In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden Problemumgehungen für TCAM-Ressourcen beschrieben.
Die Verwendung von %ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD Tcam 0 Bank 0 hat den Grenzwert erreicht.
%ACLMGR-3-ACLMGR_VERIFY_FAIL Überprüfen fehlgeschlagen: Client 8200016E, in der TCAM-Bank sind keine ausreichenden freien Einträge vorhanden
"FEHLER: Einfügung des TCAM-Eintrags fehlgeschlagen aufgrund von Spanslogic TCAM-Einschränkungen" — nur für XL-Module
Weitere spanslogic TCAM-Einschränkungen finden Sie unter .
Befehl:
show hardware access-list resource Usage Module <mod>
SITE1-AGG1# show hardware access-list resource utilization mod 3
INSTANCE 0x0
-------------
ACL Hardware Resource Utilization (Mod 3)
--------------------------------------------
Used Free Percent
Utilization
-----------------------------------------------------
Tcam 0, Bank 0 9 16375 0.05
Tcam 0, Bank 1 2 16382 0.01
Tcam 1, Bank 0 7 16377 0.04
Tcam 1, Bank 1 246 16138 1.50
LOU 3 101 2.88
Both LOU Operands 2
Single LOU Operands 1
LOU L4 src port: 0
LOU L4 dst port: 1
LOU L3 packet len: 0
LOU IP tos: 0
LOU IP dscp: 0
LOU ip precedence: 0
LOU ip TTL: 0
TCP Flags 0 16 0.00
Protocol CAM 4 3 57.14
Mac Etype/Proto CAM 9 5 64.28
Non L4op labels, Tcam 0 2 6141 0.03
Non L4op labels, Tcam 1 3 6140 0.04
L4 op labels, Tcam 0 0 2047 0.00
L4 op labels, Tcam 1 1 2046 0.04
Ingress Dest info table 131072 510 0.39
Egress Dest info table 65536 511 0.19
SITE1-AGG1#
Im Folgenden sind einige Optionen aufgeführt, wenn die TCAM-Nutzung hoch ist.
Standardmäßig führt N7K ein atomares ACL-Update (Access Control List) für ein Modul durch, wenn die ACL geändert wird. Eine atomische Aktualisierung unterbricht keinen Datenverkehr, auf den die aktualisierte ACL angewendet wird. Bei einer atomaren Aktualisierung muss ein E/A-Modul, das eine ACL-Aktualisierung empfängt, jedoch über genügend Ressourcen verfügen, um zusätzlich zu allen bereits vorhandenen Einträgen in der betroffenen ACL jeden aktualisierten ACL-Eintrag zu speichern. Nach dem Update werden die für die Aktualisierung verwendeten zusätzlichen Ressourcen freigegeben. Wenn dem E/A-Modul die erforderlichen Ressourcen fehlen, generiert das Gerät eine Fehlermeldung, und das ACL-Update für das E/A-Modul schlägt fehl.
Wenn ein E/A-Modul nicht über die für ein atomares Update erforderlichen Ressourcen verfügt, können Sie atomare Updates mithilfe der
keine Aktualisierung der Hardware-Zugriffslisten Atomic
Während der kurzen Zeit, die das Gerät benötigt, um die bereits vorhandene ACL zu entfernen und die aktualisierte ACL zu implementieren, wird der von der ACL angewendete Datenverkehr jedoch standardmäßig verworfen. Wenn Sie den gesamten Datenverkehr zulassen möchten, für den eine ACL gilt, während sie eine nicht atomare Aktualisierung empfängt. Verwenden Sie den Befehl Hardware access-list update default-result permit.
Hinweis: Wenn atomische und nicht atomare Updates beide möglich sind (sagen, dass der TCAM über genügend freien Speicherplatz verfügt), ist atomisch vorzuziehen. Wenn nicht genügend freier Speicherplatz für die atomare Aktualisierung vorhanden ist, wird nicht atomisch versucht. Daher wird die aktuelle Implementierung immer zuerst atomisch ausprobiert, auch wenn die atomische Aktualisierung deaktiviert ist. Allerdings wird sie derzeit aufgrund von spanslogic-Einschränkungen nicht auf non-atomic umgestellt, und CSCud36802 ist nicht in der Lage, dies zu beheben (wird heute in Freetown behoben).
Hinweis: Wenn versucht wird, ACE zu entfernen, während die TCAM-Nutzung hoch ist, da die atomare Aktualisierung immer zuerst wie oben erwähnt versucht wird, können die spanslogic-Kontraste trotzdem getroffen werden, und CSCua24513 wurde nicht zur Behebung dieses Problems (behoben in 5.2.7).
In der Standardeinstellung versucht N7K, bei der Programmierung des TCAM Features zusammenzuführen, die beim Speichern der TCAM-Ressource hilfreich sind. Wenn Statistiken pro Eintrag konfiguriert werden, werden die Einträge nicht zusammengeführt, um ACE-Statistiken (Per-Access Control Entries) zu verwalten. In diesem Fall können mehr Ressourcen benötigt werden.
Dieser Befehl hat keine Leistungseinbußen, da die ACL-Verarbeitung immer in der Hardware erfolgt.
Es gibt zwei Optionen zum Anzeigen der Statistiken:
show ip access-list <acl>
Hinweis: Zeigt Zähler nur für diejenigen Hardwareeinträge an, die vom Richtlinientyp PACL/RACL programmiert sind (z. B. ACL angewendet auf Schnittstellen).
show hardware internal access-list input entries module <x>
Hinweis: Die in der CoPP-Richtlinie verwendete ACL wird für die Klassifizierung von Paketen verwendet. Die Entscheidung darüber, ob das Paket zugelassen, abgelehnt oder beschränkt wird, wird durch die QoS-Richtlinie/Klassenzuordnungskonfiguration auf Kontrollebene getroffen. Die in acl angegebenen Aktionen zum Zulassen/Ablehnen sind nicht wirksam, wenn sie in der Kopierrichtlinie verwendet werden.
Wenn Sie Statistiken auf dem copp-ACL aktivieren und das gleiche acl in der copp class-map verwenden, würde show ip access <acl> dies aus dem oben genannten Grund nicht widerspiegeln. Im Wesentlichen ist eine in einer QoS-Richtlinie verwendete ACL als Richtlinientyp programmiert - QoS. Wenn Sie die Pakete sehen möchten, die die QoS-Richtlinie der CoPP-Kontrollebene treffen, kann dieser Befehl verwendet werden:
show system internal access-list input entries module <x> | b CoPP
Das Standardprogrammiermodell erstellt für jeden ACE einen parallelen, nicht ersten Fragmenteintrag in der Hardware. Dieser Eintrag stimmt mit denselben Quell-/Ziel-IP-Adressen und demselben Protokoll überein wie der ursprüngliche ACE, jedoch ohne L4-Portinformationen und ohne Abgleich mit nicht initialen Fragmenten.
Hinweis: Fragmentierungseinträge für L3-ACEs, die nicht in XL-Weiterleitungs-Engines programmiert sind.
Die standardmäßige Fragmentverarbeitung führt zu einer doppelten CL-TCAM-Auslastung. Der angegebene Konfigurations-Knopf erlaubt oder verweigert ALLE nicht initialen Fragmente:
Fragmente {permit-all | Alle verweigern}
Optimierung der CL-TCAM-Nutzung - Verbraucht einen einzigen CL-TCAM-Eintrag für die gesamte ACL (gegenüber einem Eintrag pro L4-ACE)
ACEs mit L4-Operatoren - Range, gt, lt, neq. Es gibt zwei Möglichkeiten für Software, L4-Operatoren zu behandeln:
Globale Kontrollen der Ressourcengrenzwerte für die Zugriffslisten der Hardware, wenn Option 1 vs. Option 2 für einen ACE auftritt. Der Erweiterungsschwellenwert steuert bei einer Erweiterung den Standardwert 5. Wenn ein ACE in <=5 CL-TCAM-Einträge erweitert werden kann, ist kein L4op zugewiesen.
Vor/Nachteile:
A.K.A. Bankenkette. Ausführlich erläutert
Cisco BUG-ID CSCtd24377 AD-XL: Einschränkungen durch Spanslogic Algorithms
Cisco BUG ID CSCuc98853 ACLQOS berücksichtigt keine Fragment "deny-all/permit-all" für die Routing-Map für XL
Tim Stevens Klassifizierungsfolien