この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Nexus 7000 シリーズ スイッチでどのコントロール プレーン ポリシング(CoPP)がどのように、なぜ使用されているかについて説明します。これには、F1、F2、M1、および M2 シリーズ モジュールとライン カード(LC)が含まれます。 また、ベスト プラクティスのポリシーと、CoPP ポリシーのカスタマイズ方法についても説明します。
次の Nexus オペレーティング システム CLI に関する知識があることが推奨されます。
このドキュメントの情報は、スーパーバイザー 1 モジュールを搭載した Nexus 7000 シリーズ NX-OS デバイスに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
CoPP は、ネットワーク動作に不可欠です。コントロール プレーンまたは管理プレーンへのサービス拒絶(DoS)攻撃は不注意または悪意をもって実行され、通常は、過度な CPU 使用率を発生させる高レートのトラフィックを含みます。スーパーバイザ モジュールはパケットの処理に、とてつもなく多くの時間を使用します。
このような攻撃の例は、次のとおりです。
この結果、次が起きる可能性があります。
攻撃はネットワークの安定性とアベイラビリティを圧倒し、ビジネスに影響するネットワークの停止につながる可能性があります。
CoPP は、DoS 攻撃からスーパーバイザを保護するハードウェア ベースの機能です。パケットがスーパーバイザに到達することができるレートを制御します。CoPP 機能は、[control-plane] と呼ばれる特別なインターフェイスに接続されている入力 QoS ポリシーのようにモデル化されます。ただし、CoPP は QoS の一部ではなく、セキュリティ機能です。スーパーバイザを保護するため、CoPP はコントロール プレーン パケットからデータ プレーン パケットを分離します(例外ロジック)。 これは、有効なパケットと DoS 攻撃パケットを区別します(分類)。 CoPP は、次のパケットの分類を可能にします。
パケットが分類されたら、パケットをマーキングし、パケットの種類に基づいて異なるプライオリティを割り当てるために使用できます。適合、超過、違反のアクション(送信、ドロップ、マークダウン)を設定できます。クラスにポリサーが接続されていない場合、適合のアクションがドロップにあるデフォルトのポリサーが追加されます。収集パケットは、デフォルトクラスでポリシングされます。1 つのレートで 2 色、および 2 つのレートで 3 色のポリシングがサポートされています。
スーパーバイザ モジュールで CPU をヒットするトラフィックは、次の 4 つのパスを経由して受信されます。
インバンド インターフェイスを介して送信されたトラフィックのみが CoPP の対象になります。これは、このトラフィックがライン カードのフォワーディング エンジン(FE)を通してスーパーバイザ モジュールに到達する唯一のトラフィックであるためです。Nexus 7000 シリーズ スイッチの CoPP の実装はハードウェア ベースのみです。これは、CoPP はスーパーバイザ モジュールによってソフトウェアで実行されないことを意味します。CoPP 機能(ポリシング)は、各 FE で個別に実行されます。さまざまなレートが CoPP のポリシーマップ用に設定されている場合、システム内のライン カードの数に応じて考慮する必要があります。
スーパーバイザが受信するトラフィックの総量は、N 掛ける X です。ここで、N は Nexus 7000 システム上の FE の数、X は特定のクラスに許可されているレートです。設定されたポリサーの値は FE 単位で適用され、CPU をヒットする傾向がある集約トラフィックはすべての FE 上で適合および送信されたトラフィックの合計です。つまり、CPU をヒットするトラフィックは設定された適合レートに、FE の数を乗算した値と等しくなります。
CoPP 設定は、デフォルトの仮想デバイス コンテキスト(VDC)のみで実行されます。ただし、CoPP のポリシーはすべての VDC に適用できます。同じグローバル ポリシーは、すべてのライン カードに適用されます。CoPP は同じ FE のポートが異なる VDC(M1 シリーズまたは M2 シリーズ LC)に属している場合、VDC 間にリソース共有を適用します。 たとえば、異なる VDC 上にあっても 1 つの FE のポートは、CoPP の同じしきい値に対してカウントされます。
同じ FE が異なる VDC 間で共有されている場合に、コントロール プレーン トラフィックの特定のクラスがしきい値を超えると、これは同じ FE のすべての VDC に影響します。可能であれば、CoPP の適用を分離するために、VDC ごとに 1 つの専用の FE を提供することが推奨されます。
スイッチを初めて起動したときは、[control-plane] を保護するために、デフォルト ポリシーをプログラムする必要があります。CoPP は初期起動シーケンスの一部として [control-plane] に適用されるデフォルト ポリシーを提供します。
Nexus 7000 シリーズ スイッチは、集約スイッチまたはコア スイッチとして配置されます。したがって、このスイッチはネットワークの耳と頭脳になります。このスイッチは、ネットワーク内の最大負荷を処理します。頻繁かつ大量に発生する要求を処理する必要があります。要求の一部には、次が含まれます。
CoPP は、CPU が重要なコントロール プレーン メッセージを処理するのに十分なサイクルを持てるように、誤って設定されたサーバや潜在的な DoS 攻撃から CPU を保護するために必要です。
Nexus 7000 シリーズ スイッチは、分散されたコントロール プレーンの方法を使用します。各 I/O モジュールのマルチコアに加えて、スーパーバイザ モジュールのスイッチ コントロール プレーンのマルチコアがあります。これは、アクセス コントロール リスト(ACL)や FIB プログラミング用の I/O モジュール CPU に集中的なタスクをオフロードします。ライン カードの数でコントロール プレーンのキャパシティを拡大します。これによって、集中化されたアプローチで発生するスーパーバイザの CPU ボトルネックを回避します。ハードウェア レート リミッタとハードウェアベースの CoPP は、不正または悪意のあるアクティビティからコントロール プレーンを保護します。
CoPPベストプラクティスポリシー(BPP)は、Cisco NX-OSリリース5.2で導入されました。show running-configコマンドの出力にCoPP BPPの内容が表示されません。show run all コマンドは、CoPP BPP の内容を表示します。
------------------------------------SNIP-----------------------------------------
SITE1-AGG1# show run copp
!! Command: show running-config copp
!! Time: Mon Nov 5 22:21:04 2012
version 5.2(7)
copp profile strict
SITE1-AGG1# show run copp all
!! Command: show running-config copp all
!! Time: Mon Nov 5 22:21:15 2012
version 5.2(7)
------------------------------SNIP---------------------
control-plane
service-policy input copp-system-p-policy-strict
copp profile strict
CoPP はデフォルト ポリシーに、次の 4 つのオプションをユーザに提供します。
オプションが選択されていない、または設定をスキップした場合、Strict ポリシングが適用されます。これらのオプションはすべて同じクラス マップとクラスを使用しますが、ポリシングに異なる認定情報レート(CIR)と Burst Count(BC)値を使用します。Cisco NX-OS リリース 5.2.1 よりも前では、オプションを変更するために setup コマンドを使用します。Cisco NX-OS リリース 5.2.1 では、setup コマンドを使用せずにオプションを変更できるようにする CoPP BPP の拡張機能が導入されました。代わりに copp profile コマンドを使用します。
SITE1-AGG1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
SITE1-AGG1(config)# copp profile ?
dense The Dense Profile
lenient The Lenient Profile
moderate The Moderate Profile
strict The Strict Profile
SITE1-AGG1(config)# copp profile strict
SITE1-AGG1(config)# exit
次のように、show copp profile <profile-type> コマンドを使用してデフォルトの CoPP BPP 設定を表示します。show copp status コマンドを使用して、CoPP ポリシーが正しく適用されたことを確認します。
SITE1-AGG1# show copp status
Last Config Operation: copp profile strict
Last Config Operation Timestamp: 20:40:27 PST Nov 5 2012
Last Config Operation Status: Success
Policy-map attached to the control-plane: copp-system-p-policy-strict
2 つの CoPP BPP の違いを確認するには、show copp diff profile <profile-type 1> profile <profile-type 2> コマンドを使用します。
SITE1-AGG1# show copp diff profile strict profile moderate
A '+' represents a line that has been added and
a '-' represents a line that has been removed.
-policy-map type control-plane copp-system-p-policy-strict
- class copp-system-p-class-critical
- set cos 7
- police cir 39600 kbps bc 250 ms conform transmit violate drop
- class copp-system-p-class-important
- set cos 6
- police cir 1060 kbps bc 1000 ms conform transmit violate drop
----------------------SNIP---------------------------------------
+policy-map type control-plane copp-system-p-policy-moderate
+ class copp-system-p-class-critical
+ set cos 7
+ police cir 39600 kbps bc 310 ms conform transmit violate drop
+ class copp-system-p-class-important
+ set cos 6
+ police cir 1060 kbps bc 1250 ms conform transmit violate drop
----------------------SNIP---------------------------------------
ユーザは、カスタマイズされた CoPP ポリシーを作成できます。CoPP BPP は読み取り専用であるため、デフォルトの CoPP BPP をクローニングして [control-plane] インターフェイスに接続します。
SITE2-AGG1(config)# policy-map type control-plane copp-system-p-policy-strict
^
% String is invalid, 'copp-system-p-policy-strict' is not an allowed string at
'^' marker.
copp copy profile <profile-type> <prefix> [suffix] コマンドは、CoPP BPP のクローンを作成します。これは、デフォルトの設定を変更するために使用されます。copp copy profile コマンドは exec mode コマンドです。ユーザはアクセスリスト、クラスマップ、およびポリシーマップ名のプレフィックスまたはサフィックスを選択できます。たとえば、copp-system-p-policy-strict は、[prefix]copp-policy-strict[suffix] に変更されます。クローニングされた設定は、ユーザの設定として扱われ、show run の出力に含まれます。
SITE1-AGG1# copp copy profile ?
dense The Dense Profile
lenient The Lenient Profile
moderate The Moderate Profile
strict The Strict Profile
SITE1-AGG1# copp copy profile strict ?
prefix Prefix for the copied policy
suffix Suffix for the copied policy
SITE1-AGG1# copp copy profile strict suffix ?
WORD Enter prefix/suffix for the copied policy (Max Size 20)
SITE1-AGG1# copp copy profile strict suffix CUSTOMIZED-COPP
SITE1-AGG1# show run copp | grep policy-map
policy-map type control-plane copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1#
これらのコマンドを使用して、指定された Permitted Information Rate(PIR)を超過し、違反するトラフィックをマークダウンすることができます。
SITE1-AGG1(config)# policy-map type
control-plane copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1(config-pmap)# class copp-class-critical-CUSTOMIZED-COPP
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms ?
<CR>
conform Specify a conform action
pir Specify peak information rate
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms pir ?
<1-80000000000> Peak Information Rate in bps/kbps/mbps/gbps
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms pir 100 mbps ?
<CR>
<1-512000000> Peak Burst Size in bytes/kbytes/mbytes/packets/ms/us
be Specify extended burst
conform Specify a conform action
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms pir 100 mbps conform ?
drop Drop the packet
set-cos-transmit Set conform action cos val
set-dscp-transmit Set conform action dscp val
set-prec-transmit Set conform action precedence val
transmit Transmit the packet
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms pir 100 mbps conform
set-dscp-transmit ef exceed set dscp1 dscp2 table cir-markdown-map violate
set1 dscp3 dscp4 table1 pir-markdown-map
SITE1-AGG1(config-pmap-c)#
カスタマイズされた CoPP ポリシーをグローバル インターフェイス [control-plane] に適用します。show copp status コマンドを使用して、CoPP ポリシーが正しく適用されたことを確認します。
SITE1-AGG1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
SITE1-AGG1(config)# control-plane
SITE1-AGG1(config-cp)# service-policy input ?
copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1(config-cp)# service-policy input copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1(config-cp)# exit
SITE1-AGG1# sh copp status
Last Config Operation: service-policy input copp-policy-strict-CUSTOMIZED-COPP
Last Config Operation Timestamp: 18:04:03 UTC May 15 2012
Last Config Operation Status: Success
Policy-map attached to the control-plane: copp-policy-strict-CUSTOMIZED-COPP
このセクションでは、顧客がローカルインターフェイスに頻繁にpingを実行するために複数のモニタリングデバイスを必要とする実際の例について説明します。このシナリオでは、お客様が次の目的でCoPPポリシーを変更する場合に問題が発生します。
次の例では、個別のクラスマップを使用してカスタマイズされたポリシーを作成する方法を説明します。個別のクラスマップには、モニタリングデバイスの指定されたIPアドレスが含まれ、クラスマップのCIRは高くなります。これにより、元のクラスマップの監視も残り、低いCIRで他のすべてのIPアドレスのICMPトラフィックをキャプチャします。
F340.13.19-Nexus7000-1#
F340.13.19-Nexus7000-1#
F340.13.19-Nexus7000-1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
F340.13.19-Nexus7000-1(config)# copp copy profile strict prefix TAC_CHANGE
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)# ip access-list TAC_CHANGE-copp-acl-specific-icmp
F340.13.19-Nexus7000-1(config-acl)#
F340.13.19-Nexus7000-1(config-acl)# permit icmp host 1.1.1.1 host 2.2.2.2 echo
F340.13.19-Nexus7000-1(config-acl)# permit icmp host 1.1.1.1 host 2.2.2.2 echo-reply
F340.13.19-Nexus7000-1(config-acl)#
F340.13.19-Nexus7000-1(config-acl)# exit
F340.13.19-Nexus7000-1(config)# sho ip access-lists TAC_CHANGE-copp-acl-specific-
icmp IP access list TAC_CHANGE-copp-acl-specific-icmp
10 permit icmp 1.1.1.1/32 2.2.2.2/32 echo
20 permit icmp 1.1.1.1/32 2.2.2.2/32 echo-reply
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)# class-map type control-plane match-any
TAC_CHANGE-copp-class-specific-icmp
F340.13.19-Nexus7000-1(config-cmap)# match access-group name TAC_CHANGE-copp
-acl-specific-icmp
F340.13.19-Nexus7000-1(config-cmap)#exit
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)#policy-map type control-plane TAC_CHANGE-copp-
policy-strict
F340.13.19-Nexus7000-1(config-pmap)# class TAC_CHANGE-copp-class-specific-icmp
insert-before
TAC_CHANGE-copp-class-monitoring
F340.13.19-Nexus7000-1(config-pmap-c)# set cos 7
F340.13.19-Nexus7000-1(config-pmap-c)# police cir 5000 kbps bc 250 ms conform transmit
violate drop
F340.13.19-Nexus7000-1(config-pmap-c)# exit
F340.13.19-Nexus7000-1(config-pmap)#
F340.13.19-Nexus7000-1(config-pmap)#
F340.13.19-Nexus7000-1(config-pmap)#
F340.13.19-Nexus7000-1(config-pmap)#
F340.13.19-Nexus7000-1(config-pmap)# exit
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)# control-plane
F340.13.19-Nexus7000-1(config-cp)# service-policy input TAC_CHANGE-copp-policy-strict
F340.13.19-Nexus7000-1(config-cp)# end
F340.13.19-Nexus7000-1#
F340.13.19-Nexus7000-1# sho policy-map interface control-plane
Control Plane
service-policy input TAC_CHANGE-copp-policy-strict
<abbreviated output>
class-map TAC_CHANGE-copp-class-specific-icmp (match-any)
match access-group name TAC_CHANGE-copp-acl-specific-icmp
set cos 7
police cir 5000 kbps bc 250 ms
conform action: transmit
violate action: drop
module 4:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 7:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/secclass-map TAC_CHANGE-copp-class-monitoring (match-any)
match access-group name TAC_CHANGE-copp-acl-icmp
match access-group name TAC_CHANGE-copp-acl-icmp6
match access-group name TAC_CHANGE-copp-acl-mpls-oam
match access-group name TAC_CHANGE-copp-acl-traceroute
match access-group name TAC_CHANGE-copp-acl-http-response
match access-group name TAC_CHANGE-copp-acl-smtp-response
match access-group name TAC_CHANGE-copp-acl-http6-response
match access-group name TAC_CHANGE-copp-acl-smtp6-response
set cos 1
police cir 130 kbps bc 1000 ms
conform action: transmit
violate action: drop
module 4:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 7:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
<abbreviated output>
CoPP BPP のデータ構造は、次のように構成されています。
mac access-list copp-system-p-acl-mac-fabricpath-isis
permit any 0180.c200.0015 0000.0000.0000
permit any 0180.c200.0014 0000.0000.0000
ip access-list copp-system-p-acl-bgp
permit tcp any gt 1024 any eq bgp
permit tcp any eq bgp any gt 1024
class-map type control-plane match-any copp-system-p-class-critical
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-pim
<snip>
match access-group name copp-system-p-acl-mac-fabricpath-isis
policy-map type control-plane copp-system-p-policy-dense
class copp-system-p-class-critical
set cos 7
police cir 5000 kbps bc 250 ms conform transmit violate drop
Cisco NX-OS リリース 6.0 で導入されたスケール ファクタ設定は、特定のラインカードに適用された CoPP ポリシーのポリサー レートをスケーリングするために使用されます。この設定は特定のライン カードのポリサー レートを増減しますが、現在の CoPP ポリシーは変更されません。変更はただちに有効になり、CoPP ポリシーを再適用する必要はありません。
scale factor option configured within control-plane interface:
Scale-factor <scale factor value> module <module number>
<scale factor value>: from 0.10 to 2.00
Scale factor is recommended when a chassis is loaded with both F2 and M
Series modules.
SITE1-AGG1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
SITE1-AGG1(config)# control-plane
SITE1-AGG1(config-cp)# scale-factor ?
<whole>.<decimal> Specify scale factor value from 0.10 to 2.00
SITE1-AGG1(config-cp)# scale-factor 1.0 ?
module Module
SITE1-AGG1(config-cp)# scale-factor 1.0 module ?
<1-10> Specify module number
SITE1-AGG1(config-cp)# scale-factor 1.0 module 4
SITE1-AGG1# show system internal copp info
<snip>
Linecard Configuration:
-----------------------
Scale Factors
Module 1: 1.00
Module 2: 1.00
Module 3: 1.00
Module 4: 1.00
Module 5: 1.00
Module 6: 1.00
Module 7: 1.00
Module 8: 1.00
Module 9: 1.00
Module 10: 1.00
Cisco NX-OS リリース 5.1 では、しきい値を超過した場合に Syslog メッセージをトリガーする CoPP クラス名ごとのドロップしきい値を設定することができます。コマンドは logging drop threshold <dropped bytes count> level <logging level> です。
SITE1-AGG1(config)# policy-map type control-plane
copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1(config-pmap)# class copp-class-critical-CUSTOMIZED-COPP
SITE1-AGG1(config-pmap-c)# logging ?
drop Logging for dropped packets
SITE1-AGG1(config-pmap-c)# logging drop ?
threshold Threshold value for dropped packets
SITE1-AGG1(config-pmap-c)# logging drop threshold ?
<CR>
<1-80000000000> Dropped byte count
SITE1-AGG1(config-pmap-c)# logging drop threshold 100 ?
<CR>
level Syslog level
SITE1-AGG1(config-pmap-c)# logging drop threshold 100 level ?
<1-7> Specify the logging level between 1-7
SITE1-AGG1(config-pmap-c)# logging drop threshold 100 level 7
次に Syslog メッセージの例を示します。
%COPP-5-COPP_DROPS5: CoPP drops exceed threshold in class:
copp-system-class-critical,
check show policy-map interface control-plane for more info.
CoPP は、他のインターフェイスと同じ QoS 統計情報をサポートします。CoPP をサポートするすべての I/O モジュールのサービス ポリシーを形成するクラスの統計情報が表示されます。CoPP の統計情報を表示するには、show policy-map interface control-plane コマンドを使用します。
注:すべてのクラスは違反するパケットによって監視する必要があります。
SITE1-AGG1# show policy-map interface control-plane
Control Plane
service-policy input: copp-policy-strict-CUSTOMIZED-COPP
class-map copp-class-critical-CUSTOMIZED-COPP (match-any)
match access-group name copp-acl-bgp-CUSTOMIZED-COPP
match access-group name copp-acl-bgp6-CUSTOMIZED-COPP
match access-group name copp-acl-eigrp-CUSTOMIZED-COPP
match access-group name copp-acl-igmp-CUSTOMIZED-COPP
match access-group name copp-acl-msdp-CUSTOMIZED-COPP
match access-group name copp-acl-ospf-CUSTOMIZED-COPP
match access-group name copp-acl-ospf6-CUSTOMIZED-COPP
match access-group name copp-acl-pim-CUSTOMIZED-COPP
match access-group name copp-acl-pim6-CUSTOMIZED-COPP
match access-group name copp-acl-rip-CUSTOMIZED-COPP
match access-group name copp-acl-rip6-CUSTOMIZED-COPP
match access-group name copp-acl-vpc-CUSTOMIZED-COPP
match access-group name copp-acl-eigrp6-CUSTOMIZED-COPP
match access-group name copp-acl-mac-l2pt-CUSTOMIZED-COPP
match access-group name copp-acl-mpls-ldp-CUSTOMIZED-COPP
match access-group name copp-acl-mpls-oam-CUSTOMIZED-COPP
match access-group name copp-acl-mpls-rsvp-CUSTOMIZED-COPP
match access-group name copp-acl-otv-as-CUSTOMIZED-COPP
match access-group name copp-acl-mac-otv-isis-CUSTOMIZED-COPP
match access-group name copp-acl-mac-fabricpath-isis-CUSTOMIZED-COPP
match protocol mpls router-alert
match protocol mpls exp 6
set cos 7
threshold: 100, level: 7
police cir 39600 kbps , bc 250 ms
module 1 :
conformed 22454 bytes; action: transmit
violated 0 bytes; action: drop
module 2 :
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
module 3 :
conformed 19319 bytes; action: transmit
violated 0 bytes; action: drop
module 4 :
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
すべてのクラスマップと I/O モジュールの適合および違反カウンタの集約されたビューを取得するには、show policy-map interface control-plane | i "class|conform|violated"コマンド。
SITE1-AGG1# show policy-map interface control-plane | i "class|conform|violated"
class-map copp-class-critical-CUSTOMIZED-COPP (match-any)
conformed 123126534 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
conformed 107272597 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
class-map copp-class-important-CUSTOMIZED-COPP (match-any)
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
適合カウンタの場合であっても、高い増加がないことを確認するために、class copp-class-l2-default and class-default を監視する必要があります。理想的には、これら 2 つのクラスの適合カウンタは低い値で、少なくとも違反カウントが増加していない必要があります。
statistics per-entryコマンドは、CoPPクラスマップで使用されるIP ACLまたはMAC ACLではサポートされません。CoPP IP ACLまたはMAC ACLに適用しても効果はありません(CLIパーサによるCLIチェックはありません)。 I/O モジュールに対する CoPP MAC ACL または IP ACL のヒットを表示するには、show system internal access-list input entries detail コマンドを使用します。
以下が一例です。
!! 0180.c200.0041 is the destination MAC used for FabricPath IS-IS
SITE1-AGG1# show system internal access-list input entries det | grep 0180.c200.0041
[00fc:00f7:00f7] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [30042]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [29975]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [8965]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [8935]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [58233]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [27689]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[00fc:00f7:00f7] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
CoPP 設定に推奨される次のベスト プラクティスがあります。
CoPP モニタリングに推奨される次のベスト プラクティスがあります。
次の機能はサポートされていません。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
04-Dec-2014 |
初版 |