レート制限の設定

この章では、Cisco NX-OS デバイスでスーパーバイザ宛のトラフィックのレート制限を設定する手順について説明します。

この章は、次の項で構成されています。

レート制限について

レート制限を行うことで、例外のリダイレクト パケットにより Cisco NX-OS デバイス上のスーパーバイザ モジュールに過剰な負荷がかかるのを回避できます。

次のタイプのリダイレクト パケットに対してレート制限を設定できます。

  • アクセス リスト ログ パケット

  • 双方向フォワーディング検出(BFD)パケット

  • キャッチオール例外トラフィック

  • ファブリック エクステンダ(FEX)トラフィック

  • レイヤ 3 収集パケット

  • レイヤ 3 マルチキャスト データ パケット

  • SPAN 出力トラフィック

Cisco Nexus 9200、9332C、9364C、9300-EX、9300-FX/FXP/FX2/FX3、9300-GX プラットフォーム スイッチ、および -EX/FX ライン カードを備えた Cisco Nexus 9500 プラットフォーム スイッチの場合、CoPP ポリサー レートはキロビット/秒です。他の Cisco Nexus 9000 シリーズ スイッチの場合、CoPP ポリサー レートはパケット/秒です。ただし、SPAN 出力トラフィックではキロビット/秒です。

レート制限の注意事項と制約事項

レート制限に関する注意事項と制約事項は次のとおりです。

  • スーパーバイザ宛の例外トラフィックおよびリダイレクトされたトラフィックに対してレート制限を設定できます。スーパーバイザ宛の他のタイプのトラフィックには、コントロール プレーン ポリシング(CoPP)を使用します。


    (注)  


    ハードウェア レート制限は、スーパーバイザの CPU を過剰な入力トラフィックから保護します。ハードウェア レート制限によって許容されるトラフィック レートは、グローバルに設定され、個々の I/O モジュールのそれぞれに適用されます。結果的に許容されるレートは、システム内の I/O モジュールの数によって異なります。CoPP では、Modular Quality-of-Service CLI(MQC)を利用して、スーパーバイザの CPU をさらに細かく保護することができます。


  • ハードウェア レートリミッタを設定して、SPAN 出力ポートの発信トラフィックの統計情報を表示できます。レート リミッタは、すべての Cisco Nexus 9000、9300 と 9500 シリーズ スイッチおよび Cisco Nexus 3164Q、31128PQ、3232C、および 3264Q スイッチでサポートされます。

  • 出力ポートのレート リミッタは、Cisco Nexus 9300 および 9500 シリーズ スイッチではパイプごと に制限されます。 Cisco Nexus 3164Q、31128PQ、Cisco Nexus 3232C および 3264Q スイッチです。出力ポートのレート リミッタは、Cisco Nexus 9200 および 9300-EX シリーズ スイッチのスライスごとに制限されます。

  • Cisco Nexus 9300 および 9500 シリーズ スイッチ、Cisco Nexus 3164Q、Cisco Nexus 31128PQ、Cisco Nexus 3232C、および Cisco Nexus 3264Q スイッチは、ローカルと ERSPAN の両方をサポートします。ただし、レート リミッタは ERSPAN にのみ適用されます。これらのスイッチでレート リミッタを有効にするには、e-racl ACL TCAM リージョンを設定する必要があります。詳細については、Cisco Nexus 9000 シリーズ NX-OS セキュリティ設定ガイドの「ACL TCAM リージョン サイズの設定」セクションを参照してください。

  • Cisco Nexus 9200 および 9300-EX シリーズ スイッチ、N9K-X9736C-EX、N9K-97160YC-EX、N9K-X9732C-EX、N9K-X9732C-EXM ライン カードの場合、SPAN 出力レート リミッタは ERSPAN とローカル SPAN の両方に適用されます。これらのデバイスでレート リミッタを使用するために特別な TCAM カービングは必要ありません。

  • Cisco Nexus 92160YC-X、92304QC、9.272Q、9232C、92300YC、9348GC-FXP、93108TC-FX シリーズ スイッチ、Cisco Nexus 3232C および Cisco Nexus 3264Q スイッチの場合、sFlow と ERSPAN の両方を設定しないでください。

  • ロギングレート制限はデフォルトでイネーブルになっています。デフォルト設定は、show running-config および show running-config all には表示されません。レート制限が有効になっているかどうかを確認するには、show logging を使用します。レート制限が有効か無効かを確認するための専用フィールドがあります。

    ロギングレート制限の設定が適用されない場合は、実行コンフィギュレーションに表示され、show loggingの出力に表示されます。

  • rate-limit cpu direction {input | output | both} pps packets action log コマンドは、Cisco Nexus 9000 シリーズスイッチではサポートされていません。


(注)  


Cisco IOS の CLI に慣れている場合、この機能の Cisco NX-OS コマンドは従来の Cisco IOS コマンドと異なる点があるため注意が必要です。


レート制限のデフォルト設定

次の表に、レート制限パラメータのデフォルト設定を示します。

Table 1. レート制限パラメータのデフォルト設定

パラメータ

デフォルト

アクセス リスト ロギング パケットのレート制限

100 pps

BFD パケットのレート制限

10000 pps

例外パケットのレート制限

50パケット/秒

FEXパケットレート制限

12000 パケット/秒

レイヤ 3 収集パケットのレート制限

100 pps

レイヤ 3 マルチキャスト データ パケットのレート制限

3000パケット/秒

SPAN 出力レート制限

制限なし

RL クラス パケット レート制限

100 pps

SPAN パケット レート制限

50パケット/秒

sFLOW パケット レート制限

40000 キロビット/秒

VXLAN-OAM パケット レート制限

1000 pps

100M-ethports パケット レート制限

10000 pps

SPAN 出力無効 dot1x パケット レート制限

3000パケット/秒

MPLS-OAM パケット レート制限

300 パケット/秒

Netflow パケット レート制限

120000 パケット/秒

SSX パケット レート制限

120000 パケット/秒

UCS-mgmt パケット レート制限

120000 パケット/秒

MDNS パケット レート制限

1024 パケット/秒

レート制限の設定

スーパーバイザ宛トラフィックにレート制限を設定できます。

Procedure

  Command or Action Purpose

Step 1

configure terminal

Example:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します

Step 2

hardware rate-limiter access-list-log {packets | disable} [module module [port start end]]

Example:

switch(config)# hardware rate-limiter access-list-log 200

アクセス リスト ロギングのためにスーパーバイザ モジュールにコピーされるパケットのレート制限を設定します。範囲は 0 ~ 10,000 です。

Step 3

hardware rate-limiter bfd packets [module module [port start end]]

Example:

switch(config)# hardware rate-limiter bfd 500

双方向フォワーディング検出(BFD)パケットのレート制限を設定します。範囲は 0 ~ 10,000 です。

Step 4

hardware rate-limiter exception packets [module module [port start end]]

Example:

switch(config)# hardware rate-limiter exception 500

コントロール プレーン ポリシング(CoPP)ポリシーで分類されないシステムのすべての例外トラフィックのレート制限を設定します。範囲は 0 ~ 10,000 です。

Step 5

hardware rate-limiter fex packets [module module [port start end]]

Example:

switch(config)# hardware rate-limiter fex 500

スーパーバイザ宛 FEX トラフィックのレート制限を設定します。範囲は 0 ~ 10,000 です。

Step 6

hardware rate-limiter layer-3 glean packets [module module [port start end]]

Example:

switch(config)# hardware rate-limiter layer-3 glean 500

レイヤ 3 収集パケットのレート制限を設定します。範囲は 0 ~ 10,000 です。

特定の宛先へのトラフィックを受信するノードは、書き換え情報または宛先の背後にある物理層インターフェイスを認識しないため、トラフィックを転送できないことがあります。この間に、その宛先のデータパスに収集エントリをインストールすることができます。これはグローバル パント隣接関係へのポインタではない可能性があるため、予約済みモジュールまたはポート値を使用して、このようなパケットをスーパーバイザにパントします。この収集レートは、特定のレートリミッタを使用して制御できます。

Note

 
CoPP ポリシーは、グローバル パント隣接のヒットにより CPU に転送される収集パケットのレートを制御します。レイヤ 3 収集ハードウェア レート リミッタは、sup-redirect acess-list によって CPU にリダイレクトされる収集パケットの数を制限します。これは、パケットが不明な VTEP から受信される VXLAN 環境などの特殊なケースで使用されます。

Step 7

hardware rate-limiter layer-3 multicast local-groups packets [module module [port start end]]

Example:

switch(config)# hardware rate-limiter layer-3 multicast local-groups 300

最短パスツリー(SPT)の参加開始用にパントされたレイヤ 3 マルチキャスト データ パケットのレート制限を設定します。0 ~ 10,000 です。

Step 8

hardware rate-limiter span-egress rate [module module]

Example:

switch(config)# hardware rate-limiter span-egress 123

出力トラフィックの SPAN のレート制限を設定します。範囲は 0 〜 100000000 です。

Note

 

sFlow と SPAN 出力レート リミッタの両方を設定しないでください。

Step 9

(Optional) show hardware rate-limiter [ access-list-log | bfd |exception | fex | layer-3 glean | layer-3 multicast local-groups | |module module]

Example:

switch# show hardware rate-limiter
(Optional)

レート制限の設定を表示します。モジュールの範囲は1 〜 30 です。

Step 10

(Optional) copy running-config startup-config

Example:

switch# copy running-config startup-config
(Optional)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

レート制限のモニタリング

レート制限をモニタリングできます。

Procedure

Command or Action Purpose

show hardware rate-limiter [access-list-log | bfd | exception | fex | layer-3 glean | layer-3 multicast local-groups | span-egress | module module]

Example:

switch# show hardware rate-limiter access-list-log

レート制限統計情報を表示します。

レート制限統計情報のクリア

レート制限統計情報をクリアできます。

Procedure

Command or Action Purpose

clear hardware rate-limiter {all | access-list-log | bfd | exception | fex | layer-3 glean | layer-3 multicast local-groups | span-egress [module module] }

Example:

switch# clear hardware rate-limiter access-list-log

レート制限統計情報をクリアします。

レート制限の設定の確認

レート制限の設定情報を表示するには、次の作業を行います。

コマンド

目的

show hardware rate-limiter [access-list-log | bfd | exception | fex | layer-3 glean | layer-3 multicast local-groups | span-egress | module module]

レート制限の設定を表示します。

レート制限の設定例

次に、アクセス リスト ロギングのためにスーパーバイザ モジュールにコピーされるパケットのレート制限を設定する例を示します。

switch(config)#	hardware rate-limiter access-list-log 
switch(config)# show hardware rate-limiter access-list-log
Units for Config: kilo bits per second
Allowed, Dropped & Total: aggregated since last clear counters


Module: 4
  R-L Class           Config           Allowed         Dropped            Total
 +------------------+--------+---------------+---------------+-----------------
+
  access-list-log         100               0               0                 0

  Port group with configuration same as default configuration
      Eth4/1-36

Module: 22
  R-L Class           Config           Allowed         Dropped            Total
 +------------------+--------+---------------+---------------+-----------------
+
  access-list-log         100               0               0                 0

  Port group with configuration same as default configuration
      Eth22/1-0

次に、SPAN 出力レート リミッタが sFlow と競合する例を示します。

switch(config)#	hardware rate-limiter span-egress 123
Warning: This span-egress rate-limiter might affect functionality of sFlow
switch(config)# show hardware rate-limiter span-egress
Units for Config: kilo bits per second 
Allowed, Dropped & Total: aggregated since Module: 1
R-L Class         Config            Allowed        Dropped           Total
+----------------+----------+--------------+--------------+----------------+
  L3 glean                 100             0              0               0
  L3 mcast loc-grp        3000             0              0               0
  access-list-log          100             0              0               0
  bfd                    10000             0              0               0
  exception                 50             0              0               0
  fex                     3000             0              0               0
  span                      50             0              0               0
  dpss                    6400             0              0               0
  span-egress              123             0              0               0
<<configured

レート制限に関する追加情報

ここでは、レート制限の実装に関する追加情報について説明します。

関連資料

関連項目

マニュアル タイトル

Cisco NX-OS のライセンス

Cisco NX-OS ライセンス ガイド