Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les solutions de contournement des problèmes de ressources TCAM.
%ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD Tcam 0 L'utilisation de la banque 0 a atteint son seuil
Échec de la vérification de %ACLMGR-3-ACLMGR_VERIFY_FAIL : client 8200016E, nombre suffisant d'entrées gratuites ne sont pas disponibles dans la banque TCAM
« Error : Échec de l'insertion de l'entrée TCAM en raison de contraintes TCAM Spanslogic » — sur les modules XL uniquement
Pour plus d'informations sur les contraintes TCAM de spanslogic, reportez-vous à la .
commande :
show hardware access-list resource use module <mod>
SITE1-AGG1# show hardware access-list resource utilization mod 3
INSTANCE 0x0
-------------
ACL Hardware Resource Utilization (Mod 3)
--------------------------------------------
Used Free Percent
Utilization
-----------------------------------------------------
Tcam 0, Bank 0 9 16375 0.05
Tcam 0, Bank 1 2 16382 0.01
Tcam 1, Bank 0 7 16377 0.04
Tcam 1, Bank 1 246 16138 1.50
LOU 3 101 2.88
Both LOU Operands 2
Single LOU Operands 1
LOU L4 src port: 0
LOU L4 dst port: 1
LOU L3 packet len: 0
LOU IP tos: 0
LOU IP dscp: 0
LOU ip precedence: 0
LOU ip TTL: 0
TCP Flags 0 16 0.00
Protocol CAM 4 3 57.14
Mac Etype/Proto CAM 9 5 64.28
Non L4op labels, Tcam 0 2 6141 0.03
Non L4op labels, Tcam 1 3 6140 0.04
L4 op labels, Tcam 0 0 2047 0.00
L4 op labels, Tcam 1 1 2046 0.04
Ingress Dest info table 131072 510 0.39
Egress Dest info table 65536 511 0.19
SITE1-AGG1#
Les quelques options ci-dessous sont disponibles lorsque l'utilisation de TCAM est élevée.
Par défaut, N7K effectue une mise à jour de liste de contrôle d'accès atomique (ACL) vers un module en cas de modification de liste de contrôle d'accès. Une mise à jour atomique ne perturbe pas le trafic auquel la liste de contrôle d’accès mise à jour s’applique. Cependant, une mise à jour atomique nécessite qu'un module d'E/S qui reçoit une mise à jour de liste de contrôle d'accès dispose de suffisamment de ressources disponibles pour stocker chaque entrée de liste de contrôle d'accès mise à jour en plus de toutes les entrées préexistantes dans la liste de contrôle d'accès affectée. Après la mise à jour, les ressources supplémentaires utilisées pour la mise à jour sont libérées. Si le module d'E/S ne dispose pas des ressources requises, le périphérique génère un message d'erreur et la mise à jour de la liste de contrôle d'accès au module d'E/S échoue.
Si un module d'E/S ne dispose pas des ressources requises pour une mise à jour atomique, vous pouvez désactiver les mises à jour atomiques à l'aide de
no hardware access-list update atomic
Cependant, pendant la courte période nécessaire au périphérique pour supprimer la liste de contrôle d’accès préexistante et mettre en oeuvre la liste de contrôle d’accès mise à jour, le trafic auquel elle s’applique est abandonné par défaut. Si vous voulez autoriser tout le trafic auquel une liste de contrôle d'accès s'applique, alors qu'elle reçoit une mise à jour non atomique. Utilisez la commande hardware access-list update default-result permit.
Note: Si les mises à jour atomiques et non atomiques sont toutes deux possibles (par exemple, le TCAM dispose de suffisamment d'espace libre), l'atomique est préférable. S'il n'y a pas assez d'espace libre pour effectuer une mise à jour atomique, alors non atomique est essayé. Par conséquent, l'implémentation actuelle est toujours d'abord essayer atomic, même lorsque la mise à jour atomique est désactivée. Cependant, actuellement en cas d'échec en raison de contraintes spanslogic, il n'est pas basculé vers non atomique, et CSCud36802 est déposé pour traiter de ceci (à fixer à Freetown à partir d'aujourd'hui).
Note: Lorsque vous essayez de supprimer ACE alors que l'utilisation de TCAM est élevée, puisque la mise à jour atomique est toujours essayée en premier comme mentionné ci-dessus, les contrains spanslogic peuvent toujours être touchés et CSCua24513 a été classé pour traiter ce problème (corrigé dans 5.2.7).
Par défaut, N7K tente de fusionner les fonctionnalités lors de la programmation de la TCAM, ce qui permet d'enregistrer la ressource TCAM. Lorsque des statistiques par entrée sont configurées, les entrées ne sont pas fusionnées pour tenir à jour les statistiques ACE (Access Control Entries), auquel cas elles peuvent nécessiter davantage de ressources.
Cette commande n'a aucun impact sur les performances, car le traitement des listes de contrôle d'accès est toujours présent dans le matériel.
Il existe deux options pour afficher les statistiques :
show ip access-list <acl>
Note: Affiche les compteurs pour les entrées matérielles qui sont programmées de type PACL/RACL (par exemple, acl appliquée aux interfaces)
show hardware internal access-list input detail module <x>
Note: La liste de contrôle d’accès utilisée à l’intérieur de la stratégie de copie est utilisée pour la classification des paquets. La décision d'autoriser/refuser/débit limite le paquet est prise par la configuration de la stratégie qos/class-map du plan de contrôle. Les actions Autoriser/Refuser spécifiées dans la liste de contrôle d'accès ne sont pas efficaces lorsqu'elles sont utilisées dans la stratégie de copie.
Si vous activez les statistiques sur la liste de contrôle d’accès copp et même si vous utilisez la même liste de contrôle d’accès à l’intérieur de la carte de classe copp, show ip access <acl> ne reflète pas cette situation en raison de la raison ci-dessus. Essentiellement, une liste de contrôle d’accès utilisée dans une stratégie de qos copp est programmée en tant que type de stratégie - QoS. Si vous voulez voir les paquets frappant la politique qos du plan de contrôle copp, cette commande peut être utilisée :
show system internal access-list input detail module <x> | b CoPP
Le modèle de programmation par défaut crée une entrée de fragment parallèle non premier dans le matériel pour chaque ACE. Cette entrée correspond aux mêmes adresses IP source/destination et protocole que l'ACE d'origine, mais sans informations de port de couche 4 et correspondance sur les fragments non initiaux.
Note: Entrées de fragments pour les entrées ACE de couche 3 non programmées sur les moteurs de transfert non XL.
La gestion des fragments par défaut entraîne une utilisation TCAM CL 2X. Bouton de configuration fourni pour autoriser ou refuser TOUS les fragments non initiaux :
fragments {permit-all | deny-all}
Optimise l'utilisation de la TCAM CL : consomme une seule entrée de TCAM CL pour l'ensemble de la liste de contrôle d'accès (par rapport à une entrée par ACE de couche 4)
ACE utilisant des opérateurs de couche 4 : plage, gt, lt, neq. Il existe deux façons pour les logiciels de gérer les opérateurs de couche 4 :
La commande globale hardware access-list lou resource threshold contrôle lorsque l'option 1 et l'option 2 se produisent pour un ACE. Le seuil d'extension contrôle lorsque l'extension se produit, le seuil par défaut est 5. Si un ACE peut être étendu en <=5 entrées TCAM CL, aucun L4op n'est alloué.
Avantages/inconvénients :
A.K.A. Chaîne bancaire. Explication détaillée dans
ID de BOGUE Cisco CSCtd24377 AD-XL : Contraintes de l'algorithme Spanslogic
L'ID de BOGUE Cisco CSCuc98853 ACLQOS ne respecte pas le fragment deny-all/permit-all pour la route-map pour XL
Diapositives de classification de Tim Stevens