はじめに
本ドキュメントでは Nexus9000シリーズの CoPP ポリシーの設定変更方法について紹介します。
概要
Nexus9000シリーズ CoPP のデフォルト ポリシーは読み取り専用である為、設定変更するにはそちらのコピーをまず作成しそのコピーに対し変更を行う必要があります。
設定例
1.Nexus9000シリーズの CoPP ではデフォルト ポリシーとして copp-system-p-policy-strict が control-plane に適用されています。(strict はデフォルト ポリシーの保護レベルの一つ(デフォルト)です。他に moderate, lenient,dense があります。)
swtich# show copp status
Last Config Operation: None
Last Config Operation Timestamp: None
Last Config Operation Status: None
Policy-map attached to the control-plane: copp-system-p-policy-strict
2."copp copy profile {strict | moderate | lenient | dense} {prefix | suffix } string" コマンドによりデフォルト ポリシーのコピーを作成します。例えば copp-system-p-policy-strict は prefix-copp-policy-strict もしくは copp-policy-strict-suffix に変更されます。
-prefix(abc) の例-
swtich# copp copy profile strict prefix abc
swtich# sh run | grep policy-map
policy-map type control-plane abc-copp-policy-strict
-suffix(abc) の例-
swtich# copp copy profile strict suffix abc
swtich# sh run | grep policy-map
policy-map type control-plane copp-policy-strict-abc
prefix/suffix が付与された class-map,access-list も自動的に作成され、running-config に反映されます。
switch(config)# sh run | sec policy-map
policy-map type control-plane abc-copp-policy-strict
<省略>
class abc-copp-class-l2-default
set cos 0
police cir 400 kbps bc 32000 bytes conform transmit violate drop
<省略>
switch(config)# sh run | sec class-map
<省略>
class-map type control-plane match-any abc-copp-class-l2-default
match access-group name abc-copp-acl-mac-undesirable
<省略>
switch(config)# sh run | sec access-list
<省略>
mac access-list abc-copp-acl-mac-undesirable
10 permit any any
<省略>
3.変更は abc-copp-policy-strict に対して行います。
今回の例では、上の class abc-copp-class-l2-default の設定を(cir を400 kbps から 800 kbps へ、bc を 32000 bytes から 64000 bytes へ)変更します。
switch(config)# policy-map type control-plane abc-copp-policy-strict
switch(config-pmap)# class abc-copp-class-l2-default
switch(config-pmap-c)# police cir 800 kbps bc 64000 conform transmit violate drop
4.control-plane に abc-copp-policy-strict を適用します。
switch(config)# control-plane
switch(config-cp)# service-policy input abc-copp-policy-strict
This operation can cause disruption of control traffic. Proceed (y/n)? [no] y
5.確認
switch# sh copp status
Last Config Operation: service-policy input abc-copp-policy-strict
Last Config Operation Timestamp: 16:54:23 UTC Apr 28 2018
Last Config Operation Status: Success
Policy-map attached to the control-plane: abc-copp-policy-strict
switch# sh run | sec policy-map | grep next 2 l2-default
class abc-copp-class-l2-default
set cos 0
police cir 800 kbps bc 64000 bytes conform transmit violate drop
関連コンテンツ
Nexus スイッチ (NX-OS) : 設定例
参考情報
『Cisco Nexus 9000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 7.x』
コントロール プレーン ポリシングの設定
