المقدمة
يصف هذا المستند حلول مشكلة موارد TCAM.
أخطاء TCAM الشائعة
٪ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD وصل إستخدام TCAM 0 إلى الحد المسموح به
٪ACLMGR-3-ACLMGR_VERIFY_FAIL فشل التحقق: العميل 8200016E، لا تتوفر إدخالات حرة كافية في TCAM Bank
"خطأ: فشل إدخال TCAM بسبب قيود TCAM ل Spanslogic" — على وحدات XL فقط
للحصول على المزيد من قيود TCAM الخاصة ب Spantlogic، يرجى الرجوع إلى .
إستخدام موارد قائمة التحكم في الوصول (ACL) الخاصة بالأجهزة
:
إظهار الوحدة النمطية لاستخدام مورد قائمة الوصول إلى الأجهزة <mod>
SITE1-AGG1# show hardware access-list resource utilization mod 3
INSTANCE 0x0
-------------
ACL Hardware Resource Utilization (Mod 3)
--------------------------------------------
Used Free Percent
Utilization
-----------------------------------------------------
Tcam 0, Bank 0 9 16375 0.05
Tcam 0, Bank 1 2 16382 0.01
Tcam 1, Bank 0 7 16377 0.04
Tcam 1, Bank 1 246 16138 1.50
LOU 3 101 2.88
Both LOU Operands 2
Single LOU Operands 1
LOU L4 src port: 0
LOU L4 dst port: 1
LOU L3 packet len: 0
LOU IP tos: 0
LOU IP dscp: 0
LOU ip precedence: 0
LOU ip TTL: 0
TCP Flags 0 16 0.00
Protocol CAM 4 3 57.14
Mac Etype/Proto CAM 9 5 64.28
Non L4op labels, Tcam 0 2 6141 0.03
Non L4op labels, Tcam 1 3 6140 0.04
L4 op labels, Tcam 0 0 2047 0.00
L4 op labels, Tcam 1 1 2046 0.04
Ingress Dest info table 131072 510 0.39
Egress Dest info table 65536 511 0.19
SITE1-AGG1#
الخيارات
فيما يلي بعض الخيارات عندما يكون إستخدام TCAM مرتفعا.
- تحديث ذري
الأمر: لا يوجد تحديث ذري لقائمة الوصول إلى الأجهزة
- تعطيل الإحصائيات لكل إدخال في جميع قوائم التحكم في الوصول (ACLs)
الأمر: لا توجد إحصائيات لكل إدخال
- معالجة الأجزاء
الأمر: الأجزاء deny-all/permit-all
- عتبة توسيع ACE
الأمر: حد موارد وحدة التحكم في قائمة وصول الأجهزة
- تجميع الموارد (لا يؤثر ذلك على الخدمة نظرا لعدم نقل الإدخالات الموجودة)
الأمر: أمر تجميع موارد قائمة وصول الأجهزة <x>
تحديث ذري
بشكل افتراضي، تقوم N7K بتحديث قائمة التحكم في الوصول الذرية (ACL) إلى وحدة نمطية عندما يكون هناك تغيير في قائمة التحكم في الوصول. لا يؤدي التحديث الذري إلى تعطيل حركة المرور التي تنطبق عليها قائمة التحكم في الوصول (ACL) المحدثة. ومع ذلك، يتطلب التحديث الذري أن تحتوي وحدة الإدخال/الإخراج التي تتلقى تحديث قائمة التحكم في الوصول (ACL) على موارد متوفرة كافية لتخزين كل إدخال قائمة تحكم في الوصول (ACL) محدث بالإضافة إلى جميع الإدخالات الموجودة مسبقا في قائمة التحكم في الوصول (ACL) المتأثرة. بعد حدوث التحديث، يتم تحرير الموارد الإضافية المستخدمة للتحديث. إذا كانت وحدة الإدخال/الإخراج تفتقر إلى الموارد المطلوبة، يقوم الجهاز بإنشاء رسالة خطأ ويفشل تحديث قائمة التحكم في الوصول (ACL) لوحدة الإدخال/الإخراج النمطية.
إذا كانت وحدة الإدخال/الإخراج تفتقر إلى الموارد المطلوبة للتحديث الذري، يمكنك تعطيل التحديثات الذرية باستخدام
لا يوجد تحديث ذري لقائمة وصول الأجهزة
ومع ذلك، خلال المدة القصيرة المطلوبة للجهاز لإزالة قائمة التحكم في الوصول (ACL) الموجودة مسبقا وتنفيذ قائمة التحكم في الوصول (ACL) المحدثة، يتم إسقاط حركة المرور التي تنطبق عليها قائمة التحكم في الوصول (ACL) بشكل افتراضي. إذا كنت تريد السماح بجميع حركة المرور التي تنطبق عليها قائمة التحكم في الوصول، بينما تتلقى تحديث غير ذري. أستخدم أمر تحديث قائمة وصول الأجهزة default-result permit.
ملاحظة: إذا كان التحديث الذري وغير الذري ممكن (لنفترض أن TCAM لديها مساحة حرة كافية)، فمن المفضل أن يتم التحديث الذري. إذا لم يكن هناك مساحة حرة كافية لإجراء تحديث ذري، ثم غير الذري يتم تجريبه. لذلك التنفيذ الحالي دائما يحاول الذرة أولا، حتى عندما يكون التحديث الذري معطلا. ومع ذلك، في الوقت الحالي، عند الفشل بسبب قيود Spanslogic، لا يتم تحويلها إلى غير ذري، ويتم تصنيف CSCud36802 لمعالجة هذا الأمر (سيتم إصلاحه في فريتاون اعتبارا من اليوم).
ملاحظة: عند محاولة إزالة ACE بينما يكون إستخدام TCAM مرتفعا، نظرا لأن التحديث الذري يتم تجريبه دائما أولا كما هو مذكور أعلاه، يمكن الوصول إلى تفاوتات Spanslogic وتم تصنيف CSCua24513 لمعالجة هذه المشكلة (تم إصلاحه في 5.2.7).
الإحصائيات لكل إدخال
بشكل افتراضي، تحاول N7K دمج الميزات عند برمجة TCAM، مما يساعد في حفظ مورد TCAM. عند تكوين إحصائيات لكل إدخال، لا يتم دمج الإدخالات للحفاظ على حالة إدخالات التحكم في الوصول لكل فرد، وفي هذه الحالة يمكن أن يتطلب ذلك مزيدا من الموارد.
لا يؤثر هذا الأمر على العرض نظرا لأن معالجة قائمة التحكم في الوصول (ACL) موجودة دائما في الجهاز.
هناك خياران لعرض الإحصائيات:
show ip access-list <acl>
ملاحظة: يعرض عدادات إدخالات الأجهزة التي يتم الوصول إليها فقط والتي تمت برمجتها من نوع السياسة PACL/RACL (على سبيل المثال، قائمة التحكم في الوصول المطبقة على الواجهات)
إظهار الوحدة النمطية لتفاصيل إدخالات قائمة الوصول الداخلية للأجهزة <x>
ملاحظة: يتم إستخدام قائمة التحكم في الوصول (ACL) المستخدمة داخل سياسة CoPP لتصنيف الحزم. قرار حول ما إذا كان السماح/الرفض/تحديد المعدل يتم تنفيذ الحزمة بواسطة سياسة جودة خدمة مستوى التحكم/تكوين خريطة الفئة. إجراءات السماح/الرفض المحددة في قائمة التحكم في الوصول غير فعالة عند إستخدامها داخل نهج النسخ.
إذا قمت بتمكين الإحصائيات على قائمة التحكم في الوصول ل CoPP وحتى إذا كنت تستخدم قائمة التحكم في الوصول نفسها داخل خريطة فئة CoPP، فإن show ip access <acl> لن تعكس هذا السبب بسبب السبب أعلاه. وبشكل أساسي، تتم برمجة قائمة التحكم في الوصول (ACL) المستخدمة داخل سياسة جودة خدمة CoPP على أنها نوع النهج - جودة الخدمة. إذا كنت ترغب في رؤية الحزم التي تضرب سياسة جودة خدمة CoPP control-plane، يمكن إستخدام هذا الأمر:
إظهار الوحدة النمطية لتفاصيل إدخالات قائمة الوصول الداخلية للنظام <x> | b CoPP
معالجة الأجزاء
يقوم نموذج البرمجة الافتراضي بإنشاء إدخال جزء متواز غير أولي في الأجهزة لكل ACE. ويطابق هذا الإدخال نفس عناوين IP للمصدر/الوجهة والبروتوكول كإدخال تحكم في الوصول (ACE) أصلي، ولكن بدون معلومات منفذ L4 والمطابقة على الأجزاء غير الأولية.
ملاحظة: لم تتم برمجة إدخالات الجزء لقوائم التحكم في الوصول (ACEs) من المستوى الثالث على محركات إعادة التوجيه بخلاف XL.
ينتج عن معالجة الأجزاء الافتراضية إستخدام 2X CL TCAM. يتم توفير مقبض التكوين للسماح بجميع الأجزاء غير الأولية أو رفضها:
أجزاء {allowed-all | deny-all}
يحسن إستخدام CL TCAM - يستهلك إدخال CL TCAM واحد لقائمة التحكم بالوصول (مقابل إدخال واحد لكل إدخال من إدخال L4 ACE)
حد توسيع ACE
تستخدم وحدات التحكم في الوصول (ACE) مشغلات L4 - النطاق، التركيز، التوجيه، neq. هناك طريقتان للبرامج لمعالجة مشغلات L4:
- تخصيص نقطة وصول L4op (مورد الأجهزة) وسجل LOU للبرنامج (مورد أجهزة آخر)
- قم بتوسيع ACE إلى إدخالات EQ متعددة (أي إدخالات CL TCAM)
عناصر التحكم في حد مورد قائمة الوصول الخاصة بالأجهزة للأمر العام عند حدوث الخيار 1 مقابل الخيار 2 ل ACE. تتحكم عتبة التوسعة عند حدوث التوسعة، الحد الافتراضي هو 5. إذا كان يمكن توسيع ACE إلى <=5 إدخالات CL TCAM، فلا يتم تخصيص L4op.
ميزات/سلبيات:
- تؤدي التوسعة إلى زيادة إستهلاك إدخال TCAM
- إستخدام L4op/LOU محدود بواسطة L4ops لكل تسمية (10) وسجلات LOU (208)
تجمع الموارد
أ. ك. أ. يشرح بالتفصيل في
معلومات ذات صلة
معرف تصحيح الأخطاء من Cisco CSCtd24377 AD-XL: قيود خوارزمية Spanslogic
لا يقوم معرف تصحيح الأخطاء من Cisco CSCuc98853 ACLQOS بتكريم رفض الجزء all/allow-all لخريطة المسار ل XL
شرائح تصنيف تيم ستيفنز