Nexus 7000 ストーム制御:適切な抑制値の選択
内容
概要
トラフィック ストームはパケットが LAN をフラッディングさせると発生し、過剰なトラフィックが生成されてネットワーク パフォーマンスが低下します。トラフィックストーム制御機能を使用すると、物理インターフェイス上のブロードキャスト、マルチキャスト、またはユニキャストトラフィックストームによるレイヤ2ポートの中断を防止できます。
トラフィックストーム制御(トラフィック抑制とも呼ばれる)を使用すると、10ミリ秒の間隔で着信ブロードキャスト、マルチキャスト、およびユニキャストトラフィックのレベルを監視できます。このインターバルの間に、ポートで使用可能な総帯域幅のパーセンテージであるトラフィックレベルが、設定したトラフィックストーム制御レベルと比較されます。入力トラフィックがポートに設定されているトラフィックストーム制御レベルに達すると、トラフィックストーム制御はインターバルが終了するまでトラフィックをドロップします。
トラフィックストーム制御のしきい値の数値と時間間隔により、トラフィックストーム制御アルゴリズムが異なるレベルの精度で動作できるようになります。しきい値を大きくすると、より多くのパケットが通過できるようになります。
デフォルトでは、Cisco Nexusオペレーティングシステム(NX-OS)ソフトウェアは、トラフィックが設定されたレベルを超えた場合に修正措置を実行しません。ただし、特定の時間内にトラフィックがサブサイド(しきい値を下回る)しない場合に、インターフェイスをエラーディセーブルにするように、Embedded Event Management(EEM)アクションを設定できます
トラフィックストーム制御のガイドラインと制限事項
トラフィックストームの制御レベルを設定する場合は、次のガイドラインと制限事項に注意してください。
- ポートチャネルインターフェイスでトラフィックストーム制御を設定できます。
- ポートチャネルインターフェイスのメンバであるインターフェイスには、トラフィックストーム制御を設定しないでください。ポートチャネルのメンバとして設定されたインターフェイスにトラフィックストーム制御を設定すると、ポートは一時停止ステートになります。
- 合計インターフェイス帯域幅のパーセンテージとしてレベルを指定します。
- レベルは0 ~ 100です。
- レベルのオプションの分数は、0 ~ 99です。
- 100 %は、トラフィックストーム制御がないことを意味します。
- 0 %はすべてのトラフィックを抑制します。
ハードウェアの制限と、異なるサイズのパケットをカウントする方法により、レベルのパーセンテージは概算です。着信トラフィックを構成するフレームのサイズに応じて、実際の強制レベルは設定されたレベルと何パーセントも異なる場合があります。
トラフィックストーム制御のデフォルト設定
| パラメータ |
デフォルト |
| トラフィック ストーム制御 |
Disabled |
| しきい値の割合 |
100 |
トラフィックストーム制御の設定
制御トラフィックが使用できる使用可能な合計帯域幅の割合を設定できます。
- configure terminal
- interface {イーサネット slot/port | ポート チャネル 番号}
- ストーム制御 {ブロードキャスト | マルチキャスト | ユニキャスト} レベル 割合[.分数]
注:トラフィックストーム制御では、トラフィックストーム制御の動作に影響を与える可能性のある10ミリ秒の間隔を使用します。
トラフィックストーム制御設定の確認
トラフィックストーム制御の設定情報を表示するには、次のいずれかのタスクを実行します。
| コマンド |
目的 |
| show interface [イーサネット slot/port | ポート チャネル 番号] counters storm-control |
インターフェイスのトラフィックストーム制御設定を表示します。 |
| show running-config interface |
トラフィックストーム制御の設定を表示します。 |
トラフィックストーム制御カウンタのモニタリング
Cisco NX-OSデバイスが保持するトラフィックストーム制御アクティビティのカウンタをモニタできます。
switch# show interface counters storm-control
Nexus 7000 ストーム制御:適切な抑制値の選択
お客様が適切なしきい値を選択できるように、このセクションでは、しきい値を使用する背後にあるロジックに関する情報を提供します。
注:ここに示す情報はベストプラクティス番号を提供しませんが、お客様は情報を調べた後に論理的な判断を下すことができます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- リリース 6.2.12 以降の Nexus 7700.
- F3シリーズラインカード
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
評価試験
ストーム制御は、特定のポートの入力トラフィックに適用されるトラフィック抑制メカニズムです。
N77-1(config-if)# sh port-c sum
1 Po1(SU) Eth LACP Eth2/4(P)
10 Po10(SU) Eth LACP Eth1/1(P)
interface port-channel1
switchport
interface port-channel10
switchport
シナリオ 1:圧縮率は0.01%
入力トラフィックレートは、ARP要求トラフィックの1 Gbpsに設定されます
config
interface port-channel10
ストーム制御ブロードキャストレベル0.01
参照用IXIAスナップショット
N77-1(config-if)# sh int po10 | in rate | in "30 sec" 30 seconds input rate 954649416 bits/sec, 1420607 packets/sec 30 seconds output rate 1856 bits/sec, 0 packets/sec input rate 954.82 Mbps, 1.42 Mpps; output rate 1.97 Kbps, 0 pps N77-1(config-if)# sh int po1 | in rate | in "30 sec" 30 seconds input rate 8656 bits/sec, 8 packets/sec 30 seconds output rate 853632 bits/sec, 1225 packets/sec >>>> Output rate is ~ 1200 pps input rate 8.74 Kbps, 8 pps; output rate 875.32 Kbps, 1.22 Kpps N77-1# sh int po10 counters storm-control
--------------------------------------------------------------------------------
Port UcastSupp % McastSupp % BcastSupp % TotalSuppDiscards
--------------------------------------------------------------------------------
Po10 100.00 100.00 0.01 67993069388
ストーム制御ドロップは参照用に表示されます。
シナリオ 2:圧縮率は0.1%
入力トラフィックレートは、ARP要求トラフィックの1 Gbpsに設定されます
config
interface port-channel10
ストーム制御ブロードキャストレベル0.10
入力インターフェイスpo10は同じ着信トラフィックレート1 gbpsであるため、出力インターフェイスのみを表示します
N77-1(config-if)# sh int po1 | in rate | in "30 sec"
30 seconds input rate 8840 bits/sec, 8 packets/sec
30 seconds output rate 8253392 bits/sec, 12271 packets/sec >>>> Output rate is ~ 12k pps
シナリオ 3:圧縮率1%
入力トラフィックレートは、ARP要求トラフィックの1 Gbpsに設定されます
config
interface port-channel10
ストーム制御ブロードキャストレベル1
入力インターフェイスpo10は同じ着信トラフィックレート1 gbpsであるため、出力インターフェイスのみを表示します
N77-1(config-if)# sh int po1 | in rate
30 seconds input rate 8784 bits/sec, 7 packets/sec
30 seconds output rate 86601056 bits/sec, 129293 packets/sec >>>> Output rate is ~ 120k pps
input rate 8.78 Kbps, 7 pps; output rate 86.60 Mbps, 129.29 Kpps
シナリオ 4:圧縮率は10%
入力トラフィックレートは、ARP要求トラフィックの1 Gbpsに設定されます
config
interface port-channel10
ストーム制御ブロードキャストレベル10.00
N77-1(config-if)# sh int po1 | in rate
30 seconds input rate 8496 bits/sec, 7 packets/sec
30 seconds output rate 839570968 bits/sec, 1249761 packets/sec >>>> Output rate is ~ 1.2mil pps
input rate 8.50 Kbps, 7 pps; output rate 839.57 Mbps, 1.25 Mpps
要約:
上記のすべてのシナリオは、ループまたはNICの誤動作が原因で発生する可能性がある持続的なトラフィックストリームを扱います。このシナリオでは、ネットワークに注入される前にトラフィックをレート制限するストーム制御が有効です。抑制レベルによって、ネットワークに注入するトラフィックの量が決まります。
ストーム制御が確立されている場合、しきい値をアグレッシブレベルに維持すると、通常のARPが廃棄されますか。
考慮すべき事項がいくつかあります
- まず、ARPが最初にドロップされた場合は、常にアプリケーション層によって開始されるリトライが発生するため、後続のリトライ中にARPが解決される可能性が高くなり、IPからMACへの解決が成功します。
- ストーム制御は入力ポリサーであり、できるだけエッジの近くに適用する必要があります。つまり、1つの物理ホストまたはVMクラスタを扱うことになります。あるホストでは、通常の動作シナリオではARPの数が実際には問題ではありません。これがVMクラスタの場合、特定の数のホストが存在する可能性がありますが、エッジポートの背後にあるレイヤ2ドメイン全体を示すものは何もありません。
- コアポートにストーム制御設定を適用する場合は、コアレイヤに到達する前にブロードキャストトラフィックがどのように集約されるかを認識してください。
テストに戻ります。バースト性のARPトラフィックに関するテストを次に示します。
テスト 1:5000パケットのバースト:5000ppsシングルバースト
圧縮レベル0.01%
config
interface port-channel10
ストーム制御ブロードキャストレベル0.01
N77-1# sh int po10
port-channel10 is up
admin state is up
RX
12985158 unicast packets 27 multicast packets 5000 broadcast packets
12990674 input packets 1091154042 bytes
0 jumbo packets 2560 storm suppression packets
N77-1#Sh int po1
port-channel1 is up
admin state is up
TX
0 unicast packets 507 multicast packets 2440 broadcast packets
N77-1(config-if)# sh int po10 counters storm-control
--------------------------------------------------------------------------------
Port UcastSupp % McastSupp % BcastSupp % TotalSuppDiscards
--------------------------------------------------------------------------------
Po10 100.00 100.00 0.01 2560
上記は、2560個のドロップされたARPパケットを示しています。1つのインターフェイスの背後に5000台のホストがある場合、最初の反復でホストの半分が通過し、次の反復で後半が通過します。アプリケーションがIPからMACへの解決を取得するために1つのARP要求のみを送信している場合、応答がなければアプリケーションを変更してARP要求を再送信する必要があります。 この場合は、アプリケーションベンダーに問い合わせて、この動作の変更に関する支援を受けてください。
テスト 2:5000パケットのバースト:50000ppsシングルバースト
圧縮レベル0.01%
config
interface port-channel10
ストーム制御ブロードキャストレベル0.01
N77-1(config-if)# sh int po10
port-channel10 is up
admin state is up
RX
0 unicast packets 19 multicast packets 5000 broadcast packets
5019 input packets 435550 bytes
0 jumbo packets 3771 storm suppression packets
N77-1(config-if)# sh int po1
port-channel1 is up
admin state is up
TX
0 unicast packets 712 multicast packets 1229 broadcast packets
N77-1(config-if)# sh int po10 counters storm-control
--------------------------------------------------------------------------------
Port UcastSupp % McastSupp % BcastSupp % TotalSuppDiscards
--------------------------------------------------------------------------------
Po10 100.00 100.00 0.01 3771
上記の出力では、パケットバーストのレートが高いため、廃棄の数が多くなっています。
1 gbpsのパケットレートまで5000のパケットバースト(100kpps)でppsレートが増加すると、同様の結果が得られます
ストーム状態の検出には、次のオプションを使用できます。
データプレーンでのアラート:
- ストーム制御を設定すると、アラートに対するsyslogメッセージが生成され、EEMでSimple Network Management Protocol(SNMP)トラップを生成したり、ポートを予防措置としてシャットダウンしたりできます。
コントロールプレーンでのアラート:
- 「logging drop threshold」オプションを設定します。
Nexus 7000には、デフォルトのポリシーマップであるコントロールプレーンがあります。
このポリシーマップは、どのトラフィックがCPUに渡されるかを制御します。このポリシーマップでは、ARPがCPUに送られる量を制御するクラスを確認できます。
このクラスで「logging drop threshold」を設定すると、syslog内の違反が報告されます。EEMを使用してSNMPトラップを生成することもできます。
- コントロールプレーンポリシング(CoPP)MIBポーリング
NX-OS 6.2(2)以降、CoPPはCisco Class-Based QoS MIB(cbQoSMIB)をサポートしており、その要素はすべてSNMPを使用してモニタできます
結論
ストーム制御は、物理インターフェイス上のブロードキャスト、マルチキャスト、またはユニキャストトラフィックストームによるレイヤ2ポートの中断を防止する便利な機能です。この機能は、コントロールプレーンとCoPPに影響を与える前に、データプレーンでのストームを制御します。
フィードバック