Qualidade de Serviço (QoS) : Policy Based Routing (PBR)

Nexo 7000 limitações do banco TCAM e configuração Chain do banco

18 Junho 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (21 Abril 2016) | Feedback

Introdução

Este documento descreve o padrão que programa para as características (ACL) Lista-baseadas controle de acesso para nexos 7000 bancos do Ternary Content Addressable Memory (TCAM) e como associar recursos usando o banco que acorrenta a característica.

Contribuído por Jane Zizhen Gao, engenheiro de TAC da Cisco.

Problema

Com a implementação inicial, os recursos ACL não são programados através dos bancos diferentes TCAM. Isto limita as entradas disponíveis para cada característica a 16,000. Para aqueles clientes que têm grandes ACL, este transforma-se um problema. O uso da característica da corrente do banco resolve este problema com a remoção da limitação do banco. Quando a corrente do banco é permitida, as características ACL-baseadas podem ser programadas através dos bancos.

Exemplos de mensagens de erros:

ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD  
Tcam 0 Bank 0's usage has reached its threshold
ACLMGR-3-ACLMGR_VERIFY_FAIL  Verify failed: client 8200016E, 
Sufficient free entries are not available in TCAM bank

Solução

  • Quando a corrente do banco é permitida, afeta somente as configurações futuras. As entradas de TCAM atuais não reprogrammed. Quando um ACL novo é aplicado a uma relação, esse ACL novo está programado através dos bancos múltiplos.
  • Quando a corrente do banco é permitida, o ACL está programado através dos bancos (exceto o túnel Decap e a proteção plana do controle (CoPP)). (Refira a seção das limitações.) Se há bastante entradas no banco 0's dois TCAM, o ACL está rachado e programado naqueles dois bancos.  
  • Se o banco 0s dois TCAM não tem bastante entradas livres, a regra ACL está programada através de todos os quatro bancos.
  • Quando a característica da corrente do banco é permitida, mesmo se o ACL tem um número menor de regras do que as entradas livres de um único banco, é programado através do banco 0s dois TCAM.
  • Quando a corrente do banco é desabilitada, as entradas de TCAM atuais reprogrammed. Se o ACL atual não cabe em um banco, um Mensagem de Erro está retornado e a corrente do banco não pode ser desabilitada.
  • Durante o downgrade em serviço do upgrade de software (ISSU), a corrente do banco deve ser desabilitada; se não, o downgrade ISSU falhará.

Restrições

  • Quando a característica da corrente do banco é permitida, as políticas aplicadas a uma relação e a um diretório são mergable. Nenhuma das políticas que têm as estatísticas permitidas não pode ser fundido. Quando a corrente do banco é permitida, a característica com as estatísticas permitidas não pode coexistir com outros recursos na mesma relação, no mesmo sentido.

    Exemplo: Quando as estatísticas estão permitidas no Access Control List do roteador de ingresso (RACL) em Ethernet2/1, o Policy Based Routing (PBR) não pode ser configurado sob essa relação.
  • Todas as duas políticas, cujo o resultado datilografar são diferentes, não podem ser fundidas. Há três tipos do resultado: ACL, contabilidade, e Qualidade de Serviço (QoS). Estes tipos de três resultados não podem ser fundidos.
    1. Características sob o tipo do resultado ACL: Access Control List da porta (PACL), RACL, VLAN Access Control List (VACL), PBR, DHCP, Address Resolution Protocol (ARP), Netflow
    2. Características sob o tipo do resultado da contabilidade: Netflow simples
    3. Características sob o tipo do resultado de QoS: qos

    Exemplo: O RACL e QoS não podem coexistir no mesmo sentido sob uma relação com a corrente do banco permitida.
  • O túnel Decap e CoPP é programado sob uma interface lógica (LIF) e não pode ser fundido porque seus tipos do resultado são diferentes. A fim evitar a limitação em que não podem coexistir, estão mantidos em um banco, mesmo quando a corrente do banco é permitida. Quando o Access Control List Papel-baseado (RBACL) é permitido, a etiqueta do grupo de segurança da fonte/a etiqueta grupo de segurança do destino (SGT/DGT) estará usada a fim criar a chave da consulta TCAM. O RBACL não pode fundir com outras políticas de saída, desde que a etiqueta é programada para pegarar SGT/DGT em vez dos endereços de destino de origem do IPv4. Quando a corrente do banco é permitida, as seguintes regras aplicam-se:
    1. Se o RBACL está permitido sob o roteamento virtual e a transmissão (VRF), nenhuma outra política de saída pode ser configurada sob aquelas relações nesse VRF.
    2. Se o RBACL é permitido sob o VLAN, nenhuma política de saída VLAN pode ser configurada.
  • Porta + política vlan:  No hardware (HW), a política da porta e as etiquetas da política vlan são programadas sob uma entrada do Gerenciamento do ciclo de vida da informação (ILM). Pode somente ter uma etiqueta para a política da porta e uma etiqueta para a política vlan. Quando a corrente do banco é permitida, a porta + as políticas vlan não podem ser apoiadas:
    1. Quando uma política da porta é configurada, nenhuma política pode ser configurada sob o VLAN/SVI que a porta pertence a.
    2. Quando uma política VLAN/SVI é configurada, nenhuma política pode ser configurada na porta que pertence ao VLAN.

Exemplo de um Mensagem de Erro:

ERROR: Resource-pooling is not supported with certain feature combinations

Configuração

config t
pool de recursos da lista de acesso do hardware! pode somente ser emitido do padrão VDC

mostre o pool de recursos da lista de acesso do hardware
mostre a sistema o estado interno da lista de acesso

SITE1-AGG1(config)# hardware access-list resource pooling mod ? 
<1-9>  Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling
 
Module 3 enabled
SITE1-AGG1# show system internal access-list status
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5 

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116151