サービス品質(QoS) : Policy Based Routing(PBR)

Nexus 7000 TCAM バンクの制限事項とバンク チェーンの設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

このドキュメントでは、Nexus 7000 Ternary Content Addressable Memory(TCAM)のアクセス コントロール リスト(ACL)ベースの機能のデフォルト プログラムと、バンク チェーニング機能を使用してリソースをプールする方法について説明します。

著者:Cisco TAC エンジニア、Jane Zizhen Gao

問題

初期の実装では、異なる TCAM バンク間で ACL 機能がプログラムされていません。 そのため、各機能に対して使用できるエントリが 16,000 に制限されます。 大規模な ACL を持つ顧客の場合、これは問題になります。 バンク チェーン機能は、バンクの制限を削除することでこの問題を解決します。 バンク チェーンが有効になっていると、ACL ベースの機能をバンク間にプログラムできます。

エラー メッセージの例:

ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD  
Tcam 0 Bank 0's usage has reached its threshold
ACLMGR-3-ACLMGR_VERIFY_FAIL  Verify failed: client 8200016E, 
Sufficient free entries are not available in TCAM bank

解決策

  • バンク チェーンを有効にすると、その後のコンフィギュレーションにしか影響を与えません。 現在の TCAM エントリは再プログラムされません。 新しい ACL をインターフェイスに適用すると、その新しい ACL は、複数のバンク間にプログラムされます。
  • バンク チェーンが有効になっていると、ACL はバンク間にプログラムされます(Tunnel Decap およびコントロール プレーン保護(CoPP)を除く) (「制限」セクションを参照してください)。 2 つの TCAM バンク 0 に十分なエントリがある場合、ACL は分割され、これら 2 つのバンクにプログラムされます。  
  • 2 つの TCAM バンク 0 に十分な空きエントリがない場合、ACL ルールは 4 つすべてのバンクにプログラムされます。
  • バンク チェーンの機能を有効にすると、ACL が持つルールの数が 1 つの単一のバンクの空きエントリより少なくても、2 つの TCAM バンク 0 間にプログラムされます。
  • バンク チェーンを無効にすると、現在の TCAM エントリが再プログラムされます。 現在の ACL が 1 つのバンクに収まらない場合、エラー メッセージが返され、バンク チェーンを無効にできません。
  • In-Service Software Upgrade(ISSU)のダウングレード中は、バンク チェーンを無効にする必要があります。 そうしないと、ISSU のダウングレードが失敗します。

制約事項

  • バンク チェーンの機能が有効にされている場合、1 つのインターフェイスと 1 つのディレクトリに適用されるポリシーはマージ可能です。 統計情報が有効になっているポリシーはマージできません。 バンク チェーンを有効にすると、統計情報が有効な機能は、同じインターフェイス上の同じ方向の他の機能と共存できません。

    例: Ethernet2/1 の受信側ルータの Access Control List(RACL)の統計情報が有効になっていると、そのインターフェイスの下では Policy Based Routing(PBR)を設定できません。
  • 結果タイプが異なる 2 つのポリシーはマージできません。 結果タイプには、 ACL、アカウンティング、および Quality of Service(QoS)の 3 種類があります。 この 3 つの結果タイプはマージできません。
    1. ACL 結果タイプの下の機能: ポート アクセス コントロール リスト(PACL)、RACL、VLAN アクセス コントロール リスト(VACL)、PBR、DHCP、アドレス解決プロトコル(ARP)、Netflow
    2. アカウンティング結果タイプの下の機能: Netflow のみ
    3. QoS 結果タイプの下の機能: QoS

    例: バンク チェーンが有効な 1 つのインターフェイスの下では、RACL と QoS は同じ方向で共存できません。
  • Tunnel Decap および CoPP は 1 つの論理インターフェイス(LIF)の下にプログラムされますが、結果タイプが異なるため、マージできません。 共存できない制限を回避するには、バンク チェーンが有効であっても、これらを 1 つのバンクに収めます。 ロールベース アクセス コントロール リスト(RBACL)が有効になっている場合は、送信元セキュリティ グループ タグ/宛先セキュリティ グループ タグ(SGT/DGT)を使用して TCAM のルックアップ キーを作成します。 SGT/DGT のピックアップ用に、IPv4 ソース宛先アドレスの代わりにラベルがプログラムされているため、RBACL は他の出力ポリシーとマージできません。 バンク チェーンが有効な場合、次のルールが適用されます。
    1. 仮想ルーティングおよび転送(VRF)の下で RBACL が有効になっている場合、その VRF 内のインターフェイスでは他の出力ポリシーを設定できません。
    2. VLAN の下で RBACL が有効になっている場合、VLAN 出力ポリシーは設定できません。
  • ポート + VLAN ポリシー:  ハードウェア(HW)では、ポート ポリシーおよび VLAN ポリシーのラベルは 1 つの Information Lifecycle Management(ILM)エントリの下にプログラムされます。 ポート ポリシーが持つことができるラベルは 1 つだけで、VLAN ポリシーが持つことができるラベルも 1 つだけです。 バンク チェーンを有効にすると、ポート + VLAN ポリシーはサポートされません。
    1. ポート ポリシーを設定すると、ポートが所属する VLAN/SVI の下でポリシーを設定できません。
    2. VLAN/SVI ポリシーを設定すると、VLAN に属するポートにポリシーを設定できません。

エラー メッセージの例:

ERROR: Resource-pooling is not supported with certain feature combinations

設定

config t
hardware access-list resource pooling コマンドは、デフォルトの VDC からのみ発行されます。

show hardware access-list resource pooling
show system internal access-list status

SITE1-AGG1(config)# hardware access-list resource pooling mod ? 
<1-9>  Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling
 
Module 3 enabled
SITE1-AGG1# show system internal access-list status
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5 

関連情報



Document ID: 116151