Qualité de service (QoS) : Routage à base de règles (PBR)

Limites de banque du Nexus 7000 TCAM et configuration à chaînes de banque

18 juin 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (21 avril 2016) | Commentaires

Introduction

Ce document décrit le par défaut programmant pour les caractéristiques de liste en fonction de contrôle d'accès (ACL) pour les banques associatives ternaires de la mémoire de Nexus 7000 (TCAM) et comment mettre des ressources en commun utilisant la banque enchaînant la caractéristique.

Contribué par Jane Zizhen Gao, ingénieur TAC Cisco.

Problème

Avec l'implémentation initiale, des fonctionnalités d'ACL ne sont pas programmées à travers différentes banques TCAM. Ceci limite les entrées disponibles pour chaque caractéristique à 16,000. Pour ces clients qui ont grand ACLs, ceci devient un problème. L'utilisation de la caractéristique de chaîne de banque résout ce problème avec la suppression de la restriction de banque. Quand la chaîne de banque est activée, des caractéristiques basées sur acl peuvent être programmées à travers des banques.

Exemples des messages d'erreurs :

ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD  
Tcam 0 Bank 0's usage has reached its threshold
ACLMGR-3-ACLMGR_VERIFY_FAIL  Verify failed: client 8200016E, 
Sufficient free entries are not available in TCAM bank

Solution

  • Quand la chaîne de banque est activée, elle affecte seulement de futures configurations. Les entrées du courant TCAM ne sont pas reprogrammées. Quand un nouvel ACL est appliqué à une interface, ce nouvel ACL est programmé à travers de plusieurs banques.
  • Quand la chaîne de banque est activée, l'ACL est programmé à travers des banques (excepté tunnel Decap et Control Plane Protection (CoPP)). (Référez-vous à la section de restrictions.) S'il y a assez d'entrées à la banque 0's deux TCAM, l'ACL est coupé et programmé en ces deux banques.  
  • Si la banque 0s deux TCAM n'ont pas assez les entrées libres, la règle d'ACL est programmée à travers chacune des quatre banques.
  • Quand la caractéristique de chaîne de banque est activée, même si l'ACL a un plus petit nombre de règles que les entrées libres d'une banque simple, il est programmé à travers la banque 0s deux TCAM.
  • Quand la chaîne de banque est désactivée, les entrées du courant TCAM sont reprogrammées. Si l'ACL en cours ne s'insère pas dans une banque, un message d'erreur est renvoyé et la chaîne de banque ne peut pas être désactivée.
  • Pendant le downgrade de la mise à jour de logiciel en service (ISSU), la chaîne de banque doit être désactivée ; autrement, le downgrade ISSU échouera.

Restrictions

  • Quand la caractéristique de chaîne de banque est activée, les stratégies appliquées à une interface et à un répertoire sont mergable. Des aucunes des stratégies qui ont des statistiques activées ne peuvent être fusionnées. Quand la chaîne de banque est activée, la caractéristique avec des statistiques activées ne peut pas coexister avec d'autres configurations sur la même interface, à la même direction.

    Exemple : Quand des statistiques sont activées sur la liste de contrôle d'accès de routeur d'entrée (RACL) à Ethernet2/1, le Routage à base de règles (PBR) ne peut pas être configuré sous cette interface.
  • Deux stratégies quelconques, dont le résultat tape sont différentes, ne peuvent pas être fusionnées. Il y a trois types de résultat : ACL, comptabilité, et Qualité de service (QoS). Ces types de trois résultats ne peuvent pas être fusionnés.
    1. Caractéristiques sous le type de résultat d'ACL : Liste de contrôle d'accès de port (PACL), RACL, liste de contrôle d'accès VLAN (VACL), PBR, DHCP, Protocole ARP (Address Resolution Protocol), NetFlow
    2. Caractéristiques sous le type de résultat de comptabilité : NetFlow simple
    3. Caractéristiques sous le type de résultat de QoS : QoS

    Exemple : RACL et QoS ne peuvent pas coexister sur la même direction au-dessous d'une interface avec la chaîne de banque activée.
  • Le tunnel Decap et CoPP sont programmés au-dessous d'une interface logique (LIF) et ne peuvent pas être fusionnés parce que leurs types de résultat sont différents. Afin d'éviter la restriction dans laquelle ils ne peuvent pas coexister, ils sont maintenus dans une banque, même lorsque la chaîne de banque est activée. Quand la liste de contrôle d'accès basée sur rôle (RBACL) est activée, la balise de groupe de sécurité de source/la balise groupe de sécurité de destination (SGT/DGT) sera utilisée afin de créer la clé de consultation TCAM. Le RBACL ne peut pas fusionner avec d'autres stratégies de sortie, puisque l'étiquette est programmée prendre SGT/DGT au lieu des adresses de destination de source d'ipv4. Quand la chaîne de banque est activée, les règles suivantes s'appliquent :
    1. Si le RBACL est activé sous le Virtual Routing and Forwarding (VRF), aucune autre stratégie de sortie ne peut être configurée sous ces interfaces sur ce VRF.
    2. Si le RBACL est activé sous le VLAN, aucune stratégie de sortie VLAN ne peut être configurée.
  • Stratégie de port + de VLAN :  Dans le matériel (HW), la stratégie de port et les étiquettes de stratégie VLAN sont programmées au-dessous d'une entrée de la Gestion de cycle de vie de l'information (ILM). Il peut seulement avoir une étiquette pour la stratégie de port et une étiquette pour la stratégie VLAN. Quand la chaîne de banque est activée, le port + les stratégies VLAN ne peuvent pas être pris en charge :
    1. Quand une stratégie de port est configurée, aucune stratégie ne peut être configurée sous le VLAN/SVI que le port appartient à.
    2. Quand une stratégie VLAN/SVI est configurée, aucune stratégie ne peut être configurée sur le port qui appartient au VLAN.

Exemple d'un message d'erreur :

ERROR: Resource-pooling is not supported with certain feature combinations

Configuration

configuration t
mise en commun de ressource en liste d'accès de matériel ! peut seulement être émis du par défaut volts continu

affichez la mise en commun de ressource en liste d'accès de matériel
état interne de liste d'accès de show system

SITE1-AGG1(config)# hardware access-list resource pooling mod ? 
<1-9>  Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling
 
Module 3 enabled
SITE1-AGG1# show system internal access-list status
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5 

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116151