Nexus 9000 スイッチ設計
vPC
- Nexus 5k , 7k 時代のドキュメントなので、ちょっと古い
ベストプラクティスを使用した Nexus 9000 vPC の概要と設定
Cisco Nexus スイッチ (NX-OS) : 設定例
- vPC 経由でルーティング プロトコルを動作させるときに必要
vPC + HSRP は、ルータや Catalyst スイッチと比較して特殊な動作を行います。
- vPC で受信したトラフィックは、HSRP Standby でも別ポートへ転送する
冗長試験を行う際は、Priority を低下させて Resign メッセージを発生、Active -> Standby に変更する試験と、hsrp shutdown でトラフィックを片寄せする試験を行ったほうが良いと考えられます。
10G-T トランシーバの制限
Deployment Scheme for SFP-10G-T-X Transceivers
- 斜め (例 : 1,4 番ポート) にのみ挿せる
- 斜めで余ったポート (例 : 2,3 番ポート) は AOC / DAC など、0.1W までの低消費電力のもののみ挿せる
- Nexus 93180YC-FX の場合、挿せるポートは 1,4,5,8,9,12,13,16 , 37,40,41,44,45,48 番ポート
- 合計で 16 ポートまで
- NX-OS 9.3(x) では N9K-C93240YC-FX2、N9K-C93180YC-EX、N9K-C93180YC-FX、および N9K-C93360YC-FX2 がサポートしている [1]
- media-type 10g-tx をインターフェースに設定する
- 隣接ポートは空、もしくは DAC のみ [2]
- 機種により使用できるポートが異なる [3]
機種ごとの SFP-10G-T-X 使用可能ポート
| デバイス名 | ポート マップ |
|---|---|
| Cisco Nexus N9K-C93180YC-EX および N9K-C93180YC-FX | PI/PE:1、4-5、8-9、12-13、16、37、40-41、44-45、48 |
| Cisco Nexus N9K-C93240YC-FX2 | W/PI Fan/PS:2、6、8、12、14、18、20、24、26、30
32、36、38、42、44、48 W/PE Fan/PS:6、12、18、24、30、36、42、48 |
| Cisco Nexus N9K-C93360YC-FX2 | PI/PE 1、4-5、8、41、44-45、48-49、52-53、56-57、
60-61、64-65、68-69、72-73、76-77、80-81、84-85、 88-89、92-93、96 |
BGP 実装差分
動作が IOS-XE と結構異なる機能がある。
| IOS-XE | NX-OS | |
|---|---|---|
| address-family | なくても動く
デフォルトで ipv4 unicast |
必須 |
| deterministic-med | デフォルト無効 | デフォルト有効 |
MTU
Nexus 9000 シリーズ: MTU Configuration
コンフィグ
no コマンドで削除できないケースがあります。
| (注) | テンプレートを編集するときには、ピアまたはテンプレートのレベルで no 形式のコマンドを使用すると、テンプレートの設定を明示的に上書きできます。属性をデフォルトの状態にリセットするには、default 形式のコマンドを使用する必要があります。 |
BGP テンプレートで設定を共通化した場合、ピア個別に適用したルートマップは no で削除できません。
default で削除可能です。
EVPN
Anycast Gateway のメリット
VIP や Standby アドレスが必要ない
ステートレスで別のホストの動作に依存せずに動作する
Anycast Gateway のデメリット
Anycast Gateway を設定した SVI から ping を打っても失敗する場合があるため、疎通確認の送信元として使用できない
- ping のリプライが同一アドレスを持つ、別のホストに着信する場合がある
CoPP (Control Plane Policing)
DDoS 攻撃などから防御するため、CPU を保護する Control Plane Policing という機能が実装されている。
ここではどのようなデフォルト動作となっているか、NX-OS 9000V のコンフィグを確認する。
なお、実機と NX-OS 9000V では
CoPP のデフォルト プロファイル
NX-OS 10.4(6) では Strict がデフォルトで、一番厳しいプロファイルが適用されている。
switch(config)# show running-config copp
!Command: show running-config copp
!Running configuration last done at: Thu Mar 19 05:23:59 2026
!Time: Thu Mar 19 05:26:56 2026
version 10.4(6) Bios:version
copp profile strict
プロファイルの違い
Stirct , moderate , lenient , dense が存在する。
switch(config)# copp profile ?
dense The Dense Profile
lenient The Lenient Profile
moderate The Moderate Profile
strict The Strict Profile
- Strict:このポリシーは 1 レート、2 カラーです。
- Moderate:このポリシーは 1 レート、2 カラーです。重要クラスのバースト サイズは strict ポリシーより大きく、lenient ポリシーより小さくなります。
- Lenient:このポリシーは 1 レート、2 カラーです。重要クラスのバースト サイズは moderate ポリシーより大きく、dense ポリシーより小さくなります。
- Dense:このポリシーは 1 レート、2 カラーです。ポリサーの CIR 値は、strict ポリシーよりも低くなります。
CoPP Strict プロファイル
Strict の場合、以下が設定されている。
show running-config では表示されないため、デフォルトコンフィグも表示可能な show running-config all で確認が可能。
別のプロファイルの場合、値が緩和される。
switch# show running-config all | section copp-system-p-policy-strict
policy-map type control-plane copp-system-p-policy-strict
class copp-system-p-class-l3uc-data
set cos 1
police cir 250 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-critical
set cos 7
police cir 19000 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-important
set cos 6
police cir 3000 pps bc 256 packets conform transmit violate drop
class copp-system-p-class-openflow
set cos 5
police cir 2000 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-multicast-router
set cos 6
police cir 3000 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-multicast-host
set cos 1
police cir 2000 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-l3mc-data
set cos 1
police cir 3000 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal
set cos 1
police cir 1500 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-ndp
set cos 6
police cir 1500 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp
set cos 1
police cir 300 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-normal-dhcp-relay-response
set cos 1
police cir 400 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-normal-igmp
set cos 3
police cir 6000 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-redirect
set cos 1
police cir 1500 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-exception
set cos 1
police cir 50 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-exception-diag
set cos 1
police cir 50 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-management
set cos 2
police cir 3000 pps bc 512000 packets conform transmit violate drop
class copp-system-p-class-monitoring
set cos 1
police cir 300 pps bc 128 packets conform transmit violate drop
class copp-system-p-class-l2-unpoliced
set cos 7
police cir 20000 pps bc 8192 packets conform transmit violate drop
class copp-system-p-class-undesirable
set cos 0
police cir 15 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-fcoe
set cos 6
police cir 1000 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-nat-flow
set cos 7
police cir 100 pps bc 64 packets conform transmit violate drop
class copp-system-p-class-l3mcv6-data
set cos 1
police cir 3000 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-undesirablev6
set cos 0
police cir 15 pps bc 32 packets conform transmit violate drop
class copp-system-p-class-l2-default
set cos 0
police cir 50 pps bc 32 packets conform transmit violate drop
class class-default
set cos 0
police cir 50 pps bc 32 packets conform transmit violate drop
show コマンド
show copp status
リファレンス
変更履歴
2024/09/04 : 初版
2026/03/17 : EVPN の項目を追加
引用
- ↑ Cisco SFP-10G-T-X モジュールのサポート Cisco NX-OS リリース 9.3(5) 以降、10G BASE-T SFP+(RJ-45)は N9K-C93240YC-FX2、N9K-C93180YC-EX、N9K-C93180YC-FX、および N9K-C93360YC-FX2 デバイスでサポートされます。
- ↑ Cisco SFP-10G-T-X モジュールのサポート (注) SFP-10G-TX デバイスをポートに接続する場合、このデバイスのすべての隣接ポートが空であるか、パッシブ銅線リンクのみに接続されている必要があります。
- ↑ メディア タイプの確認 (注) SFP-10G-TX をサポートするポートは、デバイスによって異なります。この例では、Cisco Nexus N9K-C93240YC-FX2 スイッチの、SFP-10G-TX をサポートするポート番号を表示します。