In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird erläutert, wie TCAM in Abhängigkeit von den auf einem Switch der Serie Nexus 7000 aktivierten Funktionen unerwartet überlastet ist.
Beschreibung des Problems
Wenn atomische Updates aktiviert sind, kann bei mehr als einer Funktion, wie RACL, NetFlow auf verschiedene Schnittstellen angewendet werden, dies zu TCAM-Überbelegungsfehlern führen, obwohl der Grenzwert von 50 % nicht erreicht wurde.
Beispiel: Mehrere Funktionen können auf die nachfolgenden Subschnittstellen nicht angewendet werden, obwohl die Nutzung 29,57 beträgt, während die Obergrenze 50 % beträgt (wenn atomische Updates aktiviert sind) und der folgende Fehler ausgelöst wird.
FEHLER: Status von Modul 1 zurückgegeben: Der TCAM wird überlastet. Aktivieren Sie die Ketten und/oder deaktivieren Sie die atomare Aktualisierung. Wenn die Bankverkettung auf anderen Modulen aktiviert ist und es sich um eine neue Line Card-Einsteckung handelt, aktivieren Sie bitte die Verkettung der Bank, bevor Sie dieses Modul neu laden.
Außerdem verlieren nach dem erneuten Laden alle Schnittstellen die Konfiguration und werden aus diesem Grund VDC 0 zugewiesen.
Atomare Updates, die auf dem Nexus 7000 standardmäßig aktiviert sind, ermöglichen die Nutzung von nur 50 % des gesamten TCAM. Die anderen 50 % sind reserviert, um ACL-Änderungen zu unterstützen und so unterbrechungsfreie Aktualisierungen von ACLs bereitzustellen. Weitere Informationen hierzu finden Sie unter den folgenden Links: Empfohlene Lektüre.
Folgende Themen werden empfohlen:
Atomare Updates
TCAM auf N7000
Die Informationen in diesem Dokument basieren auf den Labortests am N7718-Chassis des Moduls: N77-F312CK-26 mit Version 8.3(2)
Alle in diesem Dokument verwendeten Geräte haben mit einer Standardkonfiguration begonnen, und die bereitgestellten Funktionen sind RACL, NetFlow.
Erstkonfiguration:
Interface Ethernet 11/2: Layer-3; RACL
Interface Ethernet 11/2.300-302: Layer-3; RACL
Die TCAM-Nutzung mit nur angewendetem RACL lautet:
N7718(config-if)# show system internal access-list resource utilization module 11 | in "Tcam 1, Bank 0" across all instances:
Tcam 1, Bank 0 1211 2885 29.57
Tcam 1, Bank 0 1211 2885 29.57
Tcam 1, Bank 0 1211 2885 29.57
Hinweis: Es wird angenommen, dass die TCAM-Speichernutzung für die Ausgangs-RACL in diesem Dokument 29,57 % beträgt.
Einmal wird NetFlow nur auf die Hauptschnittstelle angewendet, verdoppelt sich die Schnittstellenauslastung, obwohl in dieser Situation die NetFlow-Konfiguration nur knapp 1 % Speicherplatz beansprucht.
Interface Ethernet 11/2: Layer-3; RACL; NetFlow
Interface Ethernet 11/2.300-302: Layer-3; RACL
Hier wurde NetFlow für die Hauptschnittstelle konfiguriert, während die Subschnittstelle kein NetFlow hat (Atomic Updates müssen deaktiviert werden, um dieses Verhalten zu beobachten).
N7718(config-if)# show system internal access-list resource utilization module 11 | in "Tcam 1, Bank 0"
Tcam 1, Bank 0 2394 1702 58.45
Tcam 1, Bank 0 2394 1702 58.45
Tcam 1, Bank 0 2394 1702 58.45
Hinweis: Falls atomische Updates noch aktiviert sind, wäre dieses Doppelungsverhalten nicht möglich, da die Obergrenze bei atomaren Updates nur 50 % beträgt und der folgende Fehler angezeigt wird:
FEHLER: Status von Modul 1 zurückgegeben: Der TCAM wird überlastet. Aktivieren Sie die Ketten und/oder deaktivieren Sie die atomare Aktualisierung. Wenn die Bankverkettung auf anderen Modulen aktiviert ist und es sich um eine neue Line Card-Einsteckung handelt, aktivieren Sie bitte die Verkettung der Bank, bevor Sie dieses Modul neu laden.
Erläuterung:
In diesem Fall gibt es hier zwei verschiedene Richtliniensätze. Ein Ziel hat nur RACL und ein anderes Ziel verfügt über RACL +NF. Daher werden zwei Gruppen von TCAM-Einträgen für dieselben Funktionen zugewiesen, wodurch das Verdoppelungsverhalten ausgelöst wird, das wir als tatsächliche Nutzung nur das Verhalten von 29,57 annehmen sollten.
Das Gerät erreicht dies, indem es zwei separate Labels für beide Schnittstellen generiert, wie im Folgenden beschrieben:
module-11# show system internal access-list interface e11/2 out statistics
INSTANCE 0x0
---------------
Tcam 1 resource usage:
----------------------
Label_b = 0x801 >>> LABEL is 0x801
module-11# show system internal access-list interface e11/2.300 out statistics
INSTANCE 0x0
---------------
Tcam 1 resource usage:
----------------------
Label_b = 0x802 >>> NEW LABEL 0x802 IS GENERATED
Konfiguration bereits aus Fall 1 vorhanden:
Interface Ethernet 11/2: Layer-3; RACL; NetFlow
Interface Ethernet 11/2.300-302: Layer-3; RACL
Wenden Sie jetzt NetFlow auch auf die übrigen Subschnittstellen an:
Interface Ethernet 11/2: Layer-3; RACL; NetFlow
Interface Ethernet 11/2.300-302: Layer-3; RACL; NetFlow
Da für alle Ziele jetzt RACL + NetFlow konfiguriert ist, wird dasselbe Label für alle Ziele freigegeben (ein einziger Satz von TCAM-Einträgen, auf die von allen Schnittstellen verwiesen wird).
N7718(config-if)# show system internal access-list resource utilization module 11 | in "Tcam 1, Bank 0"
Tcam 1, Bank 0 1211 2885 29.57
Tcam 1, Bank 0 1211 2885 29.57
Tcam 1, Bank 0 1211 2885 29.57
module-11# show system internal access-list interface ethernet11/2 out statistics |in Label_b p 5 n 4
INSTANCE 0x0
Tcam 1 resource usage:
----------------------
Label_b = 0x802 >>> LABEL is 0x802
module-11# show system internal access-list interface ethernet11/2.300 out statistics |in Label_b p 5 n 4
INSTANCE 0x0
Tcam 1 resource usage:
----------------------
Label_b = 0x802 >>> SAME LABEL IS MAINTAINED
Hinweis: Dieses Verhalten wird auch auf physische Schnittstellen und Subschnittstellen ausgedehnt. Nur wenn alle betroffenen Ziele über dieselbe Konfiguration verfügen, wird die TCAM-Nutzung nicht verdoppelt.
Beachten Sie, dass der TCAM nur nach der Anwendung von Netflow auf allen Schnittstellen, die bereits über RACL verfügen, auf ursprüngliche 29,57 % reduziert wird.
1. RACL auf Schnittstelle "1" anwenden: 29,57 %
2. RACL auf nachfolgende Schnittstellen anwenden: 29,57 %
3. NF nach RACL-Anwendung auf Schnittstelle "1" anwenden: 58,45 %
4. NF auf nachfolgende Schnittstellen anwenden: 58,45 %
5. NF auf letzte Schnittstelle anwenden: 29,57 %
1. Deaktivieren Sie atomare Aktualisierungen.
<ODER>
2. Verringern Sie die ACL-Größe, um den Grenzwert auf < 25 % zu begrenzen.
Mit Atomic Updates:
Nach der Anwendung von Netflow auf der ersten Schnittstelle wird versucht, eine separate TCAM-Instanz zu erstellen, da für die erste Schnittstelle nun beide ACLs konfiguriert sind, für die NFs konfiguriert sind, für die zweite Schnittstelle jedoch nur RACL konfiguriert ist.
Da jedoch atomare Updates aktiviert werden, schlägt die Erstellung einer separaten Instanz fehl, da dies die Auslastung auf >50 erhöht. Infolgedessen wird ein übermäßiger TCAM-Fehler ausgelöst.
Ohne Atomic Updates:
1. Beim Anwenden der ACL auf alle Schnittstellen: Es bleibt bei 29, da es keine anderen Features gibt.
2. NetFlow auf die erste Schnittstelle anwenden: Switch geht davon aus, dass es sich um eine separate Konfiguration von Funktionen/eine Kombination von Funktionen handelt (Beibehaltung eines separaten internen Labels) und erstellt daher eine separate Instanz auf derselben Bank.
3. Wenn NetFlow auf alle anderen Schnittstellen angewendet wird, für die die ACL konfiguriert ist, sind die Konfiguration/Kombination von Funktionen identisch (Label ist jetzt für beide Schnittstellen identisch) und daher findet eine Neuverteilung statt.
4. TCAM wurde nun für beide Schnittstellen freigegeben, und die Auslastung sank auf 29,57 %.
Dies ist eine Optimierungsmethode, wenn Features auf verschiedenen Schnittstellen kombiniert werden.
CSCvs50014 ACL und NetFlow auf Subschnittstelle belegen doppelte TCAM-Einträge