مدير تصنيف EARL 8: فحص سلوكي لجداول LOU و L4OPS و Capmap
خيارات التنزيل
-
ePub (93.6 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
لغة خالية من التحيز
تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
المحتويات
المقدمة
يصف هذا المستند كيفية برمجة وحدات التشغيل المنطقية (LOU) وعمليات الطبقة الرابعة (L4OPS) في جدول Capmap. يوفر سيناريوهات للفشل، أنواع الأخطاء التي تصادفها عادة في هذه الحالات، وما ينبغي عليك إستنتاجه من هذه الأخطاء.
يدير مدير التصنيف (CM) ذاكرة المحتوى الثالث للتصنيف القابلة للتوجيه (TCAM) والموارد المرتبطة مثل الملصقات، ووحدات LOU، وإدخالات Capmap، وغيرها. يتم إستخدام خدمات CM بواسطة مدير الميزات (FM) ومدير جودة الخدمة (QM) لبرمجة إدخالات TCAM لدعم برنامج Cisco IOS® ميزات قائمة التحكم في الوصول (ACL) وجودة الخدمة (QoS).
معلومات أساسية
LOUs و L4Ops - تمثل وحدات LOU وحدات التشغيل المنطقية، وهي سجلات الأجهزة التي يتم إستخدامها لتخزين {operator، operand} مجموعات توصيل لأرقام منافذ TCP/UDP المحددة في قوائم التحكم في الوصول وقوائم التحكم في الوصول إلى شبكة VLAN (VACLs). تسمى هذه المجموعات أيضا L4OPS. على سبيل المثال، إذا قمت بمطابقة المضيف X مع المضيف Y gt 1023، عندئذ تصبح المجموعة {gt، 1023}.
L4OPS - عمليات الطبقة 4.
جداول Capmap - تتم برمجة عمليات التشغيل من المستوى الرابع التي تم وصفها سابقا في سجلات LOU التي تتم الإشارة إليها بواسطة إدخالات في جداول Capmap. يحتوي كل جدول Capmap على حد مقداره 10 (يتم حفظ واحد للاتجاه، مما يؤدي إلى تقليل الحد إلى 9) إدخالات (L4Ops). تتم فهرسة جداول Capmap بواسطة تسمية TCAM نفسها.
هناك إثنان من TCAM ، A و B ، كل TCAM لها 8 ك. لكل TCAM، هناك جدول Capmap واحد لإدخالات 2K. بما أن كل TCAM له 8 ك عنوان، هناك 4:1 تداخل هنا - أربعة تسميات خريطة إلى مدخل Capmap واحد. التداخل هو: 1=2049=4097=6145.
في الأساس، هذا يعني أن ملصقات TCAM أرقام 1، 2049، 4097، و 6145 تستخدم نفس مؤشر Capmap. أدى تنفيذ Cisco التقليدي لتخصيص تسمية TCAM إلى حدوث مشاكل بسبب هذا التداخل. قامت Cisco بتخصيص ملصقات TCAM التي توجد بها فجوة تبلغ 2 ألف (2048 بشكل دقيق). وهذا يعني ضمنا أن المخصصات ستأخذ شكل 1 و 2049 و 4097 و 6145 و 2 و 2050 و 4098 و 6146 وما إلى ذلك.
لذلك، من البداية، كان تخصيص TCAM هذا إلى حد أن جداول Capmap تتداخل. هنا مثال أن يوضح هذا (أخذت من cisco بق id CSCuo02666). هنا إثنان ACLs، a1 و a2، عينت وطبقت إلى قارن VLAN 1 وقارن VLAN 2 كما هو موضح هنا:
Sup2T(config)#ip access-list extended a1
Sup2T(config-ext-nacl)# permit ip host 1.1.1.1 any dscp 1
Sup2T(config-ext-nacl)# permit ip host 1.1.1.1 any dscp 2
Sup2T(config-ext-nacl)# permit ip host 1.1.1.1 any dscp 3
Sup2T(config-ext-nacl)# permit ip host 1.1.1.1 any dscp 4
Sup2T(config-ext-nacl)# permit ip host 1.1.1.1 any dscp 5
Sup2T(config-ext-nacl)#exit
Sup2T(config)#int vlan 1
Sup2T(config-if)#ip access-group a1 in
Sup2T(config-if)#exit
Sup2T(config)#ip access-list extended a2
Sup2T(config-ext-nacl)# permit ip host 1.1.1.2 any dscp 6
Sup2T(config-ext-nacl)# permit ip host 1.1.1.2 any dscp 7
Sup2T(config-ext-nacl)# permit ip host 1.1.1.2 any dscp cs1
Sup2T(config-ext-nacl)# permit ip host 1.1.1.2 any dscp 9
Sup2T(config-ext-nacl)#exit
Sup2T(config)#int vlan 2
Sup2T(config-if)#ip access-group a2 in
Sup2T(config-if)#end
ها هو TCAM لهذه الواجهات الآن:
Sup2T#show platform hardware acl entry interface vlan 1 security in ip detail
mls_if_index:20000001 dir:0 feature:0 proto:0
pass#0 features
UAPRSF: U-urg, A-ack, P-psh, R-rst, S-syn, F-fin
MLGFI: M-mpls_plus_ip_pkt, L-L4_hdr_vld, G-gpid_present,F-global_fmt_match,
I-ife/ofe
's' means set; 'u' means unset; '-' means don't care
----------------------------------------------------------------
----------------------------------------------------------------
----------------------------------------------------------------
------
I INDEX LABEL FS ACOS AS IP_SA SRC_PORT
IP_DA DST_PORT F FF L4PROT TCP-F:UAPRSF MLGFI OtherL4OPs
RSLT CNT
---------------------------------------------------------------
---------------------------------------------------------------
---------------------------------------------------------------
---------
fno:0
tcam:B, bank:0, prot:0 Aces
I V 16366 2049 0 0 0 1.1.1.1 - 0.0.0.0
- 0 0 0 - ----- dscp=5; 0x0000000000000038
0
I M 16366 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 16367 2049 0 0 0 1.1.1.1 - 0.0.0.0
- 0 0 0 - ----- dscp=4; 0x0000000000000038
0
I M 16367 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 16368 2049 0 0 0 1.1.1.1 - 0.0.0.0
- 0 0 0 - ----- dscp=3; 0x0000000000000038
0
I M 16368 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 16369 2049 0 0 0 1.1.1.1 - 0.0.0.0
- 0 0 0 - ----- dscp=2; 0x0000000000000038
0
I M 16369 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 16370 2049 0 0 0 1.1.1.1 - 0.0.0.0
- 0 0 0 - ----- dscp=1; 0x0000000000000038
0
I M 16370 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 16371 2049 0 0 0 0.0.0.0 - 0.0.0.0
- 0 0 0 - ----- - 0x0000000040000038
0
I M 16371 0x1FFF 0 0x00 0x000 0.0.0.0 - 0.0.0.0
- 0 0 0x0
Sup2T#show platform hardware acl entry interface vlan 2 security in ip detail
mls_if_index:20000002 dir:0 feature:0 proto:0
pass#0 features
UAPRSF: U-urg, A-ack, P-psh, R-rst, S-syn, F-fin
MLGFI: M-mpls_plus_ip_pkt, L-L4_hdr_vld, G-gpid_present,F-global_fmt_match, I-ife/ofe
's' means set; 'u' means unset; '-' means don't care
----------------------------------------------------------------
----------------------------------------------------------------
----------------------------------------------------------------
------
I INDEX LABEL FS ACOS AS IP_SA SRC_PORT
IP_DA DST_PORT F FF L4PROT TCP-F:UAPRSF MLGFI OtherL4OPs
RSLT CNT
-----------------------------------------------------------------
-----------------------------------------------------------------
-----------------------------------------------------------------
fno:0
tcam:B, bank:1, prot:0 Aces
I V 32738 4097 0 0 0 1.1.1.2 - 0.0.0.0
- 0 0 0 - ----- dscp=9; 0x0000000000000038
0
I M 32738 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 32739 4097 0 0 0 1.1.1.2 - 0.0.0.0
- 0 0 0 - ----- dscp=8; 0x0000000000000038
0
I M 32739 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 32740 4097 0 0 0 1.1.1.2 - 0.0.0.0
- 0 0 0 - ----- dscp=7; 0x0000000000000038
0
I M 32740 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 32741 4097 0 0 0 1.1.1.2 - 0.0.0.0
- 0 0 0 - ----- dscp=6; 0x0000000000000038
0
I M 32741 0x1FFF 0 0x00 0x000 255.255.255.255 - 0.0.0.0
- 0 0 0x0
I V 32745 4097 0 0 0 0.0.0.0 - 0.0.0.0
- 0 0 0 - ----- - 0x0000000040000038
0
I M 32745 0x1FFF 0 0x00 0x000 0.0.0.0 - 0.0.0.0
- 0 0 0x0
ملصق TCAM المخصص لشبكة VLAN رقم 1 للواجهة هو 2049 وملصق TCAM المخصص لشبكة VLAN رقم 2 للواجهة هو 4097. وهذا يعني أن كلا من هذه الواجهات يستخدم نفس جدول Capmap من أجل الإشارة إلى سجلات LOU لبرمجة L4Op الخاصة بها.
يمكنك تأكيد هذا باستخدام هذا الأمر (خمسة ACE في ACL A1 وأربعة ACE في ACL A2 تعني أنه يجب أن ترى جدول Capmap ممتلئ):
Sup2T#show platform hardware acl capmap tcam B label 4097
Hardware Capmap Table Entry For TCAM B. Free items are not shown
Index Loc[9] [8] [7] [6] [5] [4] [3] [2] [1] [0]
----- ------ --- --- --- --- --- --- --- --- ---
1 212 10 9 8 7 6 5 4 3 2
Sup2T#show platform hardware acl capmap tcam B label 2049
Hardware Capmap Table Entry For TCAM B. Free items are not shown
Index Loc[9] [8] [7] [6] [5] [4] [3] [2] [1] [0]
----- ------ --- --- --- --- --- --- --- --- ---
1 212 10 9 8 7 6 5 4 3 2
الآن، في هذه المرحلة، إذا حاولت تثبيت إدخال تحكم في الوصول (ACE) يستند إلى L4OP آخر غير قابل للتوسيع، لأي من هذه الواجهات، فستتلقى خطأ عدم توفر إدخال Capmap حر.
Sup2T(config)#ip access-list extended a2
Sup2T(config-ext-nacl)#permit ip host 1.1.1.2 any dscp 10
Sup2T(config-ext-nacl)#end
*Sep 16 14:57:55.983: %EARL_CM-5-NOCAPMAP: No free capmap entry available
*Sep 16 14:57:55.991: %FMCORE-4-RACL_REDUCED: Interface Vlan2 routed traffic
will be software switched in ingress direction. L2 features may not be applied
at the interface
وهذا ينتج عنه توصيل البرامج للواجهة بالكامل والذي من المحتمل أن يؤدي إلى تحويل أبطأ واستخدام عال لوحدة المعالجة المركزية (CPU) ومشاكل أخرى ذات صلة.
ملاحظة: تم رفع معرف تصحيح الأخطاء من Cisco CSCuo02666 لإصلاح هذه المشكلة. إن أكبر تغيير في المنطق الذي يقدمه هذا النهج هو كيفية تخصيص تسميات TCAM. تقوم Cisco الآن بتخصيص ملصقات TCAM بشكل مستمر (2،3،4،5، وما إلى ذلك) حتى عام 2048 بدلا من الثغرات التي تبلغ 2 آلاف. هذا يعني أن جداول Capmap لم تعد مشتركة من البداية.
تذكر أن وحدات LOU، مثل أي مورد أجهزة آخر، محدودة. هناك ما إجمالي 104 وحدات LOU متوفرة للاستخدام:
Sup2T#show platform software acl lou
LOUs Registers (shadow copies)
Index Type A_Op A_Val A_Cnt B_Op B_Val B_Cnt
----- -------- ---- ----- ----- ---- ----- -----
0PKT_QOS_GI A is free. NEQ 0 1
1 DST_PORT LT 81 2 B is free.
2 B & A are free
3 B & A are free
4 B & A are free
5 B & A are free
6 B & A are free
7 B & A are free
8 B & A are free
9 B & A are free
10 B & A are free
11 B & A are free
12 B & A are free
13 B & A are free
14 B & A are free
15 B & A are free
*snip*
95 B & A are free
96 B & A are free
97 B & A are free
98 B & A are free
99 B & A are free
100 B & A are free
101 B & A are free
102 B & A are free
103 B & A are free
جداول Capmap للبرامج وسجلات LOU
لا يتم إستخدام جداول Capmap إلا عندما يجب أخذ عمليات L4 في الاعتبار. لاحظ أن المطابقة في قيم نقطة كود الخدمات المميزة (DSCP)/فئة الخدمة (CoS) تعتبر أيضا كعملية إدخال/إخراج ل L4. هنا مثال بسيط (أن يستعمل صيغة من رمز أن يتضمن الإصلاح من cisco بق id CSCuo02666) أن هذا وثيقة يؤسس على نحو تدريجي:
Sup2T#show ip access-lists a3
Extended IP access list a3
10 permit ip host 192.168.1.1 host 192.168.1.2
I have this applied to interface VLAN 1.
Sup2T#show run int vlan 1
Building configuration...
Current configuration : 84 bytes
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group a3 in
end
تمت برمجة هذا بشكل صحيح في TCAM:
Sup2T#show platform hardware acl entry interface vlan 1 security in ip
mls_if_index:20000001 dir:0 feature:0 proto:0
pass#0 features
fno:0
tcam:B, bank:1, prot:0 Aces
Permit ip host 192.168.1.1 host 192.168.1.2
L3_Deny ip any any
Sup2t-MA1.7#show platform hardware acl entry interface vlan 1 security in ip detail
mls_if_index:20000001 dir:0 feature:0 proto:0
pass#0 features
UAPRSF: U-urg, A-ack, P-psh, R-rst, S-syn, F-fin
MLGFI: M-mpls_plus_ip_pkt, L-L4_hdr_vld, G-gpid_present,F-global_fmt_match, I-ife/ofe
's' means set; 'u' means unset; '-' means don't care
----------------------------------------------------------------
----------------------------------------------------------------
----------------------------------------------------------------
------
I INDEX LABEL FS ACOS AS IP_SA SRC_PORT
IP_DA DST_PORT F FF L4PROT TCP-F:UAPRSF MLGFI OtherL4OPs
RSLT CNT
----------------------------------------------------------------
----------------------------------------------------------------
-----------------------------------------------------------------
-----
fno:0
tcam:B, bank:1, prot:0 Aces
I V 32741 2 0 0 0 192.168.1.1 - 192.168.1.2
- 0 0 0 - ----- - 0x0000000000000038
0
I M 32741 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
- 0 0 0x0
I V 32745 2 0 0 0 0.0.0.0 - 0.0.0.0
- 0 0 0 - ----- - 0x0000000040000038
0
I M 32745 0x1FFF 0 0x00 0x000 0.0.0.0 - 0.0.0.0
- 0 0 0x0
تتم الإشارة إلى جداول Capmap من خلال تسمية TCAM نفسها. يمكنك إستخدام ملصق TCAM في الأمر show platform software [hardware] acl capmap tcam <> لعرض الجدول المتوافق (البرامج أو الأجهزة) لملصق TCAM هذا.
Sup2T#show platform hardware acl capmap tcam B label 2
Hardware Capmap Table Entry For TCAM B. Free items are not shown
Index Loc[9] [8] [7] [6] [5] [4] [3] [2] [1] [0]
----- ------ --- --- --- --- --- --- --- --- ---
1 212 0 0 0 0 0 0 0 0 0
لم يتم تخصيص أي شيء في جدول Capmap لهذه التسمية. لا تتضمن قائمة التحكم في الوصول (ACL) المحددة أية عمليات تشغيل ل L4Ops، ولا يوجد أي متطلبات لتثبيت إدخال في جدول Capmap.
تغيير ACE هذا إلى:
Sup2T#show ip access-lists a3
Extended IP access list a3
10 permit tcp host 192.168.1.1 host 192.168.1.2 eq www
انظر إلى جدول Capmap مرة أخرى.
Sup2T#show platform software acl capmap tcam B label 2
Shadow Capmap Table Entry For TCAM B
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2] [1]
[0]
----- ----- ---------------- ---------------- ---------------- ---------
------- ---------------- ---------------- ---------------- -------------
--- ---------------- ----------------
1 9 Reserved Free Free Free
Free Free Free Free Free
Free
إذا قمت بمعادلة رقم منفذ مباشرة، فلن يتم حسابه ك L4Op أيضا.
قم بتغييره إلى هذا:
Sup2T#show ip access-lists a3
Extended IP access list a3
10 permit tcp host 192.168.1.1 host 192.168.1.2 gt www
افحص جدول capmap مرة أخرى:
Sup2T#show platform software acl capmap tcam B label 2
Shadow Capmap Table Entry For TCAM B
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2] [1]
[0]
----- ----- ---------------- ---------------- ---------------- ---------
------- ---------------- ---------------- ---------------- ------------
---- ---------------- ----------------
2 8 212/0/1 Free Free Free
Free Free Free Free Free 3/1/1
يوجد الآن إدخال في جدول Capmap. تمت ترجمة ACE إلى 3/1/1 في جدول Capmap. هذا من تنسيق RST/INV/CNT. يقوم RST هنا بتحديد سجل LOU الذي تم تثبيته فيه L4OP، ويصف CNT العدد المجمع ل LOU هذا (مزيد من المعلومات حول هذا لاحقا). راجع هذا الإخراج لفهم كيفية فهرسة قيمة RST:
Sup2T#show platform software acl capmap mapping
L4op_sel value Reference
============== =========
0 ------ LOU0 B register
1 ------ LOU0 A register
2 ------ LOU1 B register
3 ------ LOU1 A register
..... ..............
..... ..............
206 ----- LOU103 B register
207 ----- LOU103 A register
208 ----- Global format match for global acl
209 ----- Group id present
210 ----- L4_hdr_vld
211 ----- Mpls_plus_ip_pkt
212 ----- ife/ofe for direction
(213-223) ---- Reserved
(224-239) ---- 16 TCP flags map
(240-255) ---- 16 IPv6 ext header map
يمكنك أن ترى أن قيمة L4op_sel الخاصة ب 0 نقاط إلى سجل LOU0 B، وقيمة 1 نقطة إلى سجل LOU0 A، وقيمة 2 نقطة إلى سجل LOU1 B، وقيمة 3 نقاط إلى سجل LOU1 B، وهكذا. يتم دائما برمجة السجل A أولا. أصبح إنتاج 3/1/1 أكثر منطقية الآن بعد أن رأيت هذا.
وفي هذا الناتج، يعني 3 أن البروتوكول الاختياري L4Op قد برمجت في سجل LOU1 A. يمكنك أيضا التحقق من موقع برمجة L4Op إذا قمت بالنظر في محتويات سجلات LOU مباشرة:
Sup2T#show platform software acl lou
LOUs Registers (shadow copies)
Index Type A_Op A_Val A_Cnt B_Op B_Val B_Cnt
----- -------- ---- ----- ----- ---- ----- -----
0PKT_QOS_GI A is free. NEQ 0 1
1 DST_PORT LT 81 1 B is free.
2 B & A are free
3 B & A are free
4 B & A are free
*snip*
Sup2T#show platform hardware acl lou
Dumping h/w lou values
Index lou_mux_sel A_Opcode A_Value B_Opcode B_Value
----- ----------- -------- ------- -------- -------
0 7 NEQ 0 NEQ 0
1 1 LT 81 NEQ 0
2 0 NEQ 0 NEQ 0
3 0 NEQ 0 NEQ 0
*snip*
كما ترون، تتم برمجة مجموعة (gt، x) على هيئة (lt، x+1) في سجلات LOU.
ملاحظة: لا تبرمج عمليات التشغيل L4Ops في سجلات وحدات المعالجة المركزية إلا عند تطبيقها على الواجهات. إذا تم إنشاء قوائم التحكم في الوصول مع L4OPS (دون تطبيق قائمة التحكم في الوصول بالفعل على واجهة)، فإنها لا تقوم ببرمجة عمليات التشغيل L4القابلة للتطبيق في سجلات LOU.
أزلت ال ACL من القارن VLAN 1 وانظر إلى ال LOU سجل مرة أخرى:
Sup2T(config)#int vlan 1
Sup2T(config-if)#no ip access-group a3 in
Sup2T#show platform software acl lou
LOUs Registers (shadow copies)
Index Type A_Op A_Val A_Cnt B_Op B_Val B_Cnt
----- -------- ---- ----- ----- ---- ----- -----
0PKT_QOS_GI A is free. NEQ 0 1
1 B & A are free
2 B & A are free
3 B & A are free
4 B & A are free
*snip*
Sup2T#show platform hardware acl lou
Dumping h/w lou values
Index lou_mux_sel A_Opcode A_Value B_Opcode B_Value
----- ----------- -------- ------- -------- -------
0 7 NEQ 0 NEQ 0
1 1 NEQ 0 NEQ 0
2 0 NEQ 0 NEQ 0
3 0 NEQ 0 NEQ 0
*snip*
دراسة حالة رقم 1 - قوائم التحكم في الوصول (ACL) مع علامات TCP
تحتوي علامات TCP على مجموعة خاصة من السجلات التي تم تخصيصها ضمن نطاق سجلات LOU. يمكنك عرض هذا النطاق من خلال أمر show platform software acl capmap كما هو موضح هنا:
Sup2T#show platform software acl capmap mapping
L4op_sel value Reference
============== =========
0 ------ LOU0 B register
1 ------ LOU0 A register
2 ------ LOU1 B register
3 ------ LOU1 A register
..... ..............
..... ..............
206 ----- LOU103 B register
207 ----- LOU103 A register
208 ----- Global format match for global acl
209 ----- Group id present
210 ----- L4_hdr_vld
211 ----- Mpls_plus_ip_pkt
212 ----- ife/ofe for direction
(213-223) ---- Reserved
(224-239) ---- 16 TCP flags map
(240-255) ---- 16 IPv6 ext header map
تتوفر قيم L4op_sel 224-239 للاستخدام لعلامات TCP، والتي توفر لك مجموعة من 16 سجلا للاستخدام. هنا مثال بسيط للتركيبة السكانية هذا. يتم تحديد قائمة التحكم في الوصول (ACL) هذه:
Sup2T(config)#ip access-list extended a13
Sup2T(config-ext-nacl)#permit tcp host 192.168.13.10 host 192.168.13.20 syn
Sup2T(config-ext-nacl)#exit
تطبيق هذا الوارد على شبكة VLAN 13 للواجهة:
Sup2T(config)#int vlan 13
Sup2T(config-if)#ip access-group a13 in
Sup2T(config-if)#end
Sup2T#show platform hardware acl entry interface vlan 13 security in ip detail
mls_if_index:2000000D dir:0 feature:0 proto:0
pass#0 features
UAPRSF: U-urg, A-ack, P-psh, R-rst, S-syn, F-fin
MLGFI: M-mpls_plus_ip_pkt, L-L4_hdr_vld, G-gpid_present,F-global_fmt_match, I-ife/ofe
's' means set; 'u' means unset; '-' means don't care
----------------------------------------------------------------
---------------------------------------------------------------
---------------------------------------------------------------
--------
I INDEX LABEL FS ACOS AS IP_SA SRC_PORT
IP_DA DST_PORT F FF L4PROT TCP-F:UAPRSF MLGFI OtherL4OPs
RSLT CNT
----------------------------------------------------------------
----------------------------------------------------------------
----------------------------------------------------------------
------
fno:0
tcam:B, bank:1, prot:0 Aces
I V 32545 13 0 0 0 192.168.13.10 - 192.168.13.20
- 0 0 1 ANY:----s- ----- - 0x0000000000000038
0
I M 32545 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
- 0 0 0xF
I V 32546 13 0 0 0 192.168.13.10 - 192.168.13.20
- 1 0 1 - ----- - 0x0000000000000038
0
I M 32546 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
- 1 0 0xF
I V 32547 13 0 0 0 0.0.0.0 - 0.0.0.0
- 0 0 0 - ----- - 0x0000000040000038
0
I M 32547 0x1FFF 0 0x00 0x000 0.0.0.0 - 0.0.0.0
- 0 0 0x0
Sup2T#show platform software acl capmap tcam B label 13
Shadow Capmap Table Entry For TCAM B
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2] [1]
[0]
----- ----- ---------------- ---------------- ---------------- ----------------
---------------- ---------------- ---------------- ---------------- -----------
----- ----------------
13 8 212/0/1 Free Free Free
Free Free Free Free Free 224/0/1
في هذا المثال، تتم برمجة علامة TCP في السجل 224 (وهذا يتوافق مع أول سجل متاح لعلامات TCP). يتوافق العدد الإجمالي لهذا مع عدد تدفقات TCP (قراءة ACE) بنفس علامة TCP.
إضافة إدخال تحكم في الوصول (ACE) آخر إلى قائمة التحكم في الوصول (ACL) الحالية A13. يجب أن يحتوي هذا على علامة TCP مختلفة:
Sup2T(config)#ip access-list extended a13
Sup2T(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.1.2 ack
Sup2T(config-ext-nacl)#exit
إذا نظرت إلى جدول Capmap مرة أخرى، فسترى أنه يتم إستخدام سجل TCP آخر:
Sup2T#show platform software acl capmap tcam b label 13
Shadow Capmap Table Entry For TCAM B
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2] [1]
[0]
----- ----- ---------------- ---------------- ---------------- ----------------
---------------- ---------------- ---------------- ---------------- -----------
----- ----------------
13 7 212/0/1 Free Free Free
Free Free Free Free 225/0/1 224/0/1
كما ترون، البرمجة تتم على كل علم، لكل علم يتم إستخدام سجل TCP مستقل وتحافظ على العد على ذلك. هذا يعني أنه، لكل علم، تستخدم أيضا مدخل Capmap واحد. وهذا يعني أيضا أنه من الناحية التقنية لا يمكنك تجاوز 9 علامات في قائمة التحكم في الوصول (ACL) لديك أو الوصول إلى حد Capmap قبل حد TCP الذي يحتوي على 16 علامة.
قم بتكبير علامات TCP الخاصة بك حتى تصل إلى حد تسجيل TCP لرؤية ما يحدث. يوضح هذا المثال العديد من قوائم التحكم في الوصول (ACL) التي تم تكوينها وتطبيقها على شبكات VLAN المختلفة للوصول إلى إستخدام سجل TCP بنسبة 100٪ كما هو موضح هنا:
Sup2T#show platform hardware capacity acl
Classification Mgr Tcam Resources
Key: Ttlent - Total TCAM entries, QoSent - QoS TCAM entries, LOU - LOUs,
RBLent - RBACL TCAM entries, Lbl - Labels, TCP - TCP Flags,
Dstbl - Destinfo Table, Ethcam - Ethertype Cam Table,
ACTtbl - Accounting Table, V6ext - V6 Extn Hdr Table
Module Ttlent QoSent RBLent Lbl LOU TCP Dstbl Ethcam ACTtbl V6ext
1 3% 7% 0% 1% 96% 100% 1% 0% 0% 0%
3 3% 7% 0% 1% 96% 100% 1% 0% 0% 0%
4 3% 7% 0% 1% 96% 100% 1% 0% 0% 0%
6 3% 7% 0% 1% 96% 100% 2% 0% 0% 0%
في هذه المرحلة، إذا قررت تكوين قائمة تحكم في الوصول (ACL) أخرى باستخدام علامة TCP فريدة (أو مجموعة من علامات TCP التي تجعلها فريدة) وطبقت هذا على واجهة، فيجب عليك برمجة علامة TCP جديدة (أو مجموعة من العلامات) إلى سجل TCP. ومع ذلك، لا توجد سجلات أجهزة متاحة. في هذه الحالة، تقوم ببناء جسر على الواجهة بأكملها.
Sup2T(config)#ip access-list extended a29
Sup2T(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.1.2 psh rst
Sup2T(config-if)#int vlan 29
Sup2T(config-if)#ip access-group a29 in
*Oct 6 13:57:47.612: %FMCORE-4-RACL_REDUCED: Interface Vlan29 routed traffic
will be software switched in ingress direction. L2 features may not be applied
at the interface
Sup2T#show platform hardware acl entry interface vlan 29 security in ip
mls_if_index:2000001D dir:0 feature:0 proto:0
pass#0 features
fno:0
tcam:B, bank:1, prot:0 Aces
Bridge ip any any
دراسة حالة إستخدام سجل LOU #2 - 100٪
تذكر أن وحدات LOU هي مورد محدود - يمكنك أيضا نفاد المساحة المتاحة لها. يمكنك مراقبة إستخدام LOU باستخدام هذا الأمر:
Sup2T#show platform hardware capacity acl
Classification Mgr Tcam Resources
Key: Ttlent - Total TCAM entries, QoSent - QoS TCAM entries, LOU - LOUs,
RBLent - RBACL TCAM entries, Lbl - Labels, TCP - TCP Flags,
Dstbl - Destinfo Table, Ethcam - Ethertype Cam Table,
ACTtbl - Accounting Table, V6ext - V6 Extn Hdr Table
Module Ttlent QoSent RBLent Lbl LOU TCP Dstbl Ethcam ACTtbl V6ext
1 2% 7% 0% 1% 1% 0% 1% 0% 0% 0%
3 2% 7% 0% 1% 1% 0% 1% 0% 0% 0%
4 2% 7% 0% 1% 1% 0% 1% 0% 0% 0%
6 2% 7% 0% 1% 1% 0% 2% 0% 0% 0%
قم بقياس قوائم التحكم في الوصول لاستخدام المزيد من وحدات LOU. بعد تثبيت العديد من قوائم التحكم في الوصول (ACL) (باستخدام أمر النطاق الذي يأخذ سجلي LOU، كلا من A و B)، يوضح هذا المثال إستخدام LOU بنسبة 96٪:
Sup2T#show platform hardware capacity acl
Classification Mgr Tcam Resources
Key: Ttlent - Total TCAM entries, QoSent - QoS TCAM entries, LOU - LOUs,
RBLent - RBACL TCAM entries, Lbl - Labels, TCP - TCP Flags,
Dstbl - Destinfo Table, Ethcam - Ethertype Cam Table,
ACTtbl - Accounting Table, V6ext - V6 Extn Hdr Table
Module Ttlent QoSent RBLent Lbl LOU TCP Dstbl Ethcam ACTtbl V6ext
1 3% 7% 0% 1% 96% 0% 1% 0% 0% 0%
3 3% 7% 0% 1% 96% 0% 1% 0% 0% 0%
4 3% 7% 0% 1% 96% 0% 1% 0% 0% 0%
6 3% 7% 0% 1% 96% 0% 2% 0% 0% 0%
قم بإنشاء قائمة تحكم في الوصول (ACL) أخرى وطبق ذلك على واجهة من شأنها أن تتسبب في تجاوز إستخدام LOU 100٪.
Sup2T(config)#ip access-list extended a12
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1401 1410
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1411 1420
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1421 1430
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1431 1440
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1441 1450
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1451 1460
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1461 1470
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1471 1480
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1481 1490
Sup2T(config-ext-nacl)#$68.14.1 host 192.168.14.2 range 1491 1500
Sup2T(config-ext-nacl)#exit
Sup2T(config)#int vlan 12
Sup2T(config-if)#ip access-group a12 in
وصل المثال إلى إستخدام LOU بنسبة 100٪، ومع ذلك، لاحظ أنه لم يتم تلقي رسالة خطأ.
Sup2T#show platform hardware capacity acl
Classification Mgr Tcam Resources
Key: Ttlent - Total TCAM entries, QoSent - QoS TCAM entries, LOU - LOUs,
RBLent - RBACL TCAM entries, Lbl - Labels, TCP - TCP Flags,
Dstbl - Destinfo Table, Ethcam - Ethertype Cam Table,
ACTtbl - Accounting Table, V6ext - V6 Extn Hdr Table
Module Ttlent QoSent RBLent Lbl LOU TCP Dstbl Ethcam ACTtbl V6ext
1 3% 7% 0% 1% 100% 0% 1% 0% 0% 0%
3 3% 7% 0% 1% 100% 0% 1% 0% 0% 0%
4 3% 7% 0% 1% 100% 0% 1% 0% 0% 0%
6 3% 7% 0% 1% 100% 0% 2% 0% 0% 0%
هذا إختبار آخر. الآن بعد أن أصبحت الوحدة قابلة للتشغيل بنسبة 100٪، خذ نقطة وصول L4Op بسيطة جدا وحاول تثبيتها لواجهة. تكوين قائمة التحكم في الوصول (ACL) هذه:
Sup2T#show ip access-lists a13
Extended IP access list a13
10 permit tcp host 192.168.14.1 host 192.168.14.2 range 1600 1650
طبقت هذا داخل أن يواجه VLAN 13.
Sup2T#show run int vlan 13
Building configuration...
Current configuration : 87 bytes
!
interface Vlan13
ip address 192.168.13.1 255.255.255.0
ip access-group a13 in
end
نظرت في TCAM ل هذا VLAN الآن:
Sup2T#show platform hardware acl entry interface vlan 13 sec in ip
mls_if_index:2000000D dir:0 feature:0 proto:0
pass#0 features
fno:0
tcam:B, bank:0, prot:0 Aces
Permit tcp host 192.168.14.1 host 192.168.14.2 eq 1650
Permit tcp host 192.168.14.1 host 192.168.14.2 range 1648 1649
Permit tcp host 192.168.14.1 host 192.168.14.2 range 1632 1647
Permit tcp host 192.168.14.1 host 192.168.14.2 range 1600 1631
Permit tcp host 192.168.14.1 host 192.168.14.2 fragments
L3_Deny ip any any
تم توسيع عمليات التشغيل L4Ops. إذا نظرت إلى جدول Capmap لملصق TCAM هذا، سترى أنه لا يوجد شيء مثبت.
Sup2T#show platform hardware acl entry interface vlan 13 sec in ip detail
mls_if_index:2000000D dir:0 feature:0 proto:0
pass#0 features
UAPRSF: U-urg, A-ack, P-psh, R-rst, S-syn, F-fin
MLGFI: M-mpls_plus_ip_pkt, L-L4_hdr_vld, G-gpid_present,F-global_fmt_match, I-ife/ofe
's' means set; 'u' means unset; '-' means don't care
---------------------------------------------------------------
---------------------------------------------------------------
---------------------------------------------------------------
---------
I INDEX LABEL FS ACOS AS IP_SA SRC_PORT
IP_DA DST_PORT F FF L4PROT TCP-F:UAPRSF MLGFI OtherL4OPs
RSLT CNT
----------------------------------------------------------------
----------------------------------------------------------------
----------------------------------------------------------------
------
fno:0
tcam:B, bank:0, prot:0 Aces
I V 16136 14 0 0 0 192.168.14.1 - 192.168.14.2
1650 0 0 1 - ----- - 0x0000000000000038
0
I M 16136 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
0xFFFF 0 0 0xF
I V 16137 14 0 0 0 192.168.14.1 - 192.168.14.2
1648 0 0 1 - ----- - 0x0000000000000038
0
I M 16137 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
0xFFFE 0 0 0xF
I V 16138 14 0 0 0 192.168.14.1 - 192.168.14.2
1632 0 0 1 - ----- - 0x0000000000000038
0
I M 16138 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
0xFFF0 0 0 0xF
I V 16139 14 0 0 0 192.168.14.1 - 192.168.14.2
1600 0 0 1 - ----- - 0x0000000000000038
0
I M 16139 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
0xF
I V 16140 14 0 0 0 192.168.14.1 - 192.168.14.2
- 1 0 1 - ----- - 0x0000000000000038
0
Sup2T#show platform software acl capmap tcam B label 14
Shadow Capmap Table Entry For TCAM B
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2] [1]
[0]
----- ----- ---------------- ---------------- ---------------- ----------------
---------------- ---------------- ---------------- ---------------- -----------
----- ----------------
14 9 212/0/1 Free Free Free
Free Free Free Free Free
Free
هنا توضيح لما حدث. نظرا لأن سجلات LOU ممتلئة، لم يعد بإمكانك تثبيت أي عمليات L4Ops جديدة هناك ولا يمكن الإشارة إلى أي شيء في جدول Capmap. في هذه المرحلة، ما زلت تحاول تثبيت عمليات التشغيل L4Ops في TCAM من خلال توسيعها. إذا كانت عمليات التشغيل L4OPS غير قابلة للتوسيع، فعندئذ يمكنك إستخدام البرنامج تبديل الواجهة بالكامل في الإتجاه المحدد.
ماذا يعني إستخدام سجل LOU بنسبة 100٪؟ تبدأ وحدة TCAM في التعبئة بسرعة (بسبب توسيع L4Op). إن يحاول أنت أن يركب غير قابل للتوسيع L4Ops، بعد ذلك مع الحالي تنفيذ، أنت قارن كامل يحصل برمجية يجسر.
كما هو الحال الآن، يتم توليد خطأ فقط عندما تحاول تثبيت L4Op غير قابل للتوسيع في مثل هذه الحالة. عدل هذا المثال قائمة التحكم في الوصول (ACL) الحالية A13 التي تم تطبيقها على شبكة VLAN رقم 13 مع إضافة نقطة وصول L4Op غير قابلة للتوسيع.
Sup2T(config)#ip access-list extended a13
Sup2T(config-ext-nacl)#permit tcp host 192.168.14.1 host 192.168.14.2 dscp 40
Oct 5 04:50:13.104: %FMCORE-4-RACL_REDUCED: Interface Vlan13 routed traffic will
be software switched in ingress direction. L2 features may not be applied at the
interface
Oct 5 04:50:13.096: %EARL_CM-DFC3-5-NOLOU: No free LOU entry available on the EARL
Oct 5 04:50:13.096: %EARL_CM-DFC1-5-NOLOU: No free LOU entry available on the EARL
Oct 5 04:50:13.096: %EARL_CM-DFC4-5-NOLOU: No free LOU entry available on the EARL
Sup2T#show platform hardware acl entry interface vlan 13 security in ip
mls_if_index:2000000D dir:0 feature:0 proto:0
pass#0 features
fno:0
tcam:B, bank:0, prot:0 Aces
Bridge ip any any
دراسة حالة رقم 3 - برمجة جودة الخدمة مع L4OPS
قد تشير سياسات QoS أيضا إلى L4Ops، ويجب تثبيت L4Ops هذه مثل أي L4Op آخر. وهذا يعني ضمنا أن كل واجهة، حتى بالنسبة لسياسات جودة الخدمة الخاصة بك، ستكون مقيدا بالقيود التي ترتبط بجداول المخطط التفصيلي ووحدات LOU بطبيعتها. هنا مثال لتوضيح ذلك بطريقة بسيطة:
Sup2T#show ip access-lists a1
Extended IP access list a1
10 permit tcp host 192.168.1.10 host 192.168.2.10 dscp ef
Sup2T#show class-map a1-class
Class Map match-all a1-class (id 37)
Match access-group name a1
Sup2T#show policy-map a1-policy
Policy Map a1-policy
Class a1-class
police cir 80000 bc 2500
conform-action transmit
exceed-action drop
يحتوي هذا المثال على خريطة سياسة تطابق خريطة فئة تدعو قائمة الوصول A1 التي تطابق حركة المرور من 192.168.1.10 إلى 192.168.2.10 التي يتم تعليمها بإعادة التوجيه السريع (EF). المطابقة في قيمة DSCP هي عملية غير قابلة للتوسيع من الفئة L4Op، وهذا مطلوب لبرمجتها في سجل LOU، وتمت الإشارة إليها من خلال إدخال في جدول Capmap. تم تثبيت خريطة النهج هذه الآن في gig3/23.
Sup2T#show run int gig3/23
Building configuration...
Current configuration : 176 bytes
!
interface GigabitEthernet3/23
switchport
switchport trunk allowed vlan 1-30
switchport mode trunk
service-policy input a1-policy
end
للنظر إلى برمجة جودة الخدمة لواجهة، أستخدم هذا الأمر:
Sup2T#show platform hardware acl entry interface gig3/23 qos in ip module 3
mls_if_index:8096000 dir:0 feature:1 proto:0
pass#0 features
fno:0
tcam:A, bank:0, prot:0 Aces
0x0000E0100000D00B tcp host 192.168.1.10 host 192.168.2.10 dscp eq 46
0x000000000080D00B ip any any
يمنحك تفصيل هذا الأمر ما هي تسمية TCAM المستخدمة لها على هذه الواجهة.
Sup2T#show platform hardware acl entry interface gig3/23 qos in ip detail module 3
mls_if_index:8096000 dir:0 feature:1 proto:0
pass#0 features
UAPRSF: U-urg, A-ack, P-psh, R-rst, S-syn, F-fin
MLGFI: M-mpls_plus_ip_pkt, L-L4_hdr_vld, G-gpid_present,F-global_fmt_match, I-ife/ofe
's' means set; 'u' means unset; '-' means don't care
-----------------------------------------------------------------------
-----------------------------------------------------------------------
--------------------------------------------------------
I INDEX LABEL FS ACOS AS IP_SA SRC_PORT
IP_DA DST_PORT F FF L4PROT TCP-F:UAPRSF MLGFI OtherL4OPs
RSLT CNT
------------------------------------------------------------------------------------
------------------------------------------------------------------------------------
------------------------------
fno:0
tcam:A, bank:0, prot:0 Aces
I V 16238 2 0 0 0 192.168.1.10 - 192.168.2.10
- 0 0 1 - ----- dscp=46; 0x0000E0100000D00B
0
I M 16238 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
- 0 0 0xF
I V 16239 2 0 0 0 0.0.0.0 - 0.0.0.0
- 0 0 0 - ----- - 0x000000000080D00B
0
I M 16239 0x1FFF 0 0x00 0x000 0.0.0.0 - 0.0.0.0
- 0 0 0x0
ملصق TCAM المستخدم هو 2. أنظر إلى جدول Capmap لهذا الآن:
Sup2T#show platform software acl capmap tcam A label 2 module 3
Shadow Capmap Table Entry For TCAM A
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2] [1]
[0]
----- ----- ---------------- ---------------- ---------------- ----------------
---------------- ---------------- ---------------- ---------------- -----------
----- ----------------
2 8 212/0/1 Free Free Free
Free Free Free Free Free 2/1/1
ملاحظة: بالنسبة ل QoS TCAM، يجب تحديد رقم الوحدة النمطية. ومن دون هذا فإن الناتج لا يسفر عن أي نتائج.
Sup2T#show platform software acl capmap mapping
L4op_sel value Reference
============== =========
0 ------ LOU0 B register
1 ------ LOU0 A register
2 ------ LOU1 B register
3 ------ LOU1 A register
*snip*
قيمة LOU 2 نقطة إلى LOU1، سجل ب. يمكنك تأكيد هذه البرمجة باستخدام هذا الأمر:
Sup2T#show platform hardware acl lou
Dumping h/w lou values
Index lou_mux_sel A_Opcode A_Value B_Opcode B_Value
----- ----------- -------- ------- -------- -------
0 7 NEQ 0 NEQ 0
1 4 NEQ 0 NEQ 46
2 1 NEQ 0 NEQ 0
*snip*
اعمل على زيادة نطاق التكوين.
Sup2T#show ip access-lists a1
Extended IP access list a1
10 permit tcp host 192.168.1.10 host 192.168.2.10 dscp ef
20 permit tcp host 192.168.2.11 host 192.168.2.11 dscp ef
30 permit tcp host 192.168.3.11 host 192.168.3.11 dscp ef
40 permit tcp host 192.168.4.11 host 192.168.4.11 dscp ef
50 permit tcp host 192.168.5.11 host 192.168.5.11 dscp ef
60 permit tcp host 192.168.6.11 host 192.168.6.11 dscp ef
70 permit tcp host 192.168.7.11 host 192.168.7.11 dscp ef
80 permit tcp host 192.168.8.11 host 192.168.8.11 dscp ef
Sup2T#show platform software acl capmap tcam A label 2 module 3
Shadow Capmap Table Entry For TCAM A
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2] [1]
[0]
----- ----- ---------------- ---------------- ----------------
---------------- ---------------- ---------------- ----------
------ ---------------- ---------------- ----------------
2 8 212/0/1 Free Free Free
Free Free Free Free Free 2/1/8
لا يستخدم هذا الإجراء أي إدخالات أخرى، بل يزيد من عدد المراجع المجمعة مقابل الإدخال الأول نفسه، وهو أمر منطقي. من منظور جدول Capmap وسجل LOU، لا يوجد أي اهتمام بالمصدر والوجهة. يقوم هذا ببساطة بتخزين معلومات البروتوكول الاختياري L4Op. ونظرا لأنه يطابق قيمة DSCP نفسها في جميع إدخالات التحكم في الوصول، فأنت بحاجة إلى إدخال واحد فقط لقيمة DSCP تلك.
قم بتعديل هذا حتى تستخدم تسع قيم DSCP مختلفة.
Sup2T#show ip access-lists a1
Extended IP access list a1
10 permit tcp host 192.168.1.10 host 192.168.2.10 dscp af11
20 permit tcp host 192.168.2.11 host 192.168.2.11 dscp af12
30 permit tcp host 192.168.3.11 host 192.168.3.11 dscp af13
40 permit tcp host 192.168.4.11 host 192.168.4.11 dscp af21
50 permit tcp host 192.168.5.11 host 192.168.5.11 dscp af22
60 permit tcp host 192.168.6.11 host 192.168.6.11 dscp af23
70 permit tcp host 192.168.7.11 host 192.168.7.11 dscp af31
80 permit tcp host 192.168.8.11 host 192.168.8.11 dscp af32
90 permit tcp host 192.168.9.11 host 192.168.9.11 dscp af33
الآن إذا نظرتم إلى جدول Capmap، سترون أنه ممتلئ:
Sup2T#show platform software acl capmap tcam A label 2 module 3
Shadow Capmap Table Entry For TCAM A
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2]
[1] [0]
----- ----- ---------------- ---------------- ---------------- -----------
----- ---------------- ---------------- ---------------- ----------------
---------------- ----------------
2 0 212/0/1 10/1/1 9/1/1 8/1/1
7/1/1 6/1/1 5/1/1 4/1/1 3/1/1
2/1/1
فيما يلي ما يحدث إذا حاولت تثبيت إدخال آخر غير قابل للتوسيع يستند إلى L4OP:
Sup2T(config-ext-nacl)#permit tcp host 192.168.10.11 host 192.168.10.11 dscp 2
Sup2T(config-ext-nacl)#end
%QM-4-TCAM_ENTRY: Hardware TCAM entry programming failed for slot 3 intf Gi3/23
dir IN: <CONFIG_UPDATE_REQ> TCAM Req Error: FAIL (4): Low TCAM Entries (1)
%QM-4-TCAM_ENTRY: Hardware TCAM entry programming failed for slot 3 intf Gi3/23
dir IN: <CONFIG_UPDATE_REQ> TCAM Req Error: FAIL (4): Low TCAM Entries (1)
%QM-4-TCAM_ENTRY: Hardware TCAM entry programming failed for slot 3 intf Gi3/23
dir IN: <CONFIG_UPDATE_REQ> TCAM Req Error: FAIL (4): Low TCAM Entries (1)
%QM-4-TCAM_ENTRY: Hardware TCAM entry programming failed for slot 3 intf Gi3/23
dir IN: <CONFIG_UPDATE_REQ> TCAM Req Error: FAIL (4): Low TCAM Entries (1)
%QM-4-TCAM_ENTRY: Hardware TCAM entry programming failed for slot 3 intf Gi3/23
dir IN: <CONFIG_UPDATE_REQ> TCAM Req Error: FAIL (4): Low TCAM Entries (1)
%FMCORE-6-RACL_ENABLED: Interface GigabitEthernet3/23 routed traffic is hardware
switched in ingress direction
Oct 20 17:12:54.304: %EARL_CM-DFC3-5-NOCAPMAP: No free capmap entry available
انظر إلى TCAM لهذه الواجهة الآن:
Sup2T#show platform hardware acl entry interface gig3/23 qos in ip module 3
mls_if_index:8096000 dir:0 feature:1 proto:0
Couldnt find feature for mls_if_index 0x8096000, dir 0
لم يتم تثبيت أي من ميزات جودة الخدمة في TCAM لهذه الواجهة بعد الآن.
لاحظ أن العلامة لا تستهلك أي عمليات تشغيل من المستوى الرابع. لذلك إذا كانت لديك قائمة تحكم في الوصول (ACL) بسيطة ليس بها L4OPS وقمت بتعيين قيمة DSCP على تطابق، فلن يتم إستخدام أي سجلات LOU لهذا. فيما يلي مثال:
Sup2T#show policy-map a1-policy
Policy Map a1-policy
Class a1-class
set dscp ef
Sup2T#show class-map a1-class
Class Map match-all a1-class (id 37)
Match access-group name a1
Sup2T#show ip access-lists a1
Extended IP access list a1
10 permit tcp host 192.168.1.1 host 192.168.2.1
يطبق هذا إلى قارن gig3/23:
Sup2T#show run interface gig3/23
Building configuration...
Current configuration : 176 bytes
!
interface GigabitEthernet3/23
switchport
switchport trunk allowed vlan 1-30
switchport mode trunk
service-policy input a1-policy
end
Sup2T#show platform hardware acl entry interface gig3/23 qos in ip detail module 3
mls_if_index:8096000 dir:0 feature:1 proto:0
pass#0 features
UAPRSF: U-urg, A-ack, P-psh, R-rst, S-syn, F-fin
MLGFI: M-mpls_plus_ip_pkt, L-L4_hdr_vld, G-gpid_present,F-global_fmt_match, I-ife/ofe
's' means set; 'u' means unset; '-' means don't care
----------------------------------------------------------------
----------------------------------------------------------------
---------------------------------------------------------------
-------
I INDEX LABEL FS ACOS AS IP_SA SRC_PORT
IP_DA DST_PORT F FF L4PROT TCP-F:UAPRSF MLGFI OtherL4OPs
RSLT CNT
---------------------------------------------------------------
---------------------------------------------------------------
---------------------------------------------------------------
---------
fno:0
tcam:A, bank:0, prot:0 Aces
I V 16238 3 0 0 0 192.168.1.1 - 192.168.2.1
- 0 0 1 - ----- - 0x0000E010005D100B
0
I M 16238 0x1FFF 0 0x00 0x000 255.255.255.255 - 255.255.255.255
- 0 0 0xF
I V 16239 3 0 0 0 0.0.0.0 - 0.0.0.0
- 0 0 0 - ----- - 0x000000000080D00B
0
I M 16239 0x1FFF 0 0x00 0x000 0.0.0.0 - 0.0.0.0
- 0 0 0x0
Sup2T#show platform software acl capmap tcam A label 3 module 3
Shadow Capmap Table Entry For TCAM A
-----------------------------------------------------------------------
Output in a RST/INV/CNT format: RST - result value; INV - inverted;
CNT - aggregated reference account;
CBF - number of free cap bits (one per entry);
Free items are not shown
-----------------------------------------------------------------------
Index CBF [9] [8] [7] [6]
[5] [4] [3] [2] [1]
[0]
----- ----- ---------------- ---------------- ---------------- ----------------
---------------- ---------------- ---------------- ---------------- -----------
----- ----------------
3 9 212/0/1 Free Free Free
Free Free Free Free Free
Free
دراسة الحالة رقم 4 - تتسبب قوائم التحكم في الوصول (ACL) المزدوجة إلى إستهلاك CAPMAP
في هذا المثال، هناك واجهة تم تكوينها لاستخدام كل من قوائم التحكم في الوصول (ACL) إلى IPv4 و IPv6 التي تقوم بإنشاء هذه الأخطاء عند ترقية الواجهة:
%EARL_CM-5-NOCAPMAP: No free capmap entry available
%FMCORE-4-RACL_REDUCED: Interface Vlan500 routed traffic will be software switched in ingress direction.
L2 features may not be applied at the interface
ومع ذلك، إذا تمت إزالة قائمة التحكم في الوصول (ACL) إلى IPv4 فقط، ثم تمت تهيئتها إلى نفس الواجهة التي اكتملت برمجة الأجهزة بنجاح ولم يعد الخطأ قد تم إنشاؤه.
على سبيل المثال، يتم تكوين قوائم التحكم في الوصول (ACL) هذه ضمن SVI:
Switch#sh ip access-lists INGRESS
Extended IP access list INGRESS
10 permit tcp host 1.1.1.1 host 1.1.1.2 range 1 10
20 permit tcp host 1.1.1.3 host 1.1.1.4 range 10 ftp-data
30 permit tcp host 2.1.1.3 host 2.1.1.4 range 30 40
40 permit tcp host 2.1.1.3 host 2.1.1.4 range 85 100
50 permit tcp host 2.1.1.3 host 10.1.1.1 range 222 333
60 permit tcp host 20.5.4.3 host 10.100.100.1 range www 443
70 permit tcp host 200.50.4.3 host 11.11.11.1 range 800 813
80 permit tcp host 200.50.40.30 host 12.12.11.1 range 50 60
90 permit tcp host 13.13.13.3 host 14.14.14.3 range gopher 90
100 permit tcp host 23.23.23.3 host 14.14.10.1 range 123 345
110 permit udp host 123.123.123.1 range 50 60 host 23.23.23.1 range 10 20
120 permit udp host 45.45.43.1 range 1000 1010 host 1.1.1.1 range 50 65
130 permit tcp host 78.78.78.1 range 89 95 host 2.3.4.5 range 1111 1200
140 permit tcp host 5.5.5.50 eq 65000 host 5.4.5.4
150 permit tcp host 5.15.5.150 range 1200 1250 host 1.7.8.4 range 45 65
Switch#show ipv6 access-list DENY-ALL-V6
IPv6 access list DENY-ALL-V6
permit udp FE80::/64 host FF02::66 eq 2000 sequence 10
deny ipv6 any any sequence 20
كما هو موضح في المثال السابق، تحتوي قائمة التحكم في الوصول (ACL) ل IPv4 على أكثر من تسعة عمليات تشغيل فريدة قابلة للتوسعة من المستوى الرابع. تحت واجهة تم تكوينها باستخدام IPv4 فقط، سيتم توسيع هذه الواجهة حسب الحاجة لعدم استنفاد جدول Capmap.
وعند برمجة هذه المكونات في أجهزة TCAM في بيئة مكدس مزدوج، يبدأ المحول بقوائم التحكم في الوصول (ACL) الخاصة ب IPv4 أولا. مع عدم وجود إدخالات حرة كافية في جدول Capmap، يوسع المحول بعض عمليات L4Ops القابلة للتوسعة لملء جدول Capmap دون تجاوزه. والنتيجة هي أن عدد الإدخالات المجانية في الجدول هو 0 الآن، مما يعني أنه لا توجد الآن أي إدخالات متاحة لبرمجة عملية L4Op غير القابلة للتوسيع المطلوبة عند الانتقال إلى برمجة قائمة التحكم بالوصول الخاصة ب IPv6 بعد ذلك.
عندما تقوم بإزالة قائمة التحكم في الوصول (ACL) الخاصة بالإصدار IPv4 فقط، يزداد عدد الإدخالات الحرة في جدول Capmap، ويتم الآن برمجة قائمة التحكم في الوصول الخاصة بالإصدار IPv6 بشكل صحيح في الأجهزة واستخدام أحد إدخالات Capmap التي تم تحريرها حديثا. عند إعادة تطبيق قائمة التحكم في الوصول (ACL) إلى IPv4 على تكوين الواجهة، يحدث نفس التوسيع مرة أخرى. يتم الآن فقط توسيع إدخال IPv4 إضافي واحد كنتيجة لقائمة التحكم بالوصول (ACL) إلى IPv6 التي تستخدم قيمة Capmap حرة لأعلى. ونظرا لأن جميع عمليات التشغيل من المستوى الرابع قابلة للتوسيع في قائمة التحكم في الوصول هذه، فإن البرمجة تنجح.
لمنع الإزالة اليدوية وإضافة قائمة التحكم بالوصول (ACL) إلى IPv4 للسماح بدمج الإدخالات في الأجهزة، تم إنشاء تحسين لتغيير خوارزمية دمج TCAM في مثل هذه السيناريوهات. راجع معرف تصحيح الأخطاء من Cisco CSCuq24924 للحصول على مزيد من المعلومات.
ونتيجة لهذا التحسين، سيكون لإصدارات البرامج "المثبتة" الآن خيار قابل للتكوين في التكوين العام يغير طريقة برمجة عمليات التشغيل من المستوى الرابع في حالات مثل نشر قائمة التحكم في الوصول (ACL) لبروتوكول IPv4/v6 ثنائي المكدس. هذا هو تغيير التكوين الذي يمكن إجراؤه
Switch(config)#platform hardware acl tcam-exp-logic enable
ملاحظة: نظرا للتغييرات التي أدخلت نتيجة لهذا التحسين، يجري توسيع نطاق عمليات التشغيل القابلة للتوسيع من المستوى الرابع بمعدل أكبر من المعدل الطبيعي، وقد يؤدي ذلك إلى زيادة كبيرة في إستخدام نظام TCAM نتيجة للتوسع.
تمت المساهمة بواسطة مهندسو Cisco
- Aninda ChatterjeeCisco TAC Engineer
التعليقاتاتصل بنا
- فتح حالة دعم
- (تتطلب عقد خدمة Cisco)