポイントのグループから Cisco ACI ファブリックに入るトラフィックが、EPG のメンバー アクセス インターフェイスごとに制限されるようにすることもできます。これは、1 つ EPG のさまざまな Epg でアクセス リンクを共有する場所の monopolization を防ぐために役立ちます。

各状況に設定できるアクションは 1 つだけです。たとえば、DPP ポリシーを最大 200 ミリ秒のバーストで、256,000 bps のデータ レートに適合させることが可能です。この場合、システムは、このレートの範囲内のトラフィックに対して適合アクションを適用し、このレートを超えるトラフィックに対して違反アクションを適用します。カラー対応ポリシーは、トラフィックが以前にカラーによってすでにマーキングされているものと見なします。次に、このタイプのポリサーが実行するアクションの中で、その情報が使用されます。

トラフィック ストーム制御に関する詳細は、『Cisco APIC レイヤ 2 ネットワーキング設定ガイド』を参照してください。

注意事項と制約事項

下記はデータプレーンポリシングの構成に関する注意事項と制限事項です。

  • データプレーンは、ACI ファブリック アクセス インターフェイス上の CPU および CPU バウンド パケットから送信されたパケットをポリシングしません。

  • 専用ポリサー共有モードは、レイヤ 2 インターフェイスではサポートされていません。

次に、EPG ポリシングの注意事項と制限事項を示します。

  • 機能サポートは、EX または FX で終わるスイッチ モデルおよびそれ以降の後続モデルから開始されます(例:N9K-C93180YC-EX)。

  • EPG レベル ポリサーでは、出力トラフィック ポリシングはサポートされていません。

  • ポリサー モード packet-per-second はサポートされていません。

  • ポリサー タイプ 2R3C はサポートされていません。

  • EPG で EPG 内分離が適用されている場合、ポリサーはサポートされません。

  • 調整の統計情報およびに考慮事項には次が含まれます。

    • 許可/ドロップされたパケットを認識することは、移行に関する問題やリソースの多用を知るために重要です。

    • 統計情報は、統計情報のインフラストラクチャを使用して GUI で提供されます。統計は、Cisco ACI ファブリック内の統計と同様に REST API を介してエクスポートされます。

    • 統計情報は各 EPG メンバーで使用でき、データプレーン ポリサーポリシーが [専用(dedicated)] タイプの場合に便利です。その代わり、リーフスイッチ上で使用すると統計情報がすべてのポートの統計を反映します。

  • フレームが FCoE でサポートされているデバイスを通過する場合など、特定のケースではこれらは no drop FCoE クラスに分類されます。FCoE デバイスでは、パケット長が許可されている 2,184 バイトよりも長い場合、パケットがドロップオフする可能性があります。

GUI を使用したレイヤ 2 インターフェイスのデータプレーンポリシングの構成

始める前に

データプレーン ポリシングポリシーを構成するテナント、VRF、外部ルーテッドネットワークはすでに作成されている必要があります。

レイヤ 2 データプレーン ポリシングポリシーを適用するには、ポリシーをポリシーグループに追加し、ポリシーグループをインターフェイス プロファイルにマッピングする必要があります。

手順

ステップ 1

メニュー バーで、[ファブリック(FABRIC)] > [アクセス ポリシー(Access Policies)] の順に選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで、[ポリシー(Policies)] > [インターフェイス(Interface)] > [データ ピレーン ポリシング(Data Plane Policing) を選択します

ステップ 3

[Data Plane Policing Policing] を右クリックし、 [Create a Data Plane Policing Policy] をクリックします。

ステップ 4

[Create a Data Plane Policing Policy] ダイアログボックスの [Name] フィールドに、ポリシーの名前を入力します。
ステップ 5

[管理状態(Administrative State)] は [有効(enabled)] を選択します。

ステップ 6

[BGP ドメインポリサーモード(BGP Domain Policer Mode)]では、[ビットポリサー(Bit Policer)]または[パケットポリサー(Packet Policer)]を選択します。

ステップ 7

[タイプ(Type)] では、[1 レート 2 カラー(1 Rate 2 Color)] または [2 レート 3 カラー(2 Rate 3 Color)] を選択します。

EX/FX で終わるスイッチモデル(例:N9K-C93180YC-EX)以降のモデルは、2 レート 3 カラーをサポートしていません。

ステップ 8

[適合アクション(Conform Action)] で、アクションを選択します。

この選択により、特定の条件に一致するトラフィックのアクションが定義されます。

  • ドロップ:条件が満たされた場合、パケットをドロップします。

  • マーク:条件が満たされた場合にパケットにマークを付けます。

  • 送信:条件が満たされた場合、パケットを送信します。

ステップ 9

[適合アクション(Conform Action)] で [マーク(Mark)] を選択した場合は、次のサブステップを実行します。

  1. [適合マーク CoS(Conform mark CoS)] には、条件に適合したパケットのサービスクラスを入力します。

  2. [適合マーク dscp(Conform mark dscp)] には、条件に適合したパケットの差別化サービスコードポイント(DSCP)を入力します。

ステップ 10

管理者は、[Conform] と [Violate] フィールドの CoS および DSCP 値を設定できます。

ステップ 11

[タイプ(Type)] で [2 レート 3 カラー(2 Rate 3 Color)] を選択した場合、[超過アクション(Exceed Action)] でアクションを選択します。

この選択によって、ある一定の条件を超えるトラフィックのアクションを定義します。

  • ドロップ:条件が満たされた場合、パケットをドロップします。

  • マーク:条件が満たされた場合にパケットにマークを付けます。

  • 送信:条件が満たされた場合、パケットを送信します。

ステップ 12

[超過アクション(Exceed Action)] で [マーク(Mark)] を選択した場合は、次のサブステップを実行します。

  1. [超過マーク CoS(Exceed mark CoS)] には、条件を超えたパケットのサービスクラスを入力します。

  2. [超過マーク dscp(Exceed mark dscp)] には、条件を超えたパケットの差別化サービスコード ポイント(DSCP)を入力します。

ステップ 13

[違反アクション(Violate Action)] で、アクションを選択します。

この選択によって、特定の条件に違反するトラフィックのアクションを定義します。

  • ドロップ:条件が満たされた場合、パケットをドロップします。

  • マーク:条件が満たされた場合にパケットにマークを付けます。

  • 送信:条件が満たされた場合、パケットを送信します。

ステップ 14

[違反アクション(Violate Action)] で [マーク(Mark)] を選択した場合は、次のサブステップを実行します。

  1. [違反マーク CoS(Violate mark CoS)] には、条件に違反したパケットのサービスクラスを入力します。

  2. [違反マーク dscp(Violate mark dscp)] には、条件に違反したパケットの差別化サービスコードポイント (DSCP) を入力します。

ステップ 15

[共有モード(Sharing Mode)] で、[共有ポリサー(Shared Policer)] を選択します。

[共有ポリサー(Shared Policer)] モード機能を使用すると、同じポリシングパラメータを複数のインターフェイスに同時に適用できます。[専用ポリサー(Dedicated Policer)] モードは、レイヤ 2 インターフェイスではサポートされていません。

ステップ 16

[レート(Rate)] には、パケットがシステムに許可されるレートを入力し、パケットごとの単位を選択します。

ステップ 17

[バースト(Burst)] には、バースト中にラインレートで許可されるパケット数を入力し、パケットごとの単位を選択します。

ステップ 18

[タイプ(Type)] で [2 レート 3 カラー(2 Rate 3 Color)] を選択した場合は、次のサブステップを実行します。

  1. [ピークレート(Peak Rate)] には、データトラフィックに悪影響を与えるレートであるピーク情報レートを入力し、パケットあたりの単位を選択します。

  2. [超過バースト(Excessive Burst)] には、すべてのトラフィックがピーク情報レートを超える前にトラフィックバーストが到達できるサイズを入力し、パケットあたりの単位を選択します。

ステップ 19

[送信(Submit)] をクリックします。

これでレイヤ 2 の DPP 構成は完了です。データプレーンポリシーを、レイヤ 2 インターフェイスにマッピングするインターフェイス ポリシーグループにマッピングできるようになりました。

APIC GUI を使用したレイヤ 3 インターフェイスのデータ プレーン ポリシングを設定する

始める前に

データ プレーン ポリシング ポリシーを設定するテナント、VRF、外部ルーテッド ネットワークはすでに作成されています。

データ プレーン ポリシング ポリシーは、インターフェイス プロファイルにマッピングされたポリシー グループおよびポリシー グループに追加され、L3 DPP ポリシーを適用する必要があります。

手順

ステップ 1

[ナビゲーション] ペインで、[Tenant_name] > [ネットワー キング] > [外部ルーテッド ネットワーク] > [Network_name] > [論理ノード プロファイル] > [論理ノード生成] > [論理インターフェイス プロファイル] をクリックして、次のアクションを実行します。

  1. [論理インターフェイス プロファイル] を右クリックして、[インターフェイス プロファイルの作成] を選択します。

  2. [Create Interface Profile] ダイアログボックスの [Name] フィールドに、プロファイルの名前を入力します。

  3. [Ingress Data Plane Policing] の隣にある [Create Data Plane Policing Policy] を選択します。

  4. [Name] フィールドにポリシーの名前を入力します。

  5. [Administrative State] フィールドで、[enabled] をクリックします。

  6. [Policer Mode] の隣にある [Bit Policer] または [Packet Policer] のどちらかのボタンを選択します。

  7. [Type] の隣にある [1 Rate 2 Color] または [2 Rate 3 Color] のボタンを選択します。

EX/FX で終わるスイッチ モデル (例: N9K-C93180YC-EX) 以降のモデルは、2 レート 3 カラーをサポートしていません)。

  1. 管理者は、[Conform] と [Violate] フィールドの CoS および DSCP 値を設定できます。

  2. [Sharing Mode] フィールドで、ポリサー モードを選択します。

    (注)   

    共有ポリサー モード機能を使用すると、同じポリシング パラメータを複数のインターフェイスに同時に適用できます。

  3. [Burst]、[Excessive Burst]、[Rate] フィールドの隣にあるドロップダウン矢印を選択し、[1 Rate 2 Color] ポリシー タイプの各パケット レートを設定します。

    (注)   

    [2 レート 3 色] ポリシー タイプでは、[ピーク レート] フィールが追加されます。

  4. [Submit] をクリックします。

ステップ 2

[ルーテッド インターフェイス] 表を展開して、[パス] フィールドでインターフェイスに移動し、ポリシーを適用して、次のアクションを実行します。

  1. [IPv4 または Ipv6 優先アドレス] の隣にあるサブネット IP アドレスを入力します。

  2. [OK] をクリックします。

  3. [SVI] タブをクリックして展開し、[パス] フィールドでインターフェイスに移動し、ポリシーを適用します。

  4. [Encap] の隣に VLAN 名を入力します。

  5. [IPv4 または Ipv6 優先アドレス] の隣にあるサブネット IP アドレスを入力します。

  6. [OK] をクリックします。

  7. [ルーティング サブインターフェイス] タブを展開し、ルーテッド インターフェイスとして同じ設定手順を実行します。

  8. [OK] をクリックします。これにより L3 の DPP 設定を完了します。

REST API を使用したデータ プレーン ポリシングの設定

リーフ スイッチに着信するレイヤ 2 トラフィックをポリシングするには、次の手順を実行します。

<!--  api/node/mo/uni/.xml  -->
<infraInfra>
<qosDppPol name="infradpp5" burst="2000" rate="2000" be="400" sharingMode="shared"/>
<!--
 List of nodes. Contains leaf selectors. Each leaf selector contains list of node blocks
-->
<infraNodeP name="leaf1">
<infraLeafS name="leaf1" type="range">
<infraNodeBlk name="leaf1" from_="101" to_="101"/>
</infraLeafS>
<infraRsAccPortP tDn="uni/infra/accportprof-portselector1"/>
</infraNodeP>
<!--
 PortP contains port selectors. Each port selector contains list of ports. It
       also has association to port group policies 
-->
<infraAccPortP name="portselector1">
<infraHPortS name="pselc" type="range">
<infraPortBlk name="blk" fromCard="1" toCard="1" fromPort="48" toPort="49"></infraPortBlk>
<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-portSet2"/>
</infraHPortS>
</infraAccPortP>
<!--  FuncP contains access bundle group policies  -->
<infraFuncP>
<infraAccPortGrp name="portSet2">
<infraRsQosIngressDppIfPol tnQosDppPolName="infradpp5"/>
</infraAccPortGrp>
</infraFuncP>
</infraInfra>

リーフ スイッチから発信されるレイヤ 2 トラフィックをポリシングするには、次の手順を実行します。

<!--  api/node/mo/uni/.xml  -->
<infraInfra>
<qosDppPol name="infradpp2" burst="4000" rate="4000"/>
<!--
 List of nodes. Contains leaf selectors. Each leaf selector contains list of node blocks
-->
<infraNodeP name="leaf1">
<infraLeafS name="leaf1" type="range">
<infraNodeBlk name="leaf1" from_="101" to_="101"/>
</infraLeafS>
<infraRsAccPortP tDn="uni/infra/accportprof-portselector2"/>
</infraNodeP>
<!--
 PortP contains port selectors. Each port selector contains list of ports. It
       also has association to port group policies 
-->
<infraAccPortP name="portselector2">
<infraHPortS name="pselc" type="range">
<infraPortBlk name="blk" fromCard="1" toCard="1" fromPort="37" toPort="38"></infraPortBlk>
<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-portSet2"/>
</infraHPortS>
</infraAccPortP>
<!--  FuncP contains access bundle group policies  -->
<infraFuncP>
<infraAccPortGrp name="portSet2">
<infraRsQosEgressDppIfPol tnQosDppPolName="infradpp2"/>
</infraAccPortGrp>
</infraFuncP>
</infraInfra>

リーフ スイッチに着信するレイヤ 3 トラフィックをポリシングするには、次の手順を実行します。

<!--  api/node/mo/uni/.xml  -->
<fvTenant name="dppTenant">
<qosDppPol name="gmeo" burst="2000" rate="2000"/>
<l3extOut name="Outside">
<l3extInstP name="extroute"/>
<l3extLNodeP name="borderLeaf">
<l3extRsNodeL3OutAtt tDn="topology/pod-1/node-101" rtrId="10.0.0.1">
<ipRouteP ip="0.0.0.0">
<ipNexthopP nhAddr="192.168.62.2"/>
</ipRouteP>
</l3extRsNodeL3OutAtt>
<l3extLIfP name="portProfile">
<l3extRsPathL3OutAtt addr="192.168.40.1/30" ifInstT="l3-port" tDn="topology/pod-1/paths-101/pathep-[eth1/40]"/>
<l3extRsPathL3OutAtt addr="192.168.41.1/30" ifInstT="l3-port" tDn="topology/pod-1/paths-101/pathep-[eth1/41]"/>
<l3extRsIngressQosDppPol tnQosDppPolName="gmeo"/>
</l3extLIfP>
</l3extLNodeP>
</l3extOut>
</fvTenant>

リーフ スイッチから発信されるレイヤ 3 トラフィックをポリシングするには、次の手順を実行します。 

<!--  api/node/mo/uni/.xml  -->
<fvTenant name="dppTenant">
<qosDppPol name="gmeo" burst="2000" rate="2000"/>
<l3extOut name="Outside">
<l3extInstP name="extroute"/>
<l3extLNodeP name="borderLeaf">
<l3extRsNodeL3OutAtt tDn="topology/pod-1/node-101" rtrId="10.0.0.1">
<ipRouteP ip="0.0.0.0">
<ipNexthopP nhAddr="192.168.62.2"/>
</ipRouteP>
</l3extRsNodeL3OutAtt>
<l3extLIfP name="portProfile">
<l3extRsPathL3OutAtt addr="192.168.40.1/30" ifInstT="l3-port" tDn="topology/pod-1/paths-101/pathep-[eth1/40]"/>
<l3extRsPathL3OutAtt addr="192.168.41.1/30" ifInstT="l3-port" tDn="topology/pod-1/paths-101/pathep-[eth1/41]"/>
<l3extRsEgressQosDppPol tnQosDppPolName="gmeo"/>
</l3extLIfP>
</l3extLNodeP>
</l3extOut>
</fvTenant>

NX-OS スタイル CLI を使用したデータ プレーン ポリシングの設定

手順

ステップ 1

1 つの EPG を伝送するようにレイヤ 2 ポートを設定します。

例:

apic1# conf t
apic1(config)# vlan-domain test
apic1(config-vlan)# vlan 1000-2000
apic1(config-vlan)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# vlan-domain member test
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit
apic1(config)# tenant test1
apic1(config-tenant)# vrf context v1
apic1(config-tenant-vrf)# exit
apic1(config-tenant)# bridge-domain bd1
apic1(config-tenant-bd)# vrf member v1
apic1(config-tenant-bd)# exit
apic1(config-tenant)# application ap1
apic1(config-tenant-app)# epg e1
apic1(config-tenant-app-epg)# bridge-domain member bd1
apic1(config-tenant-app-epg)# exit
apic1(config-tenant-app)# exit
apic1(config-tenant)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# switchport trunk allowed vlan 1001 tenant test1 application ap1 epg e1
apic1(config-leaf-if)# switchport trunk allowed vlan 1501 tenant test1 application ap1 epg e1
# Now the port leaf 101 ethernet 1/10 carries two vlan mapped both to the same Tenant/Application/EPG
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit

  1. インターフェイスに適用するポリシー マップを作成します。

    例:

    apic1(config)# policy-map type data-plane qosTest
apic1(config-pmap-dpp)# set burst 2400 mega
apic1(config-pmap-dpp)# set cir 70 mega

apic1(config-pmap-dpp)# set sharing-mode shared
apic1(config-pmap-dpp)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# service-policy type data-plane input qosTest
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit
apic1(config)# policy-map type data-plane qosTest2
apic1(config-pmap-dpp)# set cir 78 mega
apic1(config-pmap-dpp)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# service-policy type data-plane output qosTest2
apic1(config-leaf-if)# end

  2. 設定されたポリシーを可視化します。

    例:

    apic1# show policy-map type data-plane infra
Type data-plane policy-maps
====================
Global Policy
policy-map type data-plane default
    set burst unspecified
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set cir 78 mega
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop
Global Policy
policy-map type data-plane qosTest
    set burst 2400 mega
    set cir 78 mega
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop
Global Policy
policy-map type data-plane qosTest2
    set burst unspecified
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set cir 78 mega
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop

  3. show running-config.

    例:

    apic1# show runn policy-map
# Command: show running-config policy-map
# Time: Fri Jan 29 19:26:18 2016
  policy-map type data-plane default
    exit
  policy-map type data-plane qosTest
    set burst 2400 mega
    set cir 78 mega
    no shutdown
    exit
  policy-map type data-plane qosTest2
    set cir 78 mega
    no shutdown
    exit
apic1# show runn leaf 101
# Command: show running-config leaf 101
# Time: Fri Jan 29 19:26:29 2016
  leaf 101 
    interface ethernet 1/10
      vlan-domain member test
      switchport trunk allowed vlan 1501 tenant test1 application ap1 epg e1 
      service-policy type data-plane input qosTest
      service-policy type data-plane output qosTest2
      exit
    exit
ステップ 2

レイヤ 3 ポートを設定する準備をします。

例:

apic1# conf t
apic1(config)# vlan-domain l3ports
apic1(config-vlan)# vlan 3000-3001
apic1(config-vlan)# exit
apic1(config)# tenant l3test1
apic1(config-tenant)# vrf context v1
apic1(config-tenant-vrf)# exit
apic1(config-tenant)# exit
apic1(config)# leaf 102
apic1(config-leaf)# vrf context tenant l3test1 vrf v1
apic1(config-leaf-vrf)# exit
# Configure a physical Layer 3 port
apic1(config-leaf)# interface ethernet 1/20
apic1(config-leaf-if)# no switchport
apic1(config-leaf-if)# vlan-domain member l3ports
apic1(config-leaf-if)# vrf member tenant l3test1 vrf v1
apic1(config-leaf-if)# ip address 56.1.1.1/24
apic1(config-leaf-if)# ipv6 address 2000::1/64  preferred
apic1(config-leaf-if)# exit
# Configure base interface for L3 subinterfaces
apic1(config-leaf)# interface ethernet 1/21
apic1(config-leaf-if)# vlan-domain member l3ports
apic1(config-leaf-if)# no switchport
apic1(config-leaf-if)# exit
# Configure a Layer 3 subinterface
apic1(config-leaf)# interface ethernet 1/21.3001
apic1(config-leaf-if)# vrf member tenant l3test1 vrf v1
apic1(config-leaf-if)# ip address 60.1.1.1/24
apic1(config-leaf-if)# ipv6 address 2001::1/64 preferred
apic1(config-leaf-if)# exit
# Configure a Switched Vlan Interface
apic1(config-leaf)# interface vlan 3000
apic1(config-leaf-if)# vrf member tenant l3test1 vrf v1
apic1(config-leaf-if)# ip address 70.1.1.1/24
apic1(config-leaf-if)# ipv6 address 3000::1/64 preferred
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit

  1. レイヤ 3 の使用のためにテナントのポリサーを設定します。

    例:

    apic1(config)# tenant l3test1
apic1(config-tenant)# policy-map type data-plane iPol
apic1(config-tenant-pmap-dpp)# set cir 56 mega
apic1(config-tenant-pmap-dpp)# set burst 2000 kilo
apic1(config-tenant-pmap-dpp)# exit
apic1(config-tenant)# policy-map type data-plane ePol
apic1(config-tenant-pmap-dpp)# set burst 2000 kilo
apic1(config-tenant-pmap-dpp)# set cir 56 mega
apic1(config-tenant-pmap-dpp)# exit
apic1(config-tenant)# exit

  2. レイヤ 3 インターフェイスにポリサーを適用する

    例:

    apic1(config)# leaf 102
apic1(config-leaf)# interface ethernet 1/20
apic1(config-leaf-if)# service-policy type data-plane input iPol
apic1(config-leaf-if)# service-policy type data-plane output ePol
apic1(config-leaf-if)# exit
apic1(config-leaf)# interface ethernet 1/21.3001
apic1(config-leaf-if)# service-policy type data-plane input iPol
apic1(config-leaf-if)# service-policy type data-plane output ePol
apic1(config-leaf-if)# exit
apic1(config-leaf)# interface vlan 3000
apic1(config-leaf-if)# service-policy type data-plane input iPol
apic1(config-leaf-if)# service-policy type data-plane output ePol
apic1(config-leaf-if)# end

  3. レイヤ 3 インターフェイスで使用されるポリサーのコマンドを表示します。

    例:

    apic1# show tenant l3test1 policy-map type data-plane
Type data-plane policy-maps
====================
Policy in Tenant: l3test1
policy-map type data-plane ePol
    set burst 2000 kilo
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set cir 56 mega
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop
Policy in Tenant: l3test1
policy-map type data-plane iPol
    set burst 2000 kilo
    set burst unspecified
    set conform-cos-transmit unspecified
    set conform-dscp-transmit unspecified
    set conform transmit
    set excessive-burst unspecified
    set exceed-cos-transmit unspecified
    set exceed-dscp-transmit unspecified
    set exceed drop
    set mode byte
    set pir 0
    set cir 56 mega
    set type 1R2C
    set violate-cos-transmit unspecified
    set violate-dscp-transmit unspecified
    set violate drop

  4. レイヤ 3 に使用されるポリサーの show running-config です。

    例:

    apic1# show runn tenant l3test1
# Command: show running-config tenant l3test1
# Time: Fri Jan 29 19:48:20 2016
  tenant l3test1
    vrf context v1
      exit
    policy-map type data-plane ePol
      set burst 2000 kilo
      set cir 56 mega
      no shutdown
      exit
    policy-map type data-plane iPol
      set burst 2000 kilo
      set cir 56 mega
      no shutdown
      exit
    exit
apic1# show running-config leaf 102
# Command: show running-config leaf 102
# Time: Fri Jan 29 19:48:33 2016
  leaf 102
    vrf context tenant l3test1 vrf v1
      exit
    interface vlan 3000
      vrf member tenant l3test1 vrf v1
      ip address 70.1.1.1/24
      ipv6 address 3000::1/64 preferred
      bfd ip tenant mode
      bfd ipv6 tenant mode
      service-policy type data-plane input iPol
      service-policy type data-plane output ePol
      exit
    interface ethernet 1/20
      vlan-domain member l3ports
      no switchport
      vrf member tenant l3test1 vrf v1
      ip address 56.1.1.1/24
      ipv6 address 2000::1/64 preferred
      bfd ip tenant mode
      bfd ipv6 tenant mode
      service-policy type data-plane input iPol
      service-policy type data-plane output ePol
      exit
    interface ethernet 1/21
      vlan-domain member l3ports
      no switchport
      bfd ip tenant mode
      bfd ipv6 tenant mode
      exit
    interface ethernet 1/21.3001
      vrf member tenant l3test1 vrf v1
      ip address 60.1.1.1/24
      ipv6 address 2001::1/64 preferred
      bfd ip tenant mode
      bfd ipv6 tenant mode
      service-policy type data-plane input iPol
      service-policy type data-plane output ePol
    exit
    exit
apic1#

エンドポイントのグループ レベルでのデータ プレーン ポリシング

データ プレーン ポリシング(DPP)は、エンドポイント グループ(EPG)に適用できます。トラフィックのポリシングは、EPG が展開されているすべてのリーフ スイッチ上のすべての EPG メンバに適用されます。

3.2(1) より前のリリースでは、EPG メンバーごとに独自のポリサーがありました。3.2(1) 以降のリリースでは、動作はデータプレーンポリサーの共有モードプロパティ(CLI または GUI で構成されている場合)に依存します。それが [専用(dedicated)] に設定されている場合、状況は 3.2(1) リリース前と同様です。共有モードが [共有済み(shared)] に設定されている場合、同じデータプレーンポリサー ポリシーを使用している同じスライスのすべてのメンバーは、リーフスイッチのハードウェアポリサーを使用します。

たとえば、EPG には次のメンバがあります。

  • リーフ 101、Eth1/1、vlan-300

  • リーフ 101、Eth1/2、vlan-301

  • リーフ 102、Eth1/2、vlan-500

この場合、各メンバーは他のメンバーとは独立して、ポリサーに従ってトラフィックを制限します。データプレーンポリサーで共有モードが [共有済み(shared)] に設定されている場合、上記の同じスライス内のすべてのメンバーは、リーフスイッチで 1 つのポリサーのみを使用します。

データプレーンポリサーは、共有モードが [専用(dedicated)] に設定されている場合、リーフ 101 とリーフ 102 で独立して機能します。次に例を示します。

  • ポリサー A(100Mbps ポリシング)は、EPG1(Leaf101 e1/1 vlan-300 、e1/2 vlan-301、およびリーフ 102 e1/2 vlan-500)に適用されます。

  • リーフ 101:E1/1 vlan-300 および E1/2 vlan-301(インターフェイスごとに 100Mbps)を介したトラフィックに適用される EPG1 レベルでトラフィックをポリシングします。

  • リーフ 102:E1/2 vlan-500(インターフェイスごとにまた 100Mbps)を介したトラフィックに適用される EPG1 レベルでトラフィックをポリシングします。

EPG1 の合計は最大 300Mbps です。

共有モードが [共有済み(shared)] に設定されている場合、インターフェイスが同じスライスにある場合、同じポリサーを使用して 100 Mbps が EPG 間で共有されます。次に例を示します。

  • EPG1 および EPG2 に適用されるポリサー A(100Mbps ポリシング)。

  • リーフ 101:EPG1 と EPG2 のトラフィックの合計をポリシングします。

  • リーフ 102:EPG1 と EPG2 のトラフィックの合計をポリシングします。

インターフェイスが同じスライスにある場合、EPG1 と EPG2 の合計は最大 200 Mbps です。

以下は、EPG レベルでのデータ プレーン ポリシングの制限です。

  • EPG ポリサー機能は、製品 ID に -EX、-FX、またはそれ以降のサフィックスが付いているスイッチモデルでサポートされます。

  • 出力トラフィック ポリシングでは EPG レベル ポリサーはサポートされていません。

  • ポリサー モード Packet-per-second はサポートされていません。

  • ポリサー タイプ 2R3C はEPG ポリサーではサポートされていません。

  • intra-EPG isolation-enforced が EPG に適用されている場合、ポリサーはサポートされません。

  • スケール制限では、ノードごとに 128 EPG ポリサーがサポートできます。

CLI を使用したエンドポイント グループ レベルでのデータ プレーン ポリシングの設定

手順の概要

  1. ポリサーの定義:

手順の詳細

ポリサーの定義:

例:

apic1# conf t
apic1(config)# vlan-domain test
apic1(config-vlan)# vlan 1000-2000
apic1(config-vlan)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# vlan-domain member test
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit
apic1(config)# tenant test1
apic1(config-tenant)# vrf context v1
apic1(config-tenant-vrf)# exit
apic1(config-tenant)# bridge-domain bd1
apic1(config-tenant-bd)# vrf member v1
apic1(config-tenant-bd)# exit
apic1(config)# policy-map type data-plane pol1
apic1(config-pmap-dpp)# set burst 2400 mega
apic1(config-pmap-dpp)# set cir 78 mega
apic1(config-pmap-dpp)# exit
apic1(config-tenant)# application ap1
apic1(config-tenant-app)# epg e1
apic1(config-tenant-app-epg)# bridge-domain member db1
apic1(config-tenant-app-epg)# service-policy type data-plane poll
apic1(config-tenant-app-epg)# exit
apic1(config-tenant-app)# exit
apic1(config-tenant)# exit
apic1(config)# leaf 101
apic1(config-leaf)# interface ethernet 1/10
apic1(config-leaf-if)# switchport trunk allowed vlan 1001 tenant test1 application ap1 epg e1
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit

データ プレーン APIC GUI を使用してエンドポイント グループ レベルでのポリシングの設定

手順

[Tenants] ペインで、[Tenant_name] > [Policies] > [Protocol] > [Data Plane Policing] をクリックします。[Data Plane Policing] を右クリックし、 [Create Data Plane Policing Policy] をクリックします。

  1. [Name] フィールドにポリシーの名前を入力します。

  2. [Administrative State] フィールドで、[enabled] をクリックします。

  3. [Policer Mode] の隣にある [Bit Policer] または [Packet Policer] のどちらかのボタンを選択します。

  4. [タイプ(Type)] の隣で、[1 Rate 2 Color] のボタンを選択します。

  5. [Conform Action] で 、[Drop]、 [Mark]、または [Transmit] を選択します 。

  6. 管理者は、[Conform] と [Violate] フィールドの CoS および DSCP 値を設定できます。

  7. [Burst]、[Excessive Burst]、[Rate] フィールドの隣にあるドロップダウン矢印をクリックして、次のいずれかを選択します。

    • バイト/パケット

    • キロ バイト/パケット

    • メガ バイト/パケット

    • ギガ バイト/パケット

    • ミリ秒

    • マイクロ秒

データ プレーンの Rest API を使用したエンドポイント グループ レベルでのポリシングの設定

リーフ スイッチに着信するトラフィックを規制します。 

<!-- api/node/mo/.xml -->
<polUni>
  <fvTenant  name="t1">                                                                                                                                               
    <qosDppPol name="gmeo" burst="2000" rate="2000"/>
    <fvAp name="ap1">
      <fvAEPg name="ep1">
        <fvRsDppPol tnQosDppPolName="gmeo"/>
      </fvAEPg>
    </fvAp> 
  </fvTenant>
</polUni>

GUI のエンドポイント グループ レベルでデータ プレーン ポリサーの統計情報へのアクセス

EPG レベルの DPP は、EPG メンバ レベルのトラフィックを規制するために使用されます。その結果、統計情報はポリサーが存在するトラフィックをドロップすることを保証する整数です。統計情報は、EPG メンバ レベルで詳細に報告されます。

手順

ステップ 1

[テナント] ペインで、[Tenant_name] > [アプリケーション EPG] > [EPG メンバ] > [スタティック EPG メンバ] をクリックします。

ステップ 2

ノードを選択します。
ステップ 3

[統計情報の選択] をクリックします。

  1. [サンプリング間隔] 時間単位を選択します。

  2. [利用可能] ポリサー属性から、矢印を使用して属性を選択します。最大 2 種類の属性を選択できます。

  3. [Submit] をクリックします。

次のタスク

DPP 統計情報がグラフィカル表示されます。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ