トラフィック ストーム制御の設定

この章では、Cisco NX-OS デバイスに、トラフィック ストーム制御機能を設定する手順について説明します。

この章は、次の項で構成されています。

トラフィック ストーム制御について

トラフィック ストームは、パケットが LAN でフラッディングする場合に発生するもので、過剰なトラフィックを生成し、ネットワークのパフォーマンスを低下させます。トラフィック ストーム制御機能を使用すると、物理インターフェイスにおけるブロードキャスト、マルチキャスト、またはユニキャスト トラフィック ストームによって、レイヤ 2 ポート経由の通信が妨害されるのを防げます。

トラフィック ストーム制御(トラフィック抑制ともいう)では、ブロードキャスト、マルチキャスト、ユニキャストの着信トラフィックのレベルを 3.9 ミリ秒間隔でモニターできます。この間、トラフィック レベル(ポートの使用可能合計帯域幅に対するパーセンテージ)が、設定したトラフィック ストーム制御レベルと比較されます。入力トラフィックが、ポートに設定したトラフィック ストーム制御レベルに到達すると、トラフィック ストーム制御機能によってそのインターバルが終了するまでトラフィックがドロップされます。

次の表に、指定したインターバルでのレイヤ 2 インターフェイス上のブロードキャスト トラフィック パターンを示します。この例では、トラフィック ストーム制御が T1 と T2 時間の間、および T4 と T5 時間の間で発生します。これらの間隔中に、ブロードキャスト トラフィックの量が設定済みのしきい値を超過したためです。

Figure 1. ブロードキャストの抑制

トラフィック ストーム制御しきい値の数値と期間の組み合わせにより、トラフィック ストーム制御アルゴリズムがさまざまな粒度で機能します。しきい値が高いほど、通過できるパケット数が多くなります。

Cisco Nexus 9000v デバイスのトラフィック ストーム制御はハードウェアに実装されています。トラフィック ストーム制御は、レイヤ 2 インターフェイスからスイッチング バスに渡されるパケットをモニタします。システムはパケットの宛先アドレスに設定されている Individual/Group ビットを使用して、パケットがユニキャストかブロードキャストかを判断し、3.9 ミリ秒以内の間隔で現在のパケット数を追跡します。パケット数がしきい値に到達したら、後続のパケットをすべて破棄します。

トラフィック ストーム制御では、トラフィック量の計測に帯域幅方式を使用します。制御対象のトラフィックが使用できる、利用可能な合計帯域幅に対するパーセンテージを設定します。パケットは一定間隔で着信するわけではないので、3.9 ミリ秒の間隔はトラフィック ストーム制御の動作に影響を及ぼす可能性があります。

次に、トラフィック ストーム制御の動作がどのような影響を受けるかを示します。

  • ブロードキャスト トラフィック ストーム制御をイネーブルにした場合、ブロードキャスト トラフィックが 3.9 ミリ秒のインターバル中に制御レベルを超えると、インターバルが終了するまですべてのブロードキャスト トラフィックがドロップされます。

  • ブロードキャストとマルチキャストのトラフィック ストーム制御をイネーブルにした場合、ブロードキャストとマルチキャストの混合トラフィックが 3.9 ミリ秒のインターバル中に制御レベルを超えると、インターバルが終了するまでブロードキャストとマルチキャストのすべてのトラフィックがドロップされます。

  • ブロードキャストとマルチキャストのトラフィック ストーム制御をイネーブルにした場合、ブロードキャスト トラフィックが 3.9 ミリ秒のインターバル中に制御レベルを超えると、インターバルが終了するまでブロードキャストとマルチキャストのすべてのトラフィックがドロップされます。

  • ブロードキャストとマルチキャストのトラフィック ストーム制御をイネーブルにした場合、マルチキャスト トラフィックが 3.9 ミリ秒のインターバル中に制御レベルを超えると、インターバルが終了するまでブロードキャストとマルチキャストのすべてのトラフィックがドロップされます。

トラフィックが設定レベルを超過する場合、トラフィック ストーム制御を設定して次のオプションの修正措置を実行することができます。

  • シャットダウン:入力トラフィックがポートに対して設定されたトラフィック ストーム制御レベルを超えると、トラフィック ストーム制御がポートを errdisable ステートにします。このポートを再度イネーブルにするために、設定されたインターフェイス上で shutdown no shutdown オプションを使用することも、error-disable 検出および回復機能を使用することもできます。error-disable 検出および回復用の errdisable recovery cause storm-control コマンドは回復間隔を定義する errdisable recovery interval コマンドと一緒に使用することをお勧めします。この間隔は 30 ~ 65535 秒の範囲にすることができます。

  • トラップ:入力トラフィックが設定されたトラフィック ストーム制御レベルを超えたときに SNMP トラップを生成するようにトラフィック ストーム制御を設定できます。SNMP トラップ アクションはデフォルトでイネーブルになっています。ただし、ストーム制御トラップはデフォルトでレート制限されません。コマンドを使用して、1分あたりに生成されるトラップの数を制御できます。snmp-server enable traps storm-control trap-rate

デフォルトで、Cisco NX-OS は、トラフィックが設定済みレベルを超えても是正のための処理を行いません。

トラフィック ストーム制御のガイドラインと制約事項

トラフィック ストーム制御には、次の設定時のガイドラインおよび制約事項があります。

  • sFlow も有効になっているインターフェイスでストーム制御を有効にした場合、ストーム制御機能は動作しません。

  • ストーム制御 PPS オプションは、Cisco Nexus 9300-FX2 プラットフォーム スイッチでのみサポートされます。

  • Cisco Nexus NFE2対応デバイスの場合、ストーム制御CPUを使用してCPUに送信されるARPパケットの数を制御できます。

  • ストーム制御は、物理インターフェイス、ポートチャネルインターフェイス、およびブレークアウトインターフェイスで設定できます。

  • トラフィック ストーム制御レベルをインターフェイスの帯域幅全体に対する割合として指定します。

    • pps の範囲は 0 〜 200000000 です。

    • 任意で、レベルの小数部を 0 ~ 99 の範囲で指定できます。

    • 100% は、トラフィック ストーム制御がないことを意味します。

    • 0.0% は、すべてのトラフィックを抑制します。

  • 9400シリーズラインカードを搭載したCisco Nexus 9500シリーズスイッチ、およびCisco Nexus 9300シリーズスイッチでは、ストーム制御CLIを使用して、帯域幅レベルをポート容量のパーセンテージまたは1秒あたりのパケット数として指定できます。

  • Cisco Nexusリリース9.2(1)以降では、ストーム制御パケット/秒を次のように設定すると、エラーマージンが1%を超えます。

    • 60秒未満のトラフィック期間

    • ストーム制御ppsが1000未満

  • Cisco Nexusリリース9.2(1)以降では、Cisco Nexus 9336C-FX2、Cisco Nexus 93300YC-FX2、およびCisco Nexus 93240YC-FX2-Zスイッチのポート容量または1秒あたりのパケット数の割合を使用できます。

  • Cisco Nexus 9200、9300-EXプラットフォームスイッチ、またはN9K-X9700-FX3ラインカードでVLANのSVIを設定している場合、ストーム制御ブロードキャストはARPトラフィック(ARP要求)に対して機能しません。

  • ストーム制御ドロップが個別にカウントされるを防ぐ、ローカル リンクおよびハードウェアの制約事項があります。代わりに、ストーム制御ドロップは discards カウンタの他のドロップとともにカウントされます。

  • ハードウェアの制限およびサイズの異なるパケットがカウントされる方式のため、トラフィック ストーム制御レベルの割合は概数になります。着信トラフィックを構成するフレームのサイズに応じて、実際に適用されるパーセンテージ レベルと設定したパーセンテージ レベルの間には、数パーセントの誤差がある可能性があります。

  • ハードウェアの制限により、show interface counters storm-control の出力は次のとおりです。 コマンドは、ストーム制御が設定され、インターフェイスが実際にARPブロードキャスト トラフィックを抑制している場合、ARP 抑制を表示しません。この制限によって、設定されたアクションがトリガーされない可能性がありますが、入力 ARP ブロードキャストトラフィックは正しくストーム抑制されます。

  • ハードウェアの制限により、ストーム制御は、Cisco Nexus GX シリーズ プラットフォーム スイッチのポート帯域幅の 70% を超える 400G ポートではサポートされません。

  • ハードウェアの制限のため、パケット ドロップ カウンタは、トラフィック ストームが原因のパケット ドロップパケット ドロップによって発生その他の破棄された入力フレームとを区別できません。この制限によって、トラフィック ストームが発生していなくても、設定されたアクションがトリガーされる可能性があります。

  • ハードウェアの制限により、ストーム抑制パケットの統計情報はアップリンクポートではサポートされません。

  • ハードウェアの制限により、ストーム抑制パケット統計情報には、アクティブなSwitched Virtual Interface(SVI)を備えたVLAN上のブロードキャストトラフィックは含まれません。

  • 設計上の制限により、設定されたレベルが0.0の場合、ストーム抑制パケットの統計情報は機能しません。これは、すべての着信ストームパケットを抑制することを意味します。

  • トラフィックストーム制御は、Cisco Nexus 9300シリーズスイッチおよび9700-EX / FXラインカードを搭載したCisco Nexus 9500シリーズスイッチでサポートされます。

  • トラフィックストーム制御は、Cisco N9K-M4PC-CFP2ではサポートされていません。

  • トラフィックストーム制御は、FEXインターフェイスではサポートされません。

  • トラフィックストーム制御は、未知のユニキャスト、未知のマルチキャスト、ブロードキャスト トラフィックなどの入力トラフィック専用です。


    (注)  


    Cisco Nexus 9000シリーズスイッチでは、トラフィックストーム制御は不明なユニキャストトラフィックと不明なユニキャストトラフィックに適用されます。
  • 設定されたアクションによってポートチャネルメンバーがエラーディセーブルになった場合、すべての個々のメンバーポートをフラップして、エラーディセーブル状態から回復する必要があります。

  • Cisco Nexusリリース9.2(1)のトラフィックストーム制御機能は、N9K-X96136YC-RラインカードおよびN9K-C9504-FM-Rファブリックモジュールを搭載したCisco Nexus 9500プラットフォームスイッチではサポートされません。

  • Cisco Nexusリリース9.3(2)以降では、N9K-X96136YC-R、N9K-X9636C-R、N9K-X9636Q-R、N9K- X9636C-RXラインカード、およびN9K-C9504-FM-RおよびN9K-C9508-FM-Rファブリックモジュール。トラフィックストーム制御カウンタおよびストーム制御アクションはサポートされていません。

  • 次のガイドラインと制約事項は、Cisco Nexus 9200 シリーズ スイッチに適用されます。

    • 不明なマルチキャストトラフィックによるトラフィックストーム制御はサポートされていません。

    • ポリサーはバイトベースの統計情報のみをサポートするため、トラフィックストーム制御ではパケットベースの統計情報はサポートされません。

    • トラフィックストーム制御は、copy-to-CPUパケットではサポートされません。

  • Cisco NX-OS リリース10.1(2) 以降では、N9K-X9624D-R2 および N9K-C9508-FM-R2 プラットフォーム スイッチで ストーム制御機能がサポートされます。

  • Cisco Nexusリリース10.1(2)以降、Cisco Nexus N9300-FXおよびN9300-FX2シリーズスイッチでは、ブロードキャスト、不明なユニキャスト、およびマルチキャスト(BUM)トラフィックの2レベルのしきい値とロギングのサポートを設定できます。各しきい値レベルのトラップまたはシャットダウンアクション。既存のストーム制御設定は、1レベルのしきい値にのみ使用されるようになりました。

  • 次のガイドラインと制限事項は、Cisco Nexus 10.1(2)リリースのBUMトラフィック機能の2レベルしきい値およびロギングに適用されます。

    • Cisco Nexusリリース10.1(2)の新しいトラフィックストーム制御機能は、Cisco Nexus N9300-FXでは最大62ポート(単一スライスとして)、Cisco Nexus N9300-FX2では合計124ポート(2スライスとして)をサポートします。

    • トラフィックストーム制御は、一度に1つのストーム制御モード(1レベルまたは2レベルのしきい値)にあるデバイスのみをサポートします。一度に1レベルのしきい値と2レベルのしきい値ストーム制御モードを混在させることはできません。

    • トラフィックストーム制御は、トラフィック統計情報をモニタし、Cisco Nexusリリース10.1(2)からの各レベル(下位および上位)およびトラフィックタイプ(不明なユニキャスト、マルチキャスト、およびブロードキャスト)のシステムログを生成します。

    • 2レベルしきい値トラフィックストーム制御機能では、固定サイズ512の新しいTernary Content Addressable Memory(TCAM)リージョンのカービングと、デバイスのリロードが必要です。

    • 2レベルしきい値のトラフィックストーム制御は、L2 Netflow機能、つまりconfig layer2スイッチドフローモニタCLIと共存できません。これは、TCAMリソースの制限によるものです。

    • トラフィックストーム制御の2レベルしきい値機能は、非IP MCフラッドトラフィック(IPヘッダーのないパケット)およびパケット/秒モードをサポートしません。

    • トラフィックストーム制御は、Generic Online Diagnostics(GOLD)パケットおよびサブインターフェイスレベルではサポートされません。

    • 以前のリリースで10.1(2)にアップグレードし、2レベルのストーム制御機能を使用する場合は、新しいストーム制御コマンドを使用してスイッチを設定してください。

    • バージョン10.1(2)で2レベルストーム制御機能を設定しており、以前のバージョンにダウングレードする場合、新しい機能はダウングレードをサポートしません。ダウングレードするには、設定を削除します。

  • Cisco Nexusリリース10.2(1)以降、ストーム制御では、1つのインターフェイスに複数のアクションを設定できません。以前のアクション値が上書きされると、設定されている最新のアクション値が考慮されます。

  • Cisco NX-OS リリース 10.2(2)F 以降、ストーム制御機能は Cisco N9K-C9332D-GX2B プラットフォーム スイッチでサポートされます。

トラフィック ストーム制御のデフォルト設定

次の表に、トラフィック ストーム制御パラメータのデフォルト設定値を示します。

Table 1. デフォルトのトラフィック ストーム制御パラメータ

パラメータ

デフォルト

トラフィック ストーム制御

無効

しきい値パーセンテージ

100

ワンレベルのしきい値のトラフィック ストーム制御の設定

制御対象のトラフィックがツーレベルしきい値に使用できる、利用可能な合計帯域幅に対するパーセンテージを設定できます。


Note



SUMMARY STEPS

  1. configure terminal
  2. interface {ethernet slot/port | port-channel number}
  3. [no] storm-control {broadcast | multicast | unicast} level { <level-value %> | pps < pps-value > }
  4. [no] storm-control action trap
  5. [no] storm-control-cpu arp rate
  6. exit
  7. (Optional) show running-config interface {ethernet slot/port | port-channel number}
  8. (Optional) copy running-config startup-config

DETAILED STEPS

  Command or Action Purpose

Step 1

configure terminal

Example:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します。

Step 2

interface {ethernet slot/port | port-channel number}

Example:

switch# interface ethernet 1/1
switch(config-if)#

インターフェイス設定モードを開始します。

Step 3

[no] storm-control {broadcast | multicast | unicast} level { <level-value %> | pps < pps-value > }

Example:

switch(config-if)# storm-control unicast level 40

Example:

switch(config-if)# storm-control broadcast level pps 8000

インターフェイスを通過するトラフィックのトラフィック ストーム制御を設定します。ポート容量または 1 秒あたりのパケット数の割合として帯域幅レベルを設定することもできます。デフォルトのステートはディセーブルです。

Step 4

[no] storm-control action trap

Example:

switch(config-if)# storm-control action trap

トラフィック ストーム制御の制限に達すると、SNMP トラップ(CISCO-PORT-STORM-CONTROL-MIBで定義)を生成します。

Step 5

[no] storm-control-cpu arp rate

Example:

switch(config-if)# storm-control-cpu arp rate

ポート チャネルに入る ARP パケットのトラフィック ストーム制御レートを設定します。このレートは、ポート チャネルのメンバー間で均等に分割されます。

Step 6

exit

Example:

switch(config-if)# exit
switch(config)#

インターフェイス コンフィギュレーション モードを終了します。

Step 7

(Optional) show running-config interface {ethernet slot/port | port-channel number}

Example:

switch(config)# show running-config interface ethernet 1/1
(Optional)

トラフィック ストーム制御の設定を表示します。

Step 8

(Optional) copy running-config startup-config

Example:

switch(config)# copy running-config startup-config
(Optional)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ツーレベルのしきい値のトラフィック ストーム制御の設定

制御対象のトラフィックがツーレベルしきい値に使用できる、利用可能な合計帯域幅に対するパーセンテージを設定できます。

手順の概要

  1. system storm control multi-threshold
  2. hardware access-list tcam region ing-storm-control 512
  3. configure terminal
  4. interface {ethernet slot/port | port-channel number}
  5. [no] storm-control multiunicast {level1 <level-value %> | level2 <level-value %>}
  6. [no] storm-control multi action1 {trap | shutdown} action2 {trap | shutdown}
  7. exit
  8. (任意) show running-config interface {ethernet slot/port | port-channel number}
  9. (任意) copy running-config startup-config

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

system storm control multi-threshold

例:

switch# system storm control multi-threshold

グローバル CLI を入力します。このコマンドはツーレベルしきい値を設定するときにのみ必要です。

ステップ 2

hardware access-list tcam region ing-storm-control 512

例:

switch# hardware access-list tcam region ing-storm-control 512

新規 TCAM リージョンは、ツーレベルしきい値向けに固定サイズ 512でカービングされます。

コマンド実行後、デバイスをリロードしてください。

ステップ 3

configure terminal

例:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 4

interface {ethernet slot/port | port-channel number}

例:

switch(config)# interface ethernet 1/1
switch(config-if)#

インターフェイス設定モードを開始します。

ステップ 5

[no] storm-control multiunicast {level1 <level-value %> | level2 <level-value %>}

例:

switch(config-if)# storm-control multi unicast level1 5 level2 10

ツーレベルしきい値のインターフェイスを通過するトラフィックのトラフィック ストーム制御を設定します。

ポート容量のパーセンテージとして帯域幅レベルを設定することもできます。デフォルトのステートはディセーブルです。

ステップ 6

[no] storm-control multi action1 {trap | shutdown} action2 {trap | shutdown}

例:

switch(config-if)# storm-control multi action1 trap action2 shutdown

次が生成されます:

  • SNMP トラップ(CISCO-PORT-STORM-CONTROL-MIB で定義)でストーム制御をモニタします。

  • トラフィック ストーム制御が制限に到達すると、シスログ メッセージが生成されます。

ストーム制御しきい値の低/高レベルでトラップおよびシャットダウン アクションを設定することもできます。ただし、ポートの低しきい値(level1)をシャットダウンに設定する場合、ポートの高しきい値(level2)にシャットダウンを設定する必要があります。

ステップ 7

exit

例:

switch(config-if)# exit
switch(config)#

インターフェイス コンフィギュレーション モードを終了します。

ステップ 8

(任意) show running-config interface {ethernet slot/port | port-channel number}

例:

switch(config)# show running-config interface ethernet 1/1
(任意)

トラフィック ストーム制御の設定を表示します。

ステップ 9

(任意) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
(任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

トラフィック ストーム制御の設定の確認

トラフィック ストーム制御の設定情報を表示するには、次のいずれかの作業を行います。

コマンド

目的

show running-config interface

トラフィック ストーム制御の設定を表示します。

show access-list storm-control arp-stats interface [ethernet | port-channel ] number

インターフェイス上の ARP パケットのストーム制御統計情報を表示します。

トラフィック ストーム制御カウンタのモニタリング

トラフィック ストーム制御動作に関して Cisco NX-OS デバイスが維持するカウンタをモニタリングできます。

コマンド

目的

次の行は、ワンレベルのしきい値にのみ適用されます。

show interface [ethernet slot/port | port-channel number] counters storm-control

トラフィック ストーム制御カウンタを表示します。

次の行は、ツーレベルのしきい値にのみ適用されます。

show interface [ethernet slot/port | port-channel number] counters storm-control multi-threshold

すべてのインターフェイスに設定されたストーム制御値のリストを表示します。

show interface [ethernet slot/port | port-channel number] counters storm-control multi-threshold

すべてのインターフェイスに設定されたストーム制御値のリストを表示します。

show interface [ethernet slot/port | port-channel number] counters storm-control multi-threshold unicast

level1 と level2 の両方のマルチユニキャストドロップのリストを表示します。

show interface [ethernet slot/port | port-channel number] counters storm-control multi-threshold broadcast

level1 と level2 の両方のマルチbroadcastドロップのリストを表示します。

show interface [ethernet slot/port | port-channel number] counters storm-control multi-threshold multicast

level1 と level2 の両方のマルチキャストドロップのリストを表示します。

トラフィック ストーム制御の設定例

次に、 ワンレベルしきいイ値のトラフィック ストーム制御の設定例を示します。

switch# configure terminal 
switch(config)# interface Ethernet1/1 
switch(config-if)# storm-control broadcast level 40 
switch(config-if)# storm-control multicast level 40 
switch(config-if)# storm-control unicast level 40
switch(config)# storm-control-cpu arp rate 150

次に、ツーレベルしきい値のトラフィック ストーム制御の設定例を示します。

switch# system storm control multi-threshold
switch# hardware access-list tcam region ing-storm-control 512
switch# configure terminal 
switch(config)# interface Ethernet1/1 
switch(config-if)# storm-control multi broadcast level1 5 level2 10 
switch(config-if)# storm-control multi multicast level1 5 level2 10 
switch(config-if)# storm-control multi unicast level1 5 level2 10
switch(config-if)# storm-control multi action1 trap action2 shutdown
次に、プログラムされた設定レートと、ドロップされた ARP パケットの統計情報を確認する例を示します。
switch(config)# sh access-list storm-control-cpu arp-stats
interface port-channel 132
slot  1
=======
------------------------------------------------------------------------
            ARP Policer Entry Statistics              
------------------------------------------------------------------------
Interface port-channel132:
----------
Member Interface   Entry-ID  Rate     RedPacket Count     GreenPacket Count
--------------------------------------------------------------------------------
Ethernet1/35        3976        50           0                0
--------------------------------------------------------------------------------

slot  7
=======
------------------------------------------------------------------------
            ARP Policer Entry Statistics              
------------------------------------------------------------------------
Interface port-channel132:
----------
Member Interface   Entry-ID  Rate     RedPacket Count     GreenPacket Count
--------------------------------------------------------------------------------

トラフィック ストーム制御のシステム ログの例

次の例は、1レベルのしきい値を持つトラフィックストーム制御のシステムログを示しています。

  • %ETHPORT-5-STORM_CONTROL_ABOVE_THRESHOLD: Traffic in port Ethernet1/5 exceeds the configured threshold , action - Trap

次に、2レベルのしきい値を持つトラフィックストーム制御のシステムログの例を示します。

  • %ETHPORT-5-STORM_CONTROL_ABOVE_THRESHOLD: Traffic in port Ethernet1/5 exceeds the configured Broadcast threshold level1[10%], action – Trap
  • %ETHPORT-5-STORM_CONTROL_ABOVE_THRESHOLD: Traffic in port Ethernet1/5 exceeds the configured Broadcast threshold level1[15%], action – Shutdown

(注)  


システムログメッセージには、しきい値を超えた特定のトラフィックタイプと、そのトラフィックタイプがインターフェイスのストーム制御アクションに到達したレベルが含まれます。