Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

10ポート10ギガビットイーサネット LAN/WAN PIC でのコントロールキューの無効化

 

SFP + (モデル番号 PD-5-10XGE-SFPP) を使用した10ポート10ギガビットイーサネット LAN/WAN PIC では、制御キューを使用して、受信ポートで受け取ったすべての制御パケットをキューに入れます。これにより、オーバーサブスクリプションによる輻輳が発生した場合に、制御プロトコルパケットがランダムにドロップされるのを防ぐことができます。以下の制御プロトコルがサポートされています。

  • OSPF

  • OSPF3

  • VRRP

  • IGMP

  • RSVP

  • PIM-SM

  • BGP

  • BFD

  • LDP

  • IS-IS

  • RIP

  • RIPV6

  • LACP

  • プロ

  • IPv6 NDP

  • Connectivity Fault Management(CFM)

  • リンク障害管理 (LFM)

これらの制御パケットは、ローカルに終了することも、ルーター経由で転送できます。コントロールキューには、ポート当たりの制御トラフィックを 2 Mbps (固定、ユーザー設定不可) に制限するための limiter レートがあります。したがって、伝送制御トラフィックが帯域幅の使用量が多すぎると、に図 1示すように、ローカルで終端制御トラフィックがドロップされる可能性があります。

図 1: コントロールキューレート Limiter シナリオ
コントロールキューレート Limiter シナリオ

エンドユーザーが、ポート番号が 179 (BGP) である大量の悪意のあるトラフィックを生成した場合、ルーターは受信したコントロールキューにそのトラフィックをディスパッチします。さらに、この受信制御キューでこのような悪意のあるトラフィックによって輻輳が発生した場合、プロバイダのネットワーク制御パケットが影響を受ける可能性があります。

アプリケーションによっては、これが新しい脆弱性として認識される場合があります。この問題に対処するには、コントロールキュー機能を無効にします。制御キュー機能が無効になっている場合は、その他の方法 (BA 分類を使用したコントロールパケットのマッピングなど) を使用して制御トラフィックを保護するための措置を講じる必要があります。これは、高レベルハイに設定されているか、さらに CIR を設定しているキューにすることです。

PIC 上のすべてのポートに対してコントロールキューを無効にすることができます。コントロールキューを使用不可にするには、 set chassis fpc n pic n no-pre-classifierコマンド. デフォルトでは、 no-pre-classifierステートメントは構成されておらず、コントロールキューは動作しています。

この文no-pre-classifierを削除すると、10ギガビットイーサネット LAN/WAN PIC のすべてのポートでコントロールキュー機能が再び有効になります。

  • この機能は、OSE およびラインレートモードの両方で利用可能です。

  • コントロールキュー機能は、OSE とラインレートモードの両方でデフォルトで有効になっており、ユーザーの構成によって上書きされる可能性があります。

  • 制御キューを無効にすると、 show queueさまざまなコマンドが出力に制御キューを表示します。ただし、すべてのコントロールキューカウンターはゼロとして報告されます。

  • この設定を変更すると (コントロールキュー機能を有効または無効にすると)、PIC がオフラインになり、オンラインに戻ります。

制御キューが無効になると、レイヤー 2/レイヤー3制御パケットは、BA 分類に基づいたキューの選択の対象となります。しかし、一部の制御プロトコルパケットは、VLAN、MPLS、IP ヘッダーを持たない可能性があるため、BA 分類を使用して分類されるとは限りません。その課題とは...

  • タグなし ARP パケット

  • タグが付いていないレイヤー2制御パケット (LACP やイーサネット OAM など)

  • タグなし IS-IS パケット

制御キュー機能が無効になっている場合、タグなし ARP、IS-IS、その他のタグなしレイヤー2制御パケットは、次の2つの例に示すように、queue 0 に関連付けられた転送クラスに対応する制限付きキューに送られます。

タグなし Layer2 制御パケットをキュー3に転送

この設定では、queue 0 に関連付けられた転送クラス (FC) は "be" forwarding-class (ステートメント構成に基づいて) になります。「be」は、制限付きキュー番号 3 (「制限付きキュー」構成に基づく) にマップされます。そのため、この特定の構成では、タグなし ARP、IS-IS、その他のタグなしレイヤー2制御パケットは受信キュー 3 (受信キュー0にはありません) に送信されます。

タグなし Layer2 制御パケットをキュー3に転送

この構成では、queue 0 に関連付けられた FC は、「ef forwarding-class 」 (ステートメント構成に基づいて) になります。"ef" は、 restricted-queue制限付きキュー番号 0 (ステートメント構成に基づく) にマップされます。そのため、この特定の構成では、タグなし ARP、IS-IS、その他のタグなしレイヤー2制御パケットは受信キュー0に移動します。

タグ付き ARP、IS-IS、または Layer2 コントロールパケットでは、これらのパケットが正しいキューに送信されるように、ユーザーが dot1p/dot1ad の明示的なクラシファイアを構成する必要があります。明示的な dot1p/dot1ad クラシファイアを使用しない場合、タグ付き ARP、IS-IS、またはレイヤー2制御パケットは、キュー0に関連付けられた転送クラスに対応する制限されたキューに移動します。

関連項目