Werkzaamheden rond TCAM-kwestie uitgebreid

Inleiding

In dit document worden de werkronden van de TCAM-bron beschreven.

Vaste CAM-fouten

Het gebruik van %ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD CAM 0 Bank 0 heeft zijn drempel bereikt

%ACLMGR-3-ACLMGR_VERIFY_FAIL Controleer mislukt: cliënt 8200016E, zijn onvoldoende vrije boekingen beschikbaar bij de TCAM-bank

"FOUT: Toevoeging van TCAM-ingang mislukt als gevolg van Spanning met TCAM-beperkingen" — alleen voor XL-modules

Raadpleeg voor meer spanje-achtige beperkingen voor CAM.

Hulpprogramma voor hardware-ACL

Opdracht:
Module voor gebruik van hardware-toegangslijsten <mod> tonen

SITE1-AGG1# show hardware access-list resource utilization mod 3


INSTANCE 0x0
-------------


         ACL Hardware Resource Utilization (Mod 3)
         -------------------------------------------- 
                          Used    Free    Percent 
                                          Utilization
----------------------------------------------------- 
Tcam 0, Bank 0           9       16375   0.05
Tcam 0, Bank 1           2       16382   0.01
Tcam 1, Bank 0           7       16377   0.04
Tcam 1, Bank 1           246     16138   1.50

LOU                       3       101     2.88   
Both LOU Operands         2       
Single LOU Operands       1       
LOU L4 src port:          0
LOU L4 dst port:          1
LOU L3 packet len:        0
LOU IP tos:               0
LOU IP dscp:              0
LOU ip precedence:        0
LOU ip TTL:               0
TCP Flags                 0       16      0.00   

Protocol CAM              4       3       57.14  
Mac Etype/Proto CAM       9       5       64.28  

Non L4op labels, Tcam 0   2       6141    0.03   
Non L4op labels, Tcam 1   3       6140    0.04   
L4 op labels, Tcam 0      0       2047    0.00   
L4 op labels, Tcam 1      1       2046    0.04   

Ingress Dest info table   131072  510     0.39   
Egress Dest info table    65536   511     0.19   
SITE1-AGG1# 

Opties

De onderstaande opties zijn de weinige opties bij een hoog TCAM-gebruik.

• atoomupdate
  Opdracht: geen bijwerking van de hardwaretoegangslijst
  
  
• Statistieken per invoer in alle ACL’s uitschakelen
  Opdracht: geen statistieken per binnenkomst
  
  
• Fragmentering
  Opdracht: fragmenten ontzeggen/alle toestaan
  
  
• ACE-uitbreidingsdrempel
  Opdracht: drempelwaarde voor toegang tot hardware-lijsten
  
  
• pooling van bronnen (geen invloed op de service omdat de bestaande items niet verplaatst worden)
  Opdracht: poolingsmodus voor hardware-toegangslijsten <x>

atoomupdate

Standaard voert N7K een ACL-update (ACL) uit naar een module wanneer er ACL-wijziging is.  Een atoomupdate ontwricht geen verkeer waarop de bijgewerkte ACL van toepassing is. Voor een atoomupdate moet echter een I/O-module die een ACL-update ontvangt, over voldoende middelen beschikken om elke bijgewerkte ACL-ingang op te slaan, naast alle reeds bestaande items in de betreffende ACL. Nadat de actualisering heeft plaatsgevonden, worden de extra middelen die voor de actualisering worden gebruikt, vrijgemaakt. Als de I/O-module niet over de benodigde bronnen beschikt, genereert het apparaat een foutmelding en mislukt de ACL-update bij de I/O-module.

Als een I/O-module niet beschikt over de bronnen die vereist zijn voor een atoomupdate, kunt u atoomupdates uitschakelen door gebruik te maken van 

    geen bijwerking van de hardwaretoegangslijst

Tijdens de korte tijd die voor het apparaat nodig is om de reeds bestaande ACL te verwijderen en de bijgewerkt ACL te implementeren, wordt het verkeer waarop ACL van toepassing is standaard verwijderd.  Als u al verkeer wilt toestaan waarop ACL van toepassing is, terwijl het een niet atomisch bijgewerkt ontvangt. Gebruik de opdracht van de hardware access-list voor het bijwerken van de standaard-resultaat vergunning.

Opmerking: Als atomaire en niet-atomaire update allebei mogelijk zijn (de TCAM heeft bijvoorbeeld genoeg vrije ruimte), dan verdient atomaire verandering de voorkeur. Als er niet genoeg vrije ruimte is voor atoomupdate, wordt non-atomisch geprobeerd. Daarom is de huidige implementatie altijd eerst atoomgebruik, zelfs wanneer atoomupdate wordt uitgeschakeld. Bij een defect als gevolg van spantragische beperkingen wordt het echter niet naar een niet-atomisch systeem overgeschakeld en is CSCud36802 niet ingeschakeld om dit aan te pakken (vanaf vandaag vast te stellen in Freetown).

Opmerking: Wanneer men probeert ACE te verwijderen terwijl er veel gebruik van TCAM is, omdat atoomupdate altijd als eerste wordt geprobeerd zoals hierboven vermeld, kan het spanje nog steeds raken en is CSCua24513 ingediend om dit probleem aan te pakken (zoals vastgesteld in 5.2.7).

Statistieken per binnenkomst

Standaard N7K zou proberen functies samen te voegen bij het programmeren van de TCAM, die helpt de TCAM-bron op te slaan. Wanneer statistieken per invoer worden geconfigureerd, worden de lemma's niet samengevoegd om de status per-Access Control Entries (ACE) te behouden, in welk geval het meer middelen zou kunnen kosten.

Deze opdracht heeft geen invloed op de prestaties omdat ACL-verwerking altijd in de hardware aanwezig is.

Er zijn twee opties om de status weer te geven:

  IP-toegangslijst <acl> tonen

Opmerking: Hier worden alleen tellers weergegeven voor de hit hardwareitems die zijn geprogrammeerd van beleidstype PACL/RACL (bijvoorbeeld ACL toegepast op interfaces)

  Module voor details van hardware-interne toegangslijsten weergeven

Opmerking: ACL die binnen copp beleid wordt gebruikt wordt gebruikt voor classificatie van pakketten. Beslissing om het pakket toe te staan/te ontkennen/te beperken wordt gedaan door het controle-toestel qos beleid/class-map configuratie. De in acl gespecificeerde acties toestaan/ontkennen is niet effectief wanneer deze binnen kopieerbeleid worden gebruikt.

Als u statistieken op copp acl toelaat en zelfs als u dezelfde acl binnen copp class-map gebruikt, dan zou de ip-toegang <acl>dit om de bovenstaande reden niet weerspiegelen. Een acl die gebruikt wordt in een copp qos beleid is geprogrammeerd als beleidstype - QoS. Als u wilt dat de pakketten die het copp control-plane qos beleid raken, kan deze opdracht worden gebruikt:

  module met details voor interne invoeritems van het systeem weergeven <x> | b CoPP

Fragmentering

Standaard programmeermodel maakt parallel niet-eerste fragment in hardware voor elke ACE. Deze ingang komt de zelfde bron/bestemming IP adressen en protocol aan zoals origineel ACE, maar met geen L4 haveninformatie en aanpassing aan niet beginfragmenten aan.

Opmerking: Fragment-items voor L3 ACE’s niet geprogrammeerd op niet-XL-verzendmotoren.

Standaard fragment-verwerking resultaten in 2X CL TCAM-gebruik. Configuratieknop om alle niet-initiële fragmenten toe te staan of te ontkennen:

  fragmenten {vergunning-allen | ontkennend-all}

Optimaliseert gebruik van CL TCAM - gebruikt één CL TCAM-ingang voor gehele ACL (versus één ingang per L4 ACE)

Drempel voor ACE-uitbreiding

ACE-remmers die gebruik maken van L4-operatoren - bereik, gt, lt, neq. Er zijn twee manieren voor software om L4-operatoren aan te kunnen.

•  L4op toewijzen (hardware resource) en LOU-register van programma's (een andere hardwarebron)
• ACE uitvouwen in meerdere eq-items (d.w.z. CL-items)

Wereldwijde de opdracht hardware access-list bepaalt de drempelwaarde van het commando wanneer optie 1 vs optie 2 voor een ACE optreedt. De expansiedrempel bepaalt wanneer expansie optreedt, de standaarddrempel is 5. Als een ACE kan worden uitgebreid tot <=5 CL TCAM-items, is geen L4op toegewezen.

Voor/tegen:

• Uitbreiding leidt tot een groter verbruik van televisiecamerasystemen
• L4op/LOU gebruik beperkt door L4ops per label (10) en LOU registers (208)

resourcepool

Bank chain. In detail uitgelegd

Verwante informatie

Cisco BUG-ID CSCtd24377 AD-XL: Spaanstalige algoritmische beperkingen 
                          

Cisco BUG-ID CSCuc9853 ACLQOS is niet-herkennend fragment ontkennend-all/connect-all voor routekaart voor XL

Classificatie van Tim Stevens