CoPP について
コントロール プレーン ポリシング(CoPP)はコントロール プレーンを保護し、それをデータ プレーンから分離することによって、ネットワークの安定性、到達可能性、およびパケット配信を保証します。
この機能により、コントロール プレーンにポリシー マップを適用できるようになります。このポリシー マップは、通常の QoS ポリシーに似ており、非管理ポートからスイッチに入るすべてのトラフィックに適用されます。ネットワーク デバイスへの一般的な攻撃ベクトルは、過剰なトラフィックがデバイス インターフェイスに転送されるサービス妨害(DoS)攻撃です。
Cisco NX-OS デバイスは、DoS 攻撃がパフォーマンスに影響しないようにするために CoPP を提供します。このような攻撃は誤って、または悪意を持って実行される場合があり、通常は、スーパーバイザ モジュールまたは CPU 自体に宛てられた大量のトラフィックが含まれます。
スーパーバイザ モジュールは、管理対象のトラフィックを次の 3 つの機能コンポーネント(プレーン)に分類します。
- データ プレーン
- すべてのデータ トラフィックを処理します。Cisco NX-OS デバイスの基本的な機能は、インターフェイス間でパケットを転送することです。スイッチ自身に向けられたものでないパケットは、中継パケットと呼ばれます。データ プレーンで処理されるのはこれらのパケットです。
- コントロール プレーン
- ルーティング プロトコルのすべての制御トラフィックを処理します。ボーダー ゲートウェイ プロトコル(BGP)や Open Shortest Path First(OSPF)プロトコルなどのルーティング プロトコルは、デバイス間で制御パケットを送信します。これらのパケットはルータのアドレスを宛先とし、コントロール プレーン パケットと呼ばれます。
- 管理プレーン
- コマンドライン インターフェイス(CLI)や簡易ネットワーク管理プロトコル(SNMP)など、Cisco NX-OS デバイスを管理する目的のコンポーネントを実行します。
スーパーバイザ モジュールには、管理プレーンとコントロール プレーンの両方が搭載され、ネットワークの運用にクリティカルなモジュールです。スーパーバイザ モジュールの動作が途絶したり、スーパーバイザ モジュールが攻撃されたりすると、重大なネットワークの停止につながります。たとえば、スーパーバイザに過剰なトラフィックが加わると、スーパーバイザ モジュールが過負荷になり、Cisco NX-OS デバイス全体のパフォーマンスが低下する可能性があります。たとえば、スーパーバイザ モジュールに対する DoS 攻撃は、コントロール プレーンに対して非常に高速に IP トラフィック ストリームを生成することがあります。これにより、コントロール プレーンは、これらのパケットを処理するために大量の時間を費やしてしまい、本来のトラフィックを処理できなくなります。
DoS 攻撃の例は次のとおりです。
-
インターネット制御メッセージ プロトコル(ICMP)エコー要求
-
IP フラグメント
-
TCP SYN フラッディング
これらの攻撃によりデバイスのパフォーマンスが影響を受け、次のようなマイナスの結果をもたらします。
-
サービス品質の低下(音声、ビデオ、または重要なアプリケーション トラフィックの低下など)
-
ルート プロセッサまたはスイッチ プロセッサの高い CPU 使用率
-
ルーティング プロトコルのアップデートまたはキープアライブの消失によるルート フラップ
-
不安定なレイヤ 2 トポロジ
-
CLI との低速な、または応答を返さない対話型セッション
-
メモリやバッファなどのプロセッサ リソースの枯渇
-
着信パケットの無差別のドロップ
Caution |
コントロール プレーンの保護策を講じることで、スーパーバイザ モジュールを偶発的な攻撃や悪意ある攻撃から確実に保護することが重要です。 |
コントロール プレーン保護
コントロール プレーンを保護するため、Cisco NX-OS デバイスはコントロール プレーンに向かうさまざまなパケットを異なるクラスに分離します。クラスの識別が終わると、Cisco NX-OS デバイスはパケットをポリシングします。これにより、スーパーバイザ モジュールに過剰な負担がかからないようになります。
コントロール プレーンのパケット タイプ
コントロール プレーンには、次のような異なるタイプのパケットが到達します。
- 受信パケット
- ルータの宛先アドレスを持つパケット。宛先アドレスには、レイヤ 2 アドレス(ルータ MAC アドレスなど)やレイヤ 3 アドレス(ルータ インターフェイスの IP アドレスなど)があります。これらのパケットには、ルータ アップデートとキープアライブ メッセージも含まれます。ルータが使用するマルチキャスト アドレス宛てに送信されるマルチキャスト パケットも、このカテゴリに入ります。
- 例外パケット
- スーパーバイザ モジュールによる特殊な処理を必要とするパケット。たとえば、宛先アドレスが Forwarding Information Base(FIB; 転送情報ベース)に存在せず、結果としてミスとなった場合は、スーパーバイザ モジュールが送信側に到達不能パケットを返します。他には、IP
オプションがセットされたパケットもあります。
次の例外は、ラインカードからのみ発生する可能性があります。 - match exception ip option
- match exception ipv6 option
- match exception ttl-failure
次の例外は、ファブリック モジュールからのみ発生する可能性があります。 - match exception ipv6 icmp unreachable
- match exception ip icmp unreachable
次の例外は、ラインカードとファブリック モジュールから発生する可能性があります。 - match exception mtu-failure
- リダイレクト パケット
- スーパーバイザ モジュールにリダイレクトされるパケット。
- 収集パケット
- 宛先 IP アドレスのレイヤ 2 MAC アドレスが FIB に存在していない場合は、スーパーバイザ モジュールがパケットを受信し、ARP 要求をそのホストに送信します。
これらのさまざまなパケットは、コントロール プレーンへの悪意ある攻撃に利用され、Cisco NX-OS デバイスに過剰な負荷をかける可能性があります。CoPP は、これらのパケットを異なるクラスに分類し、これらのパケットをスーパーバイザが受信する速度を個別に制御するメカニズムを提供します。
CoPP の分類
効果的に保護するために、Cisco NX-OS デバイスはスーパーバイザ モジュールに到達するパケットを分類して、パケット タイプに基づいた異なるレート制御ポリシーを適用できるようにします。たとえば、Hello メッセージなどのプロトコル パケットには厳格さを緩め、IP オプションがセットされているためにスーパーバイザ モジュールに送信されるパケットには厳格さを強めることが考えられます。クラス マップとポリシー マップを使用して、パケットの分類およびレート制御ポリシーを設定します。
レート制御メカニズム
パケットの分類が終わると、Cisco NX-OS デバイスにはスーパーバイザ モジュールに到達するパケットのレートを制御するメカニズムがあります。スーパーバイザ モジュールへのトラフィックのレート制御には 2 つのメカニズムを使用します。1 つはポリシング、もう 1 つはレート制限と呼ばれるものです。
ハードウェア ポリサーを使用すると、トラフィックが所定の条件に一致する場合、または違反する場合について異なるアクションを定義できます。このアクションには、パケットの送信、パケットのマーク付け、およびパケットのドロップがあります。
ポリシングには、次のパラメータを設定できます。
- 認定情報レート(CIR)
- 望ましい帯域幅を、ビット レート、またはリンク レートの割合として指定します。
- 認定バースト(BC)
- 指定した時間枠内に CIR を超過する可能性があるが、スケジューリングには影響を与えないトラフィック バーストのサイズ。
さらに、一致トラフィックおよび違反トラフィックに対して、送信またはドロップなどの異なるアクションを設定できます。
ポリシング パラメータの詳細については、『Cisco Nexus 9000 Series NX-OS Quality of Service Configuration Guide』を参照してください。
ダイナミックおよびスタティック CoPP ACL
CoPP アクセス コントロール リスト(ACL)は、ダイナミックまたはスタティックのいずれかに分類されます。Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチでは、ダイナミック CoPP ACL のみ使用します。Cisco Nexus 9200 シリーズ スイッチでは、ダイナミックおよびスタティックの両方の CoPP ACL を使用します。
ダイナミック CoPP ACL は Forwarding Information Base(FIB; 転送情報ベース)ベースのスーパーバイザ リダイレクト パケットに対してのみ機能し、スタティック CoPP ACL は ACL ベースのスーパーバイザ リダイレクト パケットに対して機能します。ダイナミック CoPP ACL がサポートされるのは myIP およびリンクローカル マルチキャスト トラフィックであり、スタティック CoPP ACL がサポートされるのは、その他すべてのタイプのトラフィックです。
スタティック CoPP ACL の識別はサブストリングで行われます。こうしたいずれかのサブストリングを持つ ACL は、すべてスタティック CoPP ACL に分類されます。
-
MAC ベースのスタティック CoPP ACL サブストリング:
-
acl-mac-cdp-udld-vtp
-
acl-mac-cfsoe
-
acl-mac-dot1x
-
acl-mac-l2-tunnel
-
acl-mac-l3-isis
-
acl-mac-lacp
-
acl-mac-lldp
-
acl-mac-sdp-srp
-
acl-mac-stp
-
acl-mac-undesirable
-
-
プロトコル ベースのスタティック CoPP ACL のサブストリング:
-
acl-dhcp
-
acl-dhcp-relay-response
-
acl-dhcp6
-
acl-dhcp6-relay-response
-
acl-ptp
-
-
マルチキャスト ベースのスタティック CoPP ACL サブストリング:
-
acl-igmp
-
スタティック CoPP ACL の詳細については、「CoPP の注意事項と制約事項」を参照してください。
デフォルトのポリシング ポリシー
Cisco NX-OS デバイスの初回起動時に、DoS 攻撃からスーパーバイザ モジュールを保護するためのデフォルトの copp-system-p-policy-strict ポリシーが Cisco NX-OS ソフトウェアによりインストールされます。最初のセットアップ ユーティリティで、次のいずれかの CoPP ポリシー オプションを選択することにより、保護レベルを設定できます。
-
Strict:このポリシーは 1 レート、2 カラーです。
-
Moderate:このポリシーは 1 レート、2 カラーです。重要クラスのバースト サイズは strict ポリシーより大きく、lenient ポリシーより小さくなります。
-
Lenient:このポリシーは 1 レート、2 カラーです。重要クラスのバースト サイズは moderate ポリシーより大きく、dense ポリシーより小さくなります。
-
Dense:このポリシーは 1 レート、2 カラーです。ポリサーの CIR 値は、strict ポリシーよりも低くなります。
-
Skip:コントロール プレーン ポリシーは適用されません(ネットワークのコントロール プレーンに影響するため、Skip オプションの使用は推奨されません)。
オプションを選択しなかった場合や、セットアップ ユーティリティを実行しなかった場合には、strict ポリシングが適用されます。strict ポリシーから開始し、必要に応じて、CoPP ポリシーを変更することを推奨します。
Note |
POAP を使用する場合、デフォルトでは厳格なポリシングは適用されないため、CoPP ポリシーを設定する必要があります。 |
copp-system-p-policy ポリシーには、基本的なデバイス操作に最も適した値が設定されています。使用する DoS に対する保護要件に適合するよう、特定のクラスやアクセス コントロール リスト(ACL)を追加する必要があります。デフォルト CoPP ポリシーは、ソフトウェアをアップグレードしても変更されません。
Caution |
skip オプションを選択し、その後に CoPP 保護を設定していない場合、Cisco NX-OS デバイスは DoS 攻撃対して脆弱な状態になります。 |
CLI プロンプトから setup コマンドを実行して再度セットアップ ユーティリティを起動するか、または copp profile コマンドを使用して、CoPP のデフォルト ポリシーを再割り当てできます。
デフォルト クラス マップ
copp-system-class-critical クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-critical
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
copp-system-class-exception クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-exception
match exception ip option
match exception ip icmp unreachable
match exception ipv6 option
match exception ipv6 icmp unreachable
copp-system-class-exception-diag クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-exception-diag
match exception ttl-failure
match exception mtu-failure
copp-system-class-important クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-important
match access-group name copp-system-p-acl-hsrp
match access-group name copp-system-p-acl-vrrp
match access-group name copp-system-p-acl-hsrp6
match access-group name copp-system-p-acl-vrrp6
match access-group name copp-system-p-acl-mac-lldp
copp-system-class-l2-default クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-l2-default
match access-group name copp-system-p-acl-mac-undesirable
copp-system-class-l2-unpoliced クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-l2-unpoliced
match access-group name copp-system-p-acl-mac-stp
match access-group name copp-system-p-acl-mac-lacp
match access-group name copp-system-p-acl-mac-cfsoe
match access-group name copp-system-p-acl-mac-sdp-srp
match access-group name copp-system-p-acl-mac-l2-tunnel
match access-group name copp-system-p-acl-mac-cdp-udld-vtp
copp-system-class-l3mc-data クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-l3mc-data
match exception multicast rpf-failure
match exception multicast dest-miss
copp-system-class-l3uc-data クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-l3uc-data
match exception glean
copp-system-class-management クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-management
match access-group name copp-system-p-acl-ftp
match access-group name copp-system-p-acl-ntp
match access-group name copp-system-p-acl-ssh
match access-group name copp-system-p-acl-http
match access-group name copp-system-p-acl-ntp6
match access-group name copp-system-p-acl-sftp
match access-group name copp-system-p-acl-snmp
match access-group name copp-system-p-acl-ssh6
match access-group name copp-system-p-acl-tftp
match access-group name copp-system-p-acl-https
match access-group name copp-system-p-acl-snmp6
match access-group name copp-system-p-acl-tftp6
match access-group name copp-system-p-acl-radius
match access-group name copp-system-p-acl-tacacs
match access-group name copp-system-p-acl-telnet
match access-group name copp-system-p-acl-radius6
match access-group name copp-system-p-acl-tacacs6
match access-group name copp-system-p-acl-telnet6
copp-system-class-monitoring クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-monitoring
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
copp-system-class-multicast-host クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-multicast-host
match access-group name copp-system-p-acl-mld
copp-system-class-multicast-router クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-multicast-router
match access-group name copp-system-p-acl-pim
match access-group name copp-system-p-acl-msdp
match access-group name copp-system-p-acl-pim6
match access-group name copp-system-p-acl-pim-reg
match access-group name copp-system-p-acl-pim6-reg
match access-group name copp-system-p-acl-pim-mdt-join
copp-system-class-nat-flow クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-nat-flow
match exception nat-flow
copp-system-class-ndp クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-ndp
match access-group name copp-system-p-acl-ndp
copp-system-class-normal クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-normal
match access-group name copp-system-p-acl-mac-dot1x
match protocol arp
copp-system-class-normal-dhcp クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-normal-dhcp
match access-group name copp-system-p-acl-dhcp
match access-group name copp-system-p-acl-dhcp6
copp-system-class-normal-dhcp-relay-response クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-normal-dhcp-relay-response
match access-group name copp-system-p-acl-dhcp-relay-response
match access-group name copp-system-p-acl-dhcp6-relay-response
copp-system-class-normal-igmp クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-normal-igmp
match access-group name copp-system-p-acl-igmp
copp-system-class-redirect クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-redirect
match access-group name copp-system-p-acl-ptp
copp-system-class-undesirable クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-undesirable
match access-group name copp-system-p-acl-undesirable
match exception multicast sg-rpf-failure
copp-system-class-fcoe クラスの設定は次のとおりです。
class-map type control-plane match-any copp-system-p-class-fcoe
match access-group name copp-system-p-acl-mac-fcoe
(注) |
copp-system-class-fcoe クラスは Cisco Nexus 9200 シリーズ スイッチではサポートされていません。 |
strict デフォルト CoPP ポリシー
Cisco Nexus 9200 シリーズ スイッチの場合、strict CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-strict
class copp-system-p-class-l3uc-data
set cos 1
police cir 800 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 36000 kbps bc 1280000 bytes conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 2500 kbps bc 1280000 bytes conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 2600 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 10000 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 1
police cir 1000 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 2400 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 1400 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-ndp
set cos 6
police cir 1400 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 1300 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 1500 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 3000 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 280 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 150 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 150 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 150 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 50 mbps bc 8192000 bytes conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 200 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-nat-flow
set cos 7
police cir 800 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 400 kbps bc 32000 bytes conform transmit violate drop
class class-default
set cos 0
police cir 400 kbps bc 32000 bytes conform transmit violate drop
Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチの場合、strict CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-strict
class copp-system-p-class-l3uc-data
set cos 1
police cir 250 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 19000 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 3000 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 3000 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 3000 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 1
police cir 2000 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 3000 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 1500 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-ndp
set cos 6
police cir 1500 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 300 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 400 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 6000 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 1500 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 50 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 50 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 300 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 20000 pps bc 8192 packets conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 15 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-fcoe
set cos 6
police cir 1500 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-nat-flow
set cos 7
police cir 100 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 50 pps bc 32 packets conform transmit violate drop
class class-default
set cos 0
police cir 50 pps bc 32 packets conform transmit violate drop
moderate デフォルト CoPP ポリシー
Cisco Nexus 9200 シリーズ スイッチの場合、moderate CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-moderate
class copp-system-p-class-l3uc-data
set cos 1
police cir 800 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 36000 kbps bc 1920000 bytes conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 2500 kbps bc 1920000 bytes conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 2600 kbps bc 192000 bytes conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 10000 kbps bc 48000 bytes conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 1
police cir 1000 kbps bc 192000 bytes conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 2400 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 1400 kbps bc 48000 bytes conform transmit violate drop
class copp-system-p-class-ndp
set cos 6
police cir 1400 kbps bc 48000 bytes conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 1300 kbps bc 48000 bytes conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 1500 kbps bc 96000 bytes conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 3000 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 280 kbps bc 48000 bytes conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 150 kbps bc 48000 bytes conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 150 kbps bc 48000 bytes conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 150 kbps bc 192000 bytes conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 50 mbps bc 8192000 bytes conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 200 kbps bc 48000 bytes conform transmit violate drop
class copp-system-p-class-nat-flow
set cos 7
police cir 800 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 400 kbps bc 48000 bytes conform transmit violate drop
class class-default
set cos 0
police cir 400 kbps bc 48000 bytes conform transmit violate drop
Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチの場合、moderate CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-moderate
class copp-system-p-class-l3uc-data
set cos 1
police cir 250 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 19000 pps bc 192 packets conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 3000 pps bc 192 packets conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 3000 pps bc 192 packets conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 3000 pps bc 48 packets conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 1
police cir 2000 pps bc 192 packets conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 3000 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 1500 pps bc 48 packets conform transmit violate drop
class copp-system-p-class-ndp
set cos 6
police cir 1500 pps bc 48 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 300 pps bc 48 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 400 pps bc 96 packets conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 6000 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 1500 pps bc 48 packets conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 50 pps bc 48 packets conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 50 pps bc 48 packets conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 300 pps bc 192 packets conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 20000 pps bc 8192 packets conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 15 pps bc 48 packets conform transmit violate drop
class copp-system-p-class-fcoe
set cos 6
police cir 1500 pps bc 192 packets conform transmit violate drop
class copp-system-p-class-nat-flow
set cos 7
police cir 100 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 50 pps bc 48 packets conform transmit violate drop
class class-default
set cos 0
police cir 50 pps bc 48 packets conform transmit violate drop
lenient デフォルト CoPP ポリシー
Cisco Nexus 9200 シリーズ スイッチの場合、lenient CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-lenient
class copp-system-p-class-l3uc-data
set cos 1
police cir 800 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 36000 kbps bc 2560000 bytes conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 2500 kbps bc 2560000 bytes conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 2600 kbps bc 256000 bytes conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 10000 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 1
police cir 1000 kbps bc 256000 bytes conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 2400 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 1400 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-ndp
set cos 6
police cir 1400 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 1300 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 1500 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 3000 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 280 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 150 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 150 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 150 kbps bc 256000 bytes conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 50 mbps bc 8192000 bytes conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 200 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-nat-flow
set cos 7
police cir 800 kbps bc 64000 bytes conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 400 kbps bc 64000 bytes conform transmit violate drop
class class-default
set cos 0
police cir 400 kbps bc 64000 bytes conform transmit violate drop
Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチの場合、lenient CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-lenient
class copp-system-p-class-l3uc-data
set cos 1
police cir 250 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 19000 pps bc 256 packets conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 3000 pps bc 256 packets conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 3000 pps bc 256 packets conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 3000 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 1
police cir 2000 pps bc 256 packets conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 3000 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 1500 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-ndp
set cos 6
police cir 1500 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 300 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 400 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 6000 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 1500 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 50 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 50 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 300 pps bc 256 packets conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 20000 pps bc 8192 packets conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 15 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-fcoe
set cos 6
police cir 1500 pps bc 256 packets conform transmit violate drop
class copp-system-p-class-nat-flow
set cos 7
police cir 100 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 50 pps bc 64 packets conform transmit violate drop
class class-default
set cos 0
police cir 50 pps bc 64 packets conform transmit violate drop
デンス デフォルト CoPP ポリシー
Cisco Nexus 9200 シリーズ スイッチの場合、dense CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-dense
class copp-system-p-class-l3uc-data
set cos 1
police cir 800 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 4500 kbps bc 1280000 bytes conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 2500 kbps bc 1280000 bytes conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 370 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 2500 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 2
police cir 300 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 600 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 1400 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-ndp
set cos 1
police cir 350 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 750 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 750 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 1400 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 200 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 200 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 200 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 150 kbps bc 128000 bytes conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 50 mbps bc 8192000 bytes conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 100 kbps bc 32000 bytes conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 200 kbps bc 32000 bytes conform transmit violate drop
class class-default
set cos 0
police cir 200 kbps bc 32000 bytes conform transmit violate drop
Cisco Nexus 9300 と 9500 シリーズおよび、3164Q、31128PQ、3232C、および 3264Q スイッチの場合、dense CoPP ポリシーの設定は次のとおりです。
policy-map type control-plane copp-system-p-policy-dense
class copp-system-p-class-l3uc-data
set cos 1
police cir 250 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 2500 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 1200 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 1200 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 1200 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 2
police cir 1000 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 1200 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 750 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-ndp
set cos 1
police cir 750 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 150 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 200 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 2500 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 1500 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 50 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 50 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 50 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 20000 pps bc 8192 packets conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 15 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-fcoe
set cos 6
police cir 750 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 25 pps bc 32 packets conform transmit violate drop
class class-default
set cos 0
police cir 25 pps bc 32 packets conform transmit violate drop
1 秒間あたりのパケットのクレジット制限
特定のポリシーの 1 秒間あたりのパケット(PPS)の合計(ポリシーの各クラス部分の PPS の合計)の上限は、PPS のクレジット制限(PCL)の上限になります。特定のクラスの PPS が増加して PCL 超過すると、設定が拒否されます。目的の PPS を増やすには、PCL を超える PPS の分を他のクラスから減少させる必要があります。
モジュラ QoS コマンドライン インターフェイス
CoPP は、モジュラ QoS コマンドライン インターフェイス(MQC)を使用します。MQC は CLI の構造を持っています。MQC を使用すると、トラフィック クラスの定義、トラフィック ポリシー(ポリシー マップ)の作成、およびインターフェイスへのトラフィック ポリシーの適用が可能になります。トラフィック ポリシーには、トラフィック クラスに適用する CoPP 機能を含めます。
Procedure
Step 1 |
class-map コマンドを使用して、トラフィック クラスを定義します 。トラフィック クラスは、トラフィックの分類に使用します。
|
||
Step 2 |
policy-map コマンドを使用して、トラフィック ポリシーを定義します 。トラフィック ポリシー(ポリシー マップ)には、トラフィック クラスと、トラフィック クラスに適用する 1 つまたは複数の CoPP 機能を含めます。トラフィック ポリシー内の CoPP の機能で、分類されたトラフィックの処理方法が決まります。 |
||
Step 3 |
control-plane コマンド および service-policy コマンドを使用して、トラフィック ポリシー(ポリシー マップ)をコントロール プレーンに適用します。
|
CoPP と管理インターフェイス
Cisco NX-OS デバイスは、管理インターフェイス(mgmt0)をサポートしないハードウェア ベースの CoPP だけをサポートします。アウトオブバンド mgmt0 インターフェイスは CPU に直接接続するため、CoPP が実装されているインバンド トラフィック ハードウェアは通過しません。
mgmt0 インターフェイスで、ACL を設定して、特定タイプのトラフィックへのアクセスを許可または拒否することができます。