Resolución de problemas de agotamiento de TCAM ACL de seguridad en switches Catalyst 3850

Opciones de descarga

  • PDF     (120.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (91.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (78.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de mayo de 2015
ID del documento:118957

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento explica cómo los switches Catalyst 3850 implementan listas de control de acceso (ACL) de seguridad en hardware y cómo se utiliza la memoria direccionable de contenido ternario (TCAM) de seguridad entre varios tipos de ACL.

Antecedentes

Esta lista proporciona definiciones para varios tipos de ACL:

  • Lista de control de acceso de VLAN (VACL): una VACL es una ACL que se aplica a una VLAN. Sólo se puede aplicar a una VLAN y a ningún otro tipo de interfaz. El límite de seguridad es permitir o denegar el tráfico que se mueve entre VLAN y permitir o denegar el tráfico dentro de una VLAN. La ACL VLAN se soporta en el hardware y no tiene ningún efecto en el rendimiento.
  • Lista de control de acceso a puertos (PACL): una PACL es una ACL aplicada a una interfaz de puerto de switch de capa 2. El límite de seguridad es permitir o denegar el tráfico dentro de una VLAN. El PACL es compatible con el hardware y no tiene ningún efecto en el rendimiento.
  • Router ACL (RACL): una RACL es una ACL que se aplica a una interfaz que tiene asignada una dirección de Capa 3. Se puede aplicar a cualquier puerto que tenga una dirección IP como interfaces ruteadas, interfaces de loopback e interfaces VLAN. El límite de seguridad es permitir o denegar el tráfico que se mueve entre subredes o redes. La RACL se soporta en el hardware y no tiene efecto en el rendimiento.
  • ACL basada en grupo (GACL): GACL es una ACL basada en grupo definida en grupos de objetos para ACL.

Problema

En los switches Catalyst 3850/3650, las entidades de control de acceso (ACE) PACL de entrada y PACL de salida se instalan en dos regiones/bancos independientes. Estas regiones/bancos se denominan ACL TCAM (TAQ). Las ACE de entrada y salida de VACL se almacenan en una sola región (TAQ). Debido a una limitación de hardware Doppler, VACL no puede utilizar ambas TAQ. Por lo tanto, VACL/vlmap solo tienen la mitad del espacio de resultado de la máscara de valor (VMR) disponible para las ACL de seguridad. Estos registros aparecen cuando se supera cualquiera de estos límites de hardware:

%ACL_ERRMSG-4-UNLOADED: 1 fed:  Output IPv4 L3 ACL on interface Vl215
 for label 19 on asic255 could not be programmed in hardware and traffic will be dropped.

%ACL_ERRMSG-4-UNLOADED: 1 fed:  Output IPv4 L3 ACL on interface Vl216
 for label 20 on asic255 could not be programmed in hardware and traffic will be dropped.

%ACL_ERRMSG-4-UNLOADED: 1 fed:  Output IPv4 L3 ACL on interface Vl218
 for label 22 on asic255 could not be programmed in hardware and traffic will be dropped.

Sin embargo, es posible que el TCAM ACE de seguridad no parezca estar lleno cuando aparecen estos registros.

Solución

Es incorrecto suponer que una ACE siempre consume un VMR. Un ACE determinado puede consumir:

  • 0 VMRs si se fusiona con una ACE anterior.
  • 1 VMR si los bits VCU están disponibles para manejar el rango.
  • 3 VMRs si se expande porque no hay bits VCU disponibles.

La hoja de datos de Catalyst 3850 sugiere que se soportan 3000 entradas de ACL de seguridad. Sin embargo, estas reglas definen cómo se pueden configurar estas 3000 ACE:

  • Las VACL/VLAN admiten un total de 1,500 entradas, ya que sólo pueden utilizar una de las dos TAQ.
  • MAC VACL/vlmap necesita tres VMR/ACE. Esto significa que se deben admitir 460 ACE en cada dirección.
  • VACL/vlmap IPv4 necesita dos VMR/ACE. Esto significa que se deben admitir 690 ACE en cada dirección.
  • IPv4 PACL, RACL y GACL necesitan un VMR/ACE. Esto significa que se deben admitir 1380 ACE en cada dirección.
  • MAC PACL, RACL y GACL necesitan dos VMR/ACE. Esto significa que se deben admitir 690 ACE en cada dirección.
  • IPv6 PACL, RACL y GACL necesitan dos VMR/ACE. Esto significa que se deben admitir 690 ACE en cada dirección.

Resolución de problemas de Security ACL TCAM en switches Catalyst 3850

  • Verifique el uso de TCAM de seguridad:

Nota: Aunque las ACE de seguridad instaladas son inferiores a 3072, es posible que se haya alcanzado uno de los límites antes mencionados. Por ejemplo, si un cliente tiene la mayoría de las RACL aplicadas en la dirección de entrada, puede utilizar hasta 1380 entradas disponibles para la RACL entrante. Sin embargo, los registros de agotamiento de TCAM pueden aparecer antes de que se utilicen las 3072 entradas.

3850#show platform tcam utilization asic all
CAM Utilization for ASIC# 0
 Table                                              Max Values        Used Values
 --------------------------------------------------------------------------------
 Unicast MAC addresses                              32768/512          85/22  
 Directly or indirectly connected routes            32768/7680        125/127 
 IGMP and Multicast groups                          8192/512           0/16  
 QoS Access Control Entries                         3072                68
 Security Access Control Entries                    3072              1648
 Netflow ACEs                                       1024                15
 Input Microflow policer ACEs                        256                 7
 Output Microflow policer ACEs                       256                 7
 Flow SPAN ACEs                                      256                13
 Control Plane Entries                               512               195
 Policy Based Routing ACEs                          1024                 9
 Tunnels                                             256                12
 Input Security Associations                         256                 4
 Output Security Associations and Policies           256                 9
 SGT_DGT                                            4096/512           0/0   
 CLIENT_LE                                          4096/64            0/0   
 INPUT_GROUP_LE                                     6144                 0
 OUTPUT_GROUP_LE                                    6144                 0
  • Verifique el estado de hardware de las ACL instaladas en el TCAM:
3850#show platform acl info acltype ?
  all   Acl type
  ipv4  Acl type
  ipv6  Acl type
  mac   Acl type

3850#show platform acl info acltype all
########################################################
#########                             ##################
#########                             ##################
########      Printing ACL Infos       #################
#########                             ##################
########################################################
===================================
IPv4 ACL: Guest-ACL
      aclinfo: 0x52c41030
      ASIC255 Input L3 labels:  4
ipv4 Acl: Guest-ACL Version 16 Use Count 0  Clients 0x0 
        10 permit udp any 8 host 224.0.0.2 eq 1985 
        20 permit udp any 8 any eq bootps 
        30 permit ip 10.100.176.0 255.255.255.0 any  
<snip>
3850#show platform acl info switch 1 
########################################################
#########                             ##################
#########                             ##################
########      Printing ACL Infos       #################
#########                             ##################
########################################################
===================================
IPv4 ACL: Guest-ACL
      aclinfo: 0x52c41030
      ASIC255 Input L3 labels:  4
ipv4 Acl: Guest-ACL Version 16 Use Count 0  Clients 0x0 
        10 permit udp any 8 host 224.0.0.2 eq 1985 
        20 permit udp any 8 any eq bootps 
        30 permit ip 10.100.176.0 255.255.255.0 any  
 <snip>      
  • Verifique los registros de acl-event cada vez que se instalan/eliminan las ACL:
3850#show mgmt-infra trace messages acl-events switch 1
[04/22/15 21:35:34.877 UTC 3a8 5692] START Input IPv4 L3 label_id 22
 asic3 num_les 1 old_unload 0x0, cur_unloaded 0x0, trid 236 num_vmrs 11


[04/22/15 21:35:34.877 UTC 3a9 5692] Trying L3 iif_id 0x104608000000100
 input base FID 14

[04/22/15 21:35:34.878 UTC 3aa 5692] Input IPv4 L3 label_id 22 hwlabel
 22 asic3 status 0x0 old_unloaded 0x0 cur_unloaded 0x0 trid 236

[04/22/15 21:35:35.939 UTC 3ab 5692] MAC: 0000.0000.0000
 Adding Input IPv4 L3 acl [Postage-Printer] BO 0x1 to leinfo le_id 29on asic 255

[04/22/15 21:35:35.939 UTC 3ac 5692] MAC: 0000.0000.0000 Rsvd
 label 0 --> New label 23, asic255

[04/22/15 21:35:35.939 UTC 3ad 5692] START Input IPv4 L3 label_id 23 
asic3 num_les 1 old_unload 0x0, cur_unloaded 0x0, trid 237 num_vmrs 5
<snip>         
  • Imprima la memoria de contenido direccionable (CAM) de ACL:
C3850-1#show platform acl cam 
======== ACL TCAM (asic 0) =========
Printing entries for region ACL_CONTROL (135)
========================================================
TAQ-4 Index-0 Valid StartF-1 StartA-1 SkipF-0 SkipA-0:
 Entry allocated in invalidated state
Mask1 00f00000:00000000:00000000:00000000:00000000:00000000:00000000:00000000
Key1  00400000:00000000:00000000:00000000:00000000:00000000:00000000:00000000
AD    90220000:2f000000

TAQ-4 Index-1 Valid StartF-0 StartA-0 SkipF-0 SkipA-0
Mask1 00f00000:0f000000:00000000:00000000:00000000:00000000:00000000:00000000
Key1  00400000:01000000:00000000:00000000:00000000:00000000:00000000:00000000
AD    00a00000:00000000
  • Imprima los contadores de caídas y de visitas de ACL desglosados:
C3850-1#show platform acl counters hardware switch 1
=========================================================
Ingress IPv4 Forward             (280):  397555328725 frames
Ingress IPv4 PACL Drop           (281):         147 frames
Ingress IPv4 VACL Drop           (282):           0 frames
Ingress IPv4 RACL Drop           (283):           0 frames
Ingress IPv4 GACL Drop           (284):           0 frames
Ingress IPv4 RACL Drop and Log   (292):        3567 frames
Ingress IPv4 PACL CPU            (285):           0 frames
Ingress IPv4 VACL CPU            (286):           0 frames
Ingress IPv4 RACL CPU            (287):           0 frames
Ingress IPv4 GACL CPU            (288):           0 frames

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
13-May-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Shashank Singh
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos