ACL / CoPP / Mirror / Packet Action¶
この章は、SONiC で「パケットを分類して、通す、落とす、CPU に送る、複製する、数える」という機能群をまとめて読むための入口です。既存ページは ACL、CoPP、mirror、drop counter、packet trimming などの HLD 単位に分かれているため、ここでは運用者や設計者の質問順に並べ直します。
ACL は data plane の分類器、CoPP は control plane へ punt されるパケットの保護、mirror は観測用コピー、counter は設定が本当に効いているかを確かめる計測面です。これらは別機能に見えますが、SONiC 内部では ACL_TABLE / ACL_RULE、SAI ACL action、policer、hostif trap、flex counter といった共通部品でつながっています。
この章で答える質問¶
- ACL table type、match、action、counter はどの階層で理解するのか。
- CoPP、policer、trap、mirror は ACL とどこで交わり、どこから別物なのか。
show acl、aclshow、trap flow counter、drop counter は運用でどう使い分けるのか。- egress mirror、outer DSCP 書換、packet trimming のような ASIC 依存 action はどう確認するのか。
- DASH ACL、PAC、DHCP DoS 緩和は通常 ACL と同じ章で読むべきか。
読み進め方¶
- 概念: ACL / CoPP / mirror / counter の境界と、table type が決めること。
- アーキテクチャ:
AclOrch、SAI ACL、counter、CoPP trap の流れ。 - 設定:
ACL_TABLE/ACL_RULE、policer、mirror、CoPP の最小構成。 - 運用:
show acl、counter、mirror、drop 調査の実用順序。 - 内部実装: action capability、egress mirror、outer DSCP、packet trimming。
- 発展トピック: CoPP redesign、DASH ACL、PAC、DHCP DoS との境界。
関連ページ¶
章構成と進捗¶
| ページ | 状態 | verification |
|---|---|---|
| concept | ✅ 完成 (196 行) | meta |
| setup | ✅ 完成 (282 行) | meta |
| operations | ✅ 完成 (186 行) | meta |
| internals | ✅ 完成 (128 行) | meta |
| advanced | ✅ 完成 (110 行) | meta |
次に読むべき記事¶
この章を読み進める順
関連する HLD 7 件
- Everflow テストプラン(ingress + egress mirror、LAG / ECMP / IPv6)
- CoPP Manager 再設計テストプラン(feature テーブル整合性 + always_enabled)
- ingress discards テスト計画(21 ケースで drop counter を検証)
- ACL の egress mirror 対応と SAI ベース action capability 問い合わせ
- SONiC Port Mirroring(SPAN / ERSPAN)
- ACL の基本設計(ACL_TABLE / ACL_RULE スキーマ)
- Port Access Control(PAC: 802.1x / MAB / RADIUS)
関連トラブルシュート 5 件
- APP_DB → ASIC_DB の反映が遅延・停止する
- orchagent が CPU 100% で詰まる
- show techsupport の出力サイズが肥大化する
- Warm Reboot が失敗 / 通信断が長引く
- 経路は RIB にあるが FIB / ASIC に降りない
関連する章¶
前提として読むべき章
派生で読むべき章
補完的に読む章