المقدمة
يصف هذا المستند البرمجة الافتراضية لميزات قائمة التحكم في الوصول (ACL) المستندة إلى Nexus 7000 Terminal Content Addressable Memory (TCAM) لبنوك Nexus 7000، وكيفية تجميع الموارد باستخدام ميزة التسلسل البنكي.
المشكلة
مع التنفيذ الأولي، لا يتم برمجة ميزات قائمة التحكم في الوصول (ACL) عبر بنوك TCAM المختلفة. هذا يحد الإدخالات المتاحة لكل ميزة إلى 16،000. بالنسبة للعملاء الذين لديهم قوائم تحكم في الوصول (ACL) كبيرة، تصبح هذه مشكلة. يؤدي إستخدام ميزة السلسلة البنكية إلى حل هذه المشكلة بإزالة القيود البنكية. عند تمكين السلسلة المصرفية، يمكن برمجة الميزات المستندة إلى قائمة التحكم في الوصول عبر البنوك.
أمثلة لرسائل الأخطاء:
ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD Tcam 0 Bank 0's usage has reached its threshold
ACLMGR-3-ACLMGR_VERIFY_FAIL Verify failed: client 8200016E, Sufficient free entries are not available in TCAM bank
الحل
- عند تمكين السلسلة البنكية، فإنها تؤثر فقط على التكوينات المستقبلية. لم تتم إعادة برمجة إدخالات TCAM الحالية. عند تطبيق قائمة تحكم في الوصول (ACL) جديدة على واجهة، تتم برمجة قائمة التحكم في الوصول (ACL) الجديدة هذه عبر بنوك متعددة.
- عند تمكين السلسلة المصرفية، تتم برمجة قائمة التحكم في الوصول (ACL) عبر البنوك (باستثناء Tunnel Decap وحماية مستوى التحكم (CoPP)). (راجع قسم القيود.) إذا كانت هناك إدخالات كافية في بنكي TCAM Bank 0، يتم تقسيم قائمة التحكم بالوصول (ACL) وبرمجتها إلى هذين البنكين.
- إذا لم يكن لدى بنكي TCAM Bank 0s إدخالات حرة كافية، فإنه يتم برمجة قاعدة قائمة التحكم بالوصول (ACL) عبر كافة البنوك الأربعة.
- عندما يتم تمكين ميزة السلسلة المصرفية، حتى إذا كانت قائمة التحكم في الوصول (ACL) تحتوي على عدد أقل من القواعد مقارنة بإدخالات البنك الواحد المجانية، فإنها تتم برمجتها عبر بنكي TCAM.
- عند تعطيل السلسلة البنكية، تتم إعادة برمجة إدخالات TCAM الحالية. إذا لم تكن قائمة التحكم في الوصول (ACL) الحالية مناسبة في بنك واحد، فسيتم إرجاع رسالة خطأ ويتعذر تعطيل السلسلة البنكية.
- أثناء الرجوع إلى إصدارات أقدم من ترقية البرامج (ISSU) أثناء الخدمة، يجب تعطيل السلسلة المصرفية، وإلا فسيفشل الرجوع إلى إصدارات أقدم من ISSU.
القيود
- عند تمكين ميزة السلسلة البنكية، تكون السياسات المطبقة على واجهة واحدة ودليل واحد قابلة للدمج. لا يمكن دمج أي نهج من النهج التي تم تمكين الإحصائيات بها. عند تمكين السلسلة البنكية، لا يمكن أن تتواجد الميزة مع الإحصائيات الممكنة معا مع الميزات الأخرى على الواجهة نفسها، في نفس الإتجاه. مثال: عند تمكين الإحصائيات على قائمة التحكم في الوصول إلى الموجه (RACL) عند الدخول في Ethernet2/1، لا يمكن تكوين التوجيه المستند إلى السياسة (PBR) تحت هذه الواجهة.
- لا يمكن دمج أي نهجين، تختلف أنواع نتائجهما. هناك ثلاثة أنواع من النتائج: قائمة التحكم في الوصول (ACL) والمحاسبة وجودة الخدمة (QoS). لا يمكن دمج أنواع النتائج الثلاثة هذه.
- الميزات ضمن نوع نتيجة قائمة التحكم في الوصول (ACL): قائمة التحكم في الوصول إلى المنفذ (PACL) و RACL وقائمة التحكم في الوصول إلى شبكة VLAN (VACL) و PBR و DHCP وبروتوكول تحليل العنوان (ARP) و NetFlow
- الميزات ضمن نوع نتائج المحاسبة: Netflow Sampler
- الميزات تحت نوع نتيجة جودة الخدمة: جودة الخدمة
على سبيل المثال: لا يمكن أن يتواجد كلا من RACL و QoS معا في نفس الإتجاه تحت واجهة واحدة مع تمكين السلسلة البنكية.
- تتم برمجة Tunnel Decap و CoPP تحت واجهة منطقية واحدة (LIF) ولا يمكن دمجهما لأن أنواع نتائجهما مختلفة. ولتجنب التقييد الذي لا يمكن أن تتعايش فيه، يتم الاحتفاظ بها في مصرف واحد، حتى عند تمكين السلسلة المصرفية. عند تمكين قائمة التحكم في الوصول القائمة على الأدوار (RBACL)، سيتم إستخدام علامة مجموعة أمان المصدر/علامة مجموعة أمان الوجهة (SGT/DGT) لإنشاء مفتاح البحث عن TCAM. لا يمكن دمج RBACL مع سياسات الخروج الأخرى، نظرا لأنه تتم برمجة التسمية لانتقاء SGT/DGT بدلا من عناوين وجهة مصدر IPv4. عند تمكين السلسلة البنكية، يتم تطبيق القواعد التالية:
- إذا تم تمكين RBACL ضمن التوجيه وإعادة التوجيه الظاهري (VRF)، لا يمكن تكوين سياسات مخرج أخرى تحت هذه الواجهات على VRF هذا.
- إن مكنت ال RBACL يكون تحت VLAN، ما من VLAN مخرج سياسة يستطيع كنت شكلت.
- سياسة Port + VLAN: في الأجهزة (HW)، تتم برمجة تسميات سياسة المنافذ وسياسات شبكات VLAN ضمن إدخال واحد لإدارة دورة حياة المعلومات (ILM). يمكن أن يحتوي على تسمية واحدة فقط لنهج المنفذ وتسمية واحدة لنهج VLAN. عند تمكين السلسلة البنكية، لا يمكن دعم سياسات Port + VLAN:
- عند تكوين سياسة منفذ، لا يمكن تكوين أي سياسة ضمن شبكة VLAN/SVI التي ينتمي إليها المنفذ.
- عند تكوين سياسة VLAN/SVI، لا يمكن تكوين أي سياسة على المنفذ الذي ينتمي إلى شبكة VLAN.
مثال على رسالة خطأ:
ERROR: Resource-pooling is not supported with certain feature combinations
التكوين
config t
يمكن إصدار تجميع موارد قائمة الوصول إلى الأجهزة !من VDC الافتراضي فقط
إظهار تجميع موارد قائمة الوصول إلى الأجهزة
إظهار حالة قائمة الوصول الداخلية للنظام
SITE1-AGG1(config)# hardware access-list resource pooling mod ?
<1-9> Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling
Module 3 enabled
SITE1-AGG1# show system internal access-list status
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5
معلومات ذات صلة