購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
127
閲覧回数
1
いいね!
0
コメント

Nexus シリーズ:CoPP(Control plane policing)/ Inbound トラフィックのトラブルシュート

YAMADA Akinori
Cisco Employee
Cisco Employee

‎2024-12-18 04:00 PM

 

 

1. はじめに

このドキュメントは CoPP や CPU 宛ての Inbound パスのトラブルーシューティングについて記載しています。
このドキュメントの内容は N9K-C93180YC-FX3 / 10.3(4a) を元に記載しており、プロダクトや NX-OS のバージョンによっては出力に若干の差分がございます。

 

  

2. CoPP について

CoPP はプロトコルのハローやコントロールパケット、SSH や SNMP などのマネージメントから SUP(CPU)を保護するための機能です。
機能毎にクラス分けされ、それぞれのクラスでポリシングやマーキングが行われ、SUP に不要な負荷がかからないよう制御を行います。

 

  

3. CoPP の確認コマンド

この章では CoPP に関する確認コマンドをご案内します。

 

3.1. show copp status

現在設定されている CoPP のプロファイルを確認する事が出来ます。

switch# show copp status 
Last Config Operation: copp profile strict
Last Config Operation Timestamp: 01:21:58 UTC Oct 31 2024
Last Config Operation Status: Success
Policy-map attached to the control-plane: copp-system-p-policy-strict

 

 

3.2. show copp profile {dense|lenient|moderate|strict}

指定したプロファイルの IP/MAC ACL、Class-map、Policy-map の設定をすべて表示します。以下の例では "strict" の設定を表示しています。

switch# show copp profile strict 

ip access-list copp-system-p-acl-auto-rp
  permit ip any 224.0.1.39/32 
  permit ip any 224.0.1.40/32 
ip access-list copp-system-p-acl-bgp
  permit tcp any gt 1023 any eq bgp 
  permit tcp any eq bgp any gt 1023 
(snip)
class-map type control-plane match-any copp-system-p-class-critical
  match access-group name copp-system-p-acl-bgp
  match access-group name copp-system-p-acl-rip
  match access-group name copp-system-p-acl-vpc
  match access-group name copp-system-p-acl-bgp6
  match access-group name copp-system-p-acl-ospf
  match access-group name copp-system-p-acl-rip6
  match access-group name copp-system-p-acl-eigrp
  match access-group name copp-system-p-acl-ospf6
  match access-group name copp-system-p-acl-eigrp6
  match access-group name copp-system-p-acl-auto-rp
  match access-group name copp-system-p-acl-mac-l3-isis
class-map type control-plane match-any copp-system-p-class-exception
  match exception ip option
  match exception ip icmp unreachable
  match exception ipv6 option
  match exception ipv6 icmp unreachable
(snip)
policy-map type control-plane copp-system-p-policy-strict
  class copp-system-p-class-l3uc-data
    set cos 1
    police cir 250 pps bc 32 packets conform transmit violate drop 
  class copp-system-p-class-critical
    set cos 7
    police cir 19000 pps bc 128 packets conform transmit violate drop 
  class copp-system-p-class-important
    set cos 6
    police cir 3000 pps bc 256 packets conform transmit violate drop 
  class copp-system-p-class-openflow
    set cos 5
    police cir 2000 pps bc 32 packets conform transmit violate drop 
(snip)

 

 

3.3. show policy-map interface control-plane

CoPP が適応されたパケットと処理された Class-map、および通過(transmitted )したのかドロップ(dropped)したのかの統計情報が確認ができます。モジュラー型のスイッチでは搭載されたラインカード毎に統計情報が出力されます。

switch# show policy-map interface control-plane 
Control Plane

  Service-policy  input: copp-system-p-policy-strict
(snip)
    class-map copp-system-p-class-important (match-any)
      match access-group name copp-system-p-acl-hsrp
      match access-group name copp-system-p-acl-vrrp
      match access-group name copp-system-p-acl-hsrp6
      match access-group name copp-system-p-acl-vrrp6
      match access-group name copp-system-p-acl-mac-lldp
      set cos 6
      police cir 3000 pps , bc 256 packets 
      module 1 :
        transmitted 43567 packets;
        dropped 0 packets;
(snip)

 

   

4. Inbound パスの確認コマンド

この章では Inbound パスに関する確認コマンドをご案内します。

 

 

4.1. show hardware internal cpu-mac inband counters

CPU 宛ての通信のカウンターを確認する事が出来ます。エラーやドロップ等の値が確認可能です。

switch# show hardware internal cpu-mac inband counters 

ps-inb counters:
==========================
ps-inb    Link encap:Ethernet  HWaddr 00:00:00:01:01:01  
          UP BROADCAST RUNNING MULTICAST  MTU:9400  Metric:1
          RX packets:31180033 errors:0 dropped:0 overruns:0 frame:0
          TX packets:30525698 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:13168165124 (12.2 GiB)  TX bytes:11560608534 (10.7 GiB)

 

4.2. show hardware internal cpu-mac inband stats

CPU 宛ての受送信の統計や通信レートの記録を確認する事が出来ます。過去の通信のピーク値についても確認可能です。

switch# show hardware internal cpu-mac inband stats 
================ Packet Statistics ======================
Packets received:                       31179155
Bytes received:                         13167789124
Packets sent:                           30524840
Bytes sent:                             11560278566
Rx packet rate (current/peak):          2 / 305 pps
Peak rx rate time:                      2024-10-31 05:41:19
Tx packet rate (current/peak):          3 / 300 pps
Peak tx rate time:                      2024-10-31 05:41:19

 

 

5. CoPP/Inbound パスでの障害時に取得頂きたいログについて

Inbound パスでのパケット処理に問題がある場合は以下のログを取得の上、Japan TAC までお問合せ下さい。

  • show tech-support copp
  • show tech-support inband counters
  • show tech-support pktmgr

show tech-support が許可されていない環境に対しては、事前に "show tech-support [service_name] | egrep ^`show" といったようにラボ環境などで実行されるコマンドを確認の上、ログの取得お願いします。

 

 

6. 関連コンテンツ

 

 

7. 参考情報

Cisco Nexus 9000 Series NX-OS Security Configuration Guide, Release 10.3(x) - Configuring Control Plane Policing

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents