- はじめに
- 製品概要
- コマンドライン インターフェイス
- スイッチの初期設定
- スイッチの管理
- Virtual Switching System の設定
- Cisco IOS インサービス ソフトウェア アップグレード プロセスの設定
- Cisco IOS XE インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- Supervisor Engine 6-E および Supervisor Engine 6L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Supervisor Engine 7-E および Supervisor Engine 7L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設定
- SmartPort マクロの設定
- Cisco IOS Auto SmartPort マクロの設定
- STP および MST の設定
- Flex Link および MAC アドレス テーブル移動更新機能の設定
- Resilient Ethernet Protocol の設定
- オプションの STP 機能の設定
- EtherChannel およびリンク ステート トラッキングの設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- 802.1Q トンネリング、VLAN マッピング、およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- LLDP、LLDP-MED、およびロケーション サービスの設定
- UDLD の設定
- 単一方向イーサネットの設定
- レイヤ 3 インターフェイスの設定
- シスコ エクスプレス フォワーディングの設定
- uRPF の設定
- IP マルチキャストの設定
- ANCP クライアントの設定
- 双方向フォワーディング検出の設定
- ポリシーベース ルーティングの設定
- VRF-Lite の設定
- Quality of Service の設定
- 音声インターフェイスの設定
- プライベート VLAN の設定
- MACsec の暗号化設定
- 802.1X ポートベース認証の設定
- PPPoE 中継エージェントの設定
- Web ベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定
- ダイナミック ARP インスペクションの設定
- DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 のサポート
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN および RSPAN の設定
- Wireshark の設定
- 拡張オブジェクト トラッキングの設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- NetFlow-lite の設定
- Flexible NetFlow の設定
- イーサネット OAM と CFM の設定
- Y.1731 の設定(AIS および RDI)
- Call Home の設定
- Cisco IOS IP SLA 動作の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.4.0SG および IOS 15.1(2)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定
コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定
(注) CoPP は、Cisco IOS Release 12.2(50)SG 以降の Supervisor 6-E および Catalyst 4900M、Cisco IOS Release 12.2(52)X0 の Supervisor 6L-E、Cisco IOS Release 12.2(54)X0 以降の Catalyst 4948-E、Cisco IOS XE 3.1.0SG 以降の Supervisor Engine 7-E、Cisco IOS XE 3.2.0XO 以降の Supervisor Engine 7L-E でサポートされます。
この章では、コントロール プレーン ポリシング(CoPP)を使用して Catalyst 4500 シリーズ スイッチを保護する方法を説明します。この章の内容は Catalyst 4500 シリーズ スイッチに固有であり、「ACL によるネットワーク セキュリティの設定」で説明するネットワーク セキュリティ情報や手順を補足するものです。また、次のマニュアルのネットワーク セキュリティ情報や手順の補足にもなります。
•
次の URL の『 Cisco IOS Security Configuration Guide, Cisco IOS Release 12.4 』
http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4/sec_12_4_book.html
• 次の URL の『 Cisco IOS Security Command Reference, Cisco IOS Release 12.4 』
http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/hw/switches/ps4324/index.html
『Cisco Catalyst 4500 Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Cisco IOS Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
コントロール プレーン ポリシングの設定
• 「コントロール プレーン ポリシングの一般的な注意事項」
• 「コントロール プレーン トラフィックの CoPP の設定」
• 「データ プレーンおよび管理プレーン トラフィックの CoPP の設定」
• 「コントロール プレーン ポリシングの設定時の注意事項および制約事項」
コントロール プレーン ポリシングについて
(注) Catalyst 4500 スイッチは、すべての IPv6 ファースト ホップ セキュリティ機能(DHCPv6 インスペクション/ガード、レイヤ 2 の DHCPv6 リモート ID オプション、IPv6 の完全な RA ガードなど)についてハードウェア CoPP をサポートします。ただし、外向き方向でのポリシング用に ICMP v6 パケットを VFE は照合できないため、ハードウェア CoPP は Supervisor 6-E、Supervisor 6L-E、Catalyst 4900M および Catalyst 4948-E で動作しません。
CoPP 機能は、不要なトラフィックまたは DoS トラフィックから CPU を保護し、重要なコントロール プレーンおよび管理トラフィックを優先させることにより Catalyst 4500 シリーズ スイッチのセキュリティを向上させます。分類 TCAM および QoS ポリサーは、CoPP のハードウェア サポートを提供します。
CPU が管理するトラフィックは、次の 3 つの機能コンポーネント( プレーン )に分割されます。
CoPP を使用することで、大半の CPU 行きトラフィックを保護し、ルーティングの安定性と信頼性を確保し、パケットを確実に配信することができます。特に重要なのは、DoS 攻撃から CPU を保護するために CoPP を使用できることです。
デフォルトでは、レイヤ 2 およびレイヤ 3 コントロール プレーン パケットの選択済みセットに一致する定義済み ACL のリストを受信します。さらにこれらのパケットごとに優先するポリシング パラメータを定義し、これらの ACL の一致基準を変更できます。
|
|
|
|---|---|
データ プレーンおよび管理プレーン トラフィックの場合、ポリシングするトラフィック クラスと一致するようにユーザの ACL を定義できます。
CoPP では、MQC を使用してトラフィック分類基準を定義し、分類されたトラフィックの設定可能ポリシー アクションを指定します。MQC ではクラス マップを使用して特定のトラフィック クラスに対するパケットを定義します。トラフィックを分類した後、ポリシー マップを作成し、識別されたトラフィックにポリシー アクションを強制適用できます。control-plane global コンフィギュレーション コマンドでは、コントロール プレーンに直接 CoPP サービス ポリシーを付加することができます。
system-cpp-policy ポリシー マップにはポリシー マップの冒頭で定義済みの順序で定義済みのクラス マップを含める必要があります。system-cpp-policy ポリシー マップを作成する最善の方法は、グローバル マクロ system-cpp を使用することです。
system-cpp-policy ポリシー マップには、コントロール プレーン トラフィックに対する定義済みクラス マップが含まれます。システムで定義されたすべての CoPP クラス マップの名前と、それらの一致 ACL にはプレフィックス system-cpp- が付いています。デフォルトでは、トラフィック クラスに対するアクションは指定されていません。CPU 行きデータ プレーンおよび管理プレーン トラフィックに一致するクラス マップを独自に定義できます。また system-cpp-policy に定義済みクラス マップを追加できます。
コントロール プレーン ポリシングの一般的な注意事項
コントロール プレーン ポリシングの注意事項は、次のとおりです。
• ポート セキュリティは、非 IP 制御パケットの CoPP の効果をキャンセルすることがあります。
Catalyst 4500 シリーズ スイッチでの送信元 MAC ラーニングはソフトウェアで実行されますが、制御パケット(たとえば、IEEE BPDU、CDP、SSTP BPDU、GARP/)の送信元 MAC アドレスのラーニングは許可されません。潜在的に予測されない制御パケットのレートが高いことが予想されるポートにポート セキュリティを設定した場合、システムは CPU に転送する代わりにパケットのコピーを(送信元アドレスがラーニングされるまで)生成します。
Catalyst 4500 スーパーバイザ エンジンの現在のアーキテクチャでは、CPU に送信されたパケットのコピーにポリシングを適用することはできません。CPU に転送されるパケットにのみポリシングを適用できます。パケットのコピーが制御パケットと同じレートで CPU に送信されますが、制御パケットからのラーニングが許可されていないため、ポート セキュリティはトリガーされません。ポリシングは、元のパケットではなくパケットのコピーが CPU に送信されるため適用されません。
• ARP ポリシングはクラシック シリーズ スーパーバイザ エンジンまたは固定構成スイッチではサポートされません。これは、Catalyst 4900M および 4948E スイッチ、Supervisor Engine 6-E、および Supervisor Engine 6L-E でサポートされます。
• 入力 CoPP だけがサポートされます。つまり、コントロールプレーンに関連する CLI では input キーワードだけがサポートされます。
• CPU が処理するデータ プレーンおよび管理プレーン トラフィックを識別するには、ACL とクラスマップを使用します。
デフォルト設定
コントロール プレーン トラフィックの CoPP の設定
コントロール プレーン トラフィックの CoPP を設定するには、次の作業を実行します。
データ プレーンおよび管理プレーン トラフィックの CoPP の設定
データ プレーンおよび管理プレーン トラフィックの CoPP を設定するには、次の作業を実行します。
次の例では、送信元アドレス 10.1.1.1 および 10.1.1.2 を持つ信頼できるホストを設定し、制約を設けずに Telnet パケットをコントロール プレーンに転送する方法を示します。残りのすべての Telnet パケットは、特定のレートでポリシングされるようにします。この例では、グローバルな QoS がイネーブルなことと、system-cpp-policy ポリシー マップが作成されたことを前提とします。
コントロール プレーン ポリシングの設定時の注意事項および制約事項
すべてのスーパーバイザ エンジン
• 入力 CoPP だけがサポートされます。 input キーワードだけがコントロール プレーン関連の CLI ではサポートされます。
• コントロール プレーン トラフィックは、CoPP を使用する場合にだけポリシングできます。ポリシー マップをインターフェイスまたは VLAN に付加するとき、コントロール プレーン トラフィックを含むポリシー マップが受け付けられても、入力インターフェイスまたは VLAN のトラフィックはポリシングできません。
• CPU が処理するデータ プレーンおよび管理プレーン トラフィックを識別するには、ACL とクラス マップを使用します。ユ1ーザ定義クラス マップは、CoPP の system-cpp-policy ポリシー マップに追加する必要があります。
• デフォルトの system-cpp-policy ポリシー マップはシステム定義クラス マップのアクションを定義しません( ポリシングなし) 。
• system-cpp-policy でサポートされるアクションは ポリシング だけです。
• データ プレーンおよび管理プレーン トラフィック クラスの定義に MAC アドレスと IP ACL の両方を使用できます。ただし、パケットが、コントロール プレーン トラフィックに対する定義済み ACL とも一致した場合、 ポリシング (またはポリシングなし)アクションはコントロール プレーン クラスに作用します。その理由は、コントロール プレーン クラスがサービス ポリシーのユーザ定義クラスの上に表示されるためです。
• 超過アクション policed-dscp-transmit は CoPP ではサポートされません。
• CoPP ポリシー ACL では log キーワードを使用しないでください。代わりに、不正なパケットが到達したかどうかを確認するには、show policy-map interface コマンドの出力を表示するか、SPAN 機能を使用します。
Catalyst 4900M、Catalyst 4948E、Supervisor Engine 6-E、および Supervisor Engine 6L-E には適用しない
• コントロール プレーン トラフィックをポリシングするには、システム定義のクラス マップを使用します。
• システム定義クラス マップは、通常の QoS のポリシー マップでは使用できません。
• system-cpp-policy という名前のポリシー マップは CoPP 専用です。
• グローバル QoS がイネーブルで、 ポリシング アクションが指定されないかぎり、CoPP はイネーブルになりません。
CoPP のモニタ
サイト固有のポリシーを作成し、コントロール プレーン ポリシーの統計情報を監視し、CoPP をトラブルシューティングするには、 show policy-map control-plane コマンドを入力できます。このコマンドは、実際に適用されるポリシーのダイナミック情報を表示します。このダイナミック情報には、レート情報と、ハードウェアおよびソフトウェアに設定したポリシーに準拠または超過するバイト数(およびパケット数)が含まれます。
show policy-map control-plane コマンドの出力は次のようになります。
コントロール プレーンのカウンタをクリアするには、 clear control-plane * コマンドを実行します。
すべての CoPP アクセス リスト情報を表示するには、 show access-lists コマンドを実行します。
CoPP アクセス リストを 1 つだけ表示するには、 show access-lists system-cpp-cdp コマンドを実行します。
レイヤ 2 制御パケット QoS の設定
レイヤ 2 制御パケット QoS では、物理ポートまたは LAN に到着した制御パケットのポリシングが行えます。
• 「レイヤ 2 制御パケット QoS の注意事項および制約事項」
レイヤ 2 制御パケット QoS の概要
パケットが CPU に到達する前に特定のポートの STP、CDP、VTP、SSTP、BPDU、EAPOL、および LLDP などの着信レイヤ 2 制御パケットをポリシングする場合があります。これは集約トラフィックが(CoPP の使用により)ポリシングを受ける前に最初の防御として役立つ可能性があります。デフォルトでは、ポリサーは入力方向のレイヤ 2 制御パケットには適用できません。これは、ユーザが重要なレイヤ 2 制御パケットを誤ってポリシングしたりドロップしたりしないようにします。
このアプローチは間違って制御パケットをポリシングするユーザを保護する一方、より深刻な問題が生じます。レイヤ 2 制御パケットのフラッディングが、DoS 攻撃が原因で、または設定ミスのためカスタマー ネットワーク内で発生するループが原因で非常に高いレートでスイッチ インターフェイスのいずれかにおいて受信された場合、CPU 使用率が急速に増加する可能性があります。これは、プロトコルのキープアライブおよびルーティング プロトコル アップデートの喪失など、悪影響をもたらす場合があります。レイヤ 2 制御パケットの QoS 機能では、入力方向のポート、VLAN、またはポート VLAN レベルでレイヤ 2 制御パケットをポリシングすることができます。
デフォルト設定
レイヤ 2 制御パケット QoS のイネーブル化
レイヤ 2 制御パケット QoS をイネーブルにするには、次の作業を行います。
表 49-1 に、この機能で影響を受けるパケットのタイプを示します。
|
|
|
|---|---|
次に、CDP パケットに対して QoS をイネーブルにし、インターフェイス gi3/1 および VLAN 1 に到着する CDP パケットにポリサーを適用する例を示します。
レイヤ 2 制御パケット QoS のディセーブル化
no qos control-packets コマンドでは、すべてのパケット タイプに関する QoS がディセーブルになります。
次に、QoS をすべてのパケット タイプに関してイネーブルにし、その後で CDP パケットの QoS をディセーブルにする例を示します。
(注) すべての制御パケット(CDP および VTP、BPDU 範囲、SSTP、LLDP、プロトコル トンネリング)がイネーブルにされている場合、qos control-packets だけが NVGEN に格納されます。前の出力で示された個々のプロトコル名は、一部の制御パケットが設定されている場合にだけ NVGEN に格納されます。
(注) 指定されたプロトコル タイプに対してこの機能を設定解除すると、そのプロトコル タイプを処理するユーザ設定ポリシーがただちに無効な状態になります。TCAM リソースを保存するには、MACL およびクラス マップ(自動生成またはユーザ定義)のほかポリシーを削除します。
(注) インターフェイスがダウン ステートの場合、TCAM リソースは消費されません。
表 49-2 に、対応するパケット タイプの機能をイネーブルにすると作成される自動生成の MACL とクラス マップを示します。
レイヤ 2 制御パケット QoS の設定例
CPU に対する DoS 攻撃を防ぐために CoPP およびレイヤ 2 制御パケット QoS を一緒に使用できます。次の例では、インターフェイス gi3/1、VLAN 1 および VLAN 2 に到着する BPDU は、32 kbps と 34 kbps にそれぞれ制限されます。CPU への集約 BPDU トラフィックは、CoPP を使用して 50 kbps にさらにレート制限されます。
(注) ポリサー リソースの消費を減らすために、ポートまたは VLAN のグループに適用された名前付き集約ポリサーを使用することもできます。
(注) システムによって自動生成したクラス マップおよび MACL を変更しないでください。この処理によって、実行コンフィギュレーションがファイルから更新されたとき、またはスイッチのリロードの際に、予期しない動作が起きる可能性があります。
システム生成クラス マップまたは MACL を調整または変更するには、ユーザ定義クラス マップおよび MACL を適用します。
(注) ユーザ定義クラス マップ名はプレフィックス system-control-packet で開始する必要があります。そうしないと、特定のハードウェア(Catalyst 4924、Catalyst 4948、Catalyst 4948-10GE、Supervisor Engine II-Plus、Supervisor Engine II+10GE、Supervisor Engine V、Supervisor Engine V-10GE)は、設定された QoS アクションを実行しない可能性があります。
たとえば、次に示すのは、プレフィックス system-control-packet で始まるため、レイヤ 2 制御パケットをポリシングするための有効なユーザ定義クラス マップ名です。
このような制限はユーザ定義 MACL(アクセス グループ)に使用する名前にはありません。
次の例は、EAPOL と BPDU パケットを識別するユーザ定義のクラス マップおよび MACL を作成する方法を示します。自動生成された system-control-packet-bpdu の範囲が 3 パケット タイプ(BPDU、EAPOL と OAM)と一致するため、このトラフィック クラスをポリシングすると 3 つすべてのパケット タイプに影響します。異なるレートで BPDU と EAPOL パケットをポリシングするには、次のようにユーザ定義 MACL およびクラス マップを設定します。
レイヤ 2 制御パケット QoS の注意事項および制約事項
レイヤ 2 制御パケット QoS を使用(または設定)するときは、次の注意事項および制約事項を考慮してください。
• レイヤ 2 制御パケット QoS をイネーブルにすると、スイッチのすべてのポートに適用されます。レイヤ 2 制御パケットが、ポートまたは VLAN に付加するポリシーで明示的に分類されていない場合は、class-default のアクションが通常の QoS ルールに従って適用します。
• 制御パケットと一致する分類子をポリシー マップの冒頭に置き、後に他のトラフィック クラスを続けて、レイヤ 2 制御パケットが誤った QoS アクションの対象にならないようにします。
• デフォルト クラス(class-default)のアクションの適用は、スーパーバイザ エンジンのタイプによって異なります。
– NetFlow がサポートされている Supervisor Engine V-10GE:class-default に関連付けられたアクションは、一致しない制御パケットに適用されません。デフォルトの許可アクションが適用されます。system-control-packet で始まるクラス マップに関連付けるアクションだけが制御パケットに適用されます。
– 他のすべてのスーパーバイザ エンジン:class-default に関連付けられたアクションは、一致しない制御パケットに適用されます。
• BPDU 範囲の機能をイネーブルにすると、EAPOL パケットは最初の 802.1X 認証フェーズが完了した後で初めてポリシングされます。
IPv6 制御トラフィックのポリシング
Catalyst 4900M、Catalyst 4948E、Supervisor Engine 6-E、および Supervisor Engine 6L-E では、OSPF、PIM および MLD などの IPv6 制御パケットは、そのようなトラフィックを分類するように IPv6 ACL を設定してから、そのようなトラフィックをポリシングするための QoS ポリシーを適用することで、物理ポート、VLAN、またはコントロール プレーンでポリシングできます。
次の例は、ポートで受信される OSPFv6、PIMv6 および MLD の制御トラフィックをポリシングする方法を示します。
次に、宛先 IP v6 アドレスで OSPFv6 制御パケットを識別するようにトラフィック クラスを設定する例を示します。
次に、宛先 IPv6 アドレスによって PIMv6 制御パケットを識別するようにトラフィック クラスを設定する例を示します。
次の例では、MLD プロトコル制御パケットを識別するようにトラフィック クラスを設定する方法を示します。
次に、OSPFv6、PIMv6 および MLD トラフィック クラスをポリシングするように QoS ポリシーを設定する例を示します。
入力方向のインターフェイス gi2/2 に対するポリシー設定の例を次に示します。
フィードバック