Calidad de servicio (QoS) : Routing basado en políticas (PBR)

Nexo 7000 limitaciones del banco TCAM y configuración de cadena del banco

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (21 Abril 2016) | Comentarios

Introducción

Este documento describe el valor por defecto que programa para las características basadas en listas del control de acceso (ACL) para los nexos 7000 bancos del Ternary Content Addressable Memory (TCAM) y cómo reunir los recursos usando el banco que encadena la característica.

Contribuido por Jane Zizhen Gao, ingeniero de Cisco TAC.

Problema

Con la instrumentación inicial, las características ACL no se programan a través de diversos bancos TCAM. Esto limita las entradas disponibles para cada característica a 16,000. Para esos clientes que tengan ACL grandes, esto se convierte en un problema. El uso de la característica del encadenamiento del banco soluciona este problema con el retiro de la restricción del banco. Cuando se habilita el encadenamiento del banco, las características ACL-basadas se pueden programar a través de los bancos.

Ejemplos de los mensajes de errores:

ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD  
Tcam 0 Bank 0's usage has reached its threshold
ACLMGR-3-ACLMGR_VERIFY_FAIL  Verify failed: client 8200016E, 
Sufficient free entries are not available in TCAM bank

Solución

  • Cuando se habilita el encadenamiento del banco, afecta solamente a las configuraciones futuras. Las entradas TCAM actuales no se reprograman. Cuando un nuevo ACL se aplica a una interfaz, ese nuevo ACL se programa a través de los bancos múltiples.
  • Cuando se habilita el encadenamiento del banco, el ACL se programa a través de los bancos (excepto el túnel Decap y la protección plana del control (CoPP)). (Refiera a la sección de las restricciones.) Si hay bastantes entradas en el banco 0's de dos TCAM, el ACL está partido y programado en esos dos bancos.  
  • Si el banco 0s de dos TCAM no tiene bastantes entradas libres, la regla ACL se programa a través de los cuatro bancos.
  • Cuando se habilita la característica del encadenamiento del banco, incluso si el ACL tiene un número más pequeño de reglas que las entradas libres de un solo banco, se programa a través del banco 0s de dos TCAM.
  • Cuando se inhabilita el encadenamiento del banco, se reprograman las entradas TCAM actuales. Si el ACL actual no cabe en un banco, se devuelve un mensaje de error y el encadenamiento del banco no puede ser inhabilitado.
  • Durante el downgrade en servicio de la actualización del software (ISSU), el encadenamiento del banco debe ser inhabilitado; si no, el downgrade ISSU fallará.

Restricciones

  • Cuando se habilita la característica del encadenamiento del banco, las directivas aplicadas a una interfaz y a un directorio son mergable. Ninguna de las directivas que tienen estadísticas habilitadas no puede ser combinado. Cuando se habilita el encadenamiento del banco, la característica con las estadísticas habilitadas no puede coexistir con las otras funciones en la misma interfaz, en la misma dirección.

    Ejemplo: Cuando las estadísticas se habilitan en la lista de control de acceso del router de ingreso (RACL) en Ethernet2/1, el Routing basado en políticas (PBR) no se puede configurar bajo esa interfaz.
  • Cualquier dos directivas, cuyo resultado teclee son diferentes, no pueden ser combinadas. Hay tres tipos del resultado: ACL, estadísticas, y Calidad de Servicio (QoS). Estos tipos de tres resultados no pueden ser combinados.
    1. Características conforme al tipo del resultado ACL: Lista de control de acceso del puerto (PACL), RACL, VLAN Access Control List (VACL), PBR, DHCP, Address Resolution Protocol (ARP), Netflow
    2. Características conforme al tipo del resultado de las estadísticas: Netflow simple
    3. Características conforme al tipo del resultado de QoS: QoS

    Ejemplo: El RACL y QoS no pueden coexistir en la misma dirección bajo una interfaz con el encadenamiento del banco habilitado.
  • El túnel Decap y CoPP se programa bajo una interfaz lógica (LIF) y no puede ser combinado porque sus tipos del resultado son diferentes. Para evitar la restricción en la cual no pueden coexistir, se mantienen un banco, incluso cuando se habilita el encadenamiento del banco. Cuando se habilita la lista de control de acceso basada en Role (RBACL), la etiqueta de la etiqueta del grupo de seguridad de la fuente/del grupo de seguridad del destino (SGT/DGT) será utilizada para crear la clave de las operaciones de búsqueda TCAM. El RBACL no puede combinarse con otras políticas de egress, puesto que la escritura de la etiqueta se programa para coger SGT/DGT en vez de los direccionamientos de origen destino del IPv4. Cuando se habilita el encadenamiento del banco, las reglas siguientes se aplican:
    1. Si el RBACL se habilita bajo el ruteo virtual y expedición (VRF), ningunas otras políticas de egress se pueden configurar bajo esas interfaces en ese VRF.
    2. Si el RBACL se habilita bajo el VLA N, ninguna política de egress del VLA N puede ser configurada.
  • Puerto + política de VLAN:  En hardware (HW), la política de puerto y las escrituras de la etiqueta de la política de VLAN se programan bajo una entrada de la Administración del ciclo vital de la información (ILM). Puede solamente tener una escritura de la etiqueta para la política de puerto y una escritura de la etiqueta para la política de VLAN. Cuando se habilita el encadenamiento del banco, el puerto + las políticas de VLAN no pueden ser soportados:
    1. Cuando se configura una política de puerto, ninguna directiva se puede configurar bajo el VLAN/SVI que el puerto pertenece a.
    2. Cuando se configura una directiva VLAN/SVI, ninguna directiva se puede configurar en el puerto que pertenece al VLA N.

Ejemplo de un mensaje de error:

ERROR: Resource-pooling is not supported with certain feature combinations

Configuración

config t
¡distribución de recursos de la lista de acceso del hardware! puede ser publicado solamente del valor por defecto VDC

muestre la distribución de recursos de la lista de acceso del hardware
muestre a sistema el estatus interno de la lista de acceso

SITE1-AGG1(config)# hardware access-list resource pooling mod ? 
<1-9>  Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling
 
Module 3 enabled
SITE1-AGG1# show system internal access-list status
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5 

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116151