TCAM de Nexus 9000
Contenido
Introducción
Este documento explica cómo funciona el tallado de memoria direccionable de contenido ternario (TCAM) Nexus 9000. Cubre los conceptos actuales y más comunes, la configuración y los mensajes de error.
Este documento no es completo: hay demasiadas combinaciones de tallado TCAM que cubrir. El propósito de este documento es ayudar a los usuarios a entender cómo funciona la asignación TCAM para que puedan encontrar configuraciones válidas que satisfagan sus necesidades.
Antecedentes
Si desea utilizar una función no predeterminada para los switches Nexus serie 9000, debe dividir manualmente el espacio TCAM para las funciones. De forma predeterminada, se asigna todo el espacio TCAM.
Terminology
- Feature Width - Existen funciones de ancho único y ancho doble. Una función de ancho único requiere al menos una porción. Una función de ancho doble requiere como mínimo dos porciones. Para las funciones de ancho único y doble, el tamaño total, si es superior a 256, debe ser un múltiplo de 512. Sólo se puede asignar una porción a una región. Por ejemplo, no puede utilizar una porción de 512 tamaños para configurar dos funciones de tamaño 256 cada una ni puede utilizar una porción de 512 tamaños para configurar una única función de ancho doble.
- Dividir: una unidad de asignación de memoria. Los fragmentos pueden tener un tamaño de 256 o 512, medidos en bytes.
- TCAM: Memoria direccionable de contenido ternario. Este es el espacio del hardware donde se almacenan las listas de acceso (ACL). Se trata de una memoria especializada que almacena datos tabulares complejos y admite búsquedas paralelas muy rápidas.
Regiones TCAM ACL
Puede cambiar el tamaño de las regiones TCAM de ACL en el hardware. El tamaño TCAM de salida es de 1K, dividido en cuatro 256 entradas. El tamaño TCAM de ingreso es 4K, dividido en ocho 256 porciones y cuatro 512 porciones.
Las regiones TCAM IPv4 son de ancho único. Las regiones de IPv6, calidad de servicio (QoS), MAC, regulación de tráfico del plano de control (CoPP) y TCAM del sistema tienen un ancho doble y consumen el doble de las entradas TCAM físicas. Por ejemplo, un tamaño de región lógica de 256 entradas consume en realidad 512 entradas TCAM físicas.
Puede crear IPv6, ACL de puerto (PACL), ACL de VLAN (VACL) y ACL de router (RACL), y puede hacer coincidir las direcciones IPv6 y MAC para QoS. Sin embargo, Cisco NX-OS no puede admitir todos ellos simultáneamente. Debe quitar o reducir el tamaño de las regiones TCAM actuales (división TCAM) para habilitar las regiones TCAM IPv6 y MAC. Para cada comando de configuración de región TCAM, el sistema evalúa si el nuevo cambio puede caber en el TCAM. Si no, informa de un error y se rechaza el comando. Debe eliminar o reducir el tamaño de las regiones TCAM actuales para dar cabida a nuevos requisitos.
Los tamaños de región TCAM de ACL tienen estas pautas y limitaciones:
- En los switches Nexus de Cisco serie 9500, la configuración de región TCAM de entrada predeterminada tiene una porción gratuita de 256 entradas en Cisco NX-OS versión 6.1(2)I1(1). Esta porción se asigna a la región del analizador de puertos de switch (SPAN) en Cisco NX-OS versión 6.1(2)I2(1). Asimismo, la región de RACL se reduce de 2K a 1,5K en Cisco NX-OS versión 6.1(2)I2(1) para dejar espacio a la región de convergencia de canal de puerto virtual (vPC) con 512 entradas.
- En los switches Nexus de Cisco serie 9300, se utiliza la tarjeta de línea de hoja de Application Centric Infrastructure (ACI) para aplicar las políticas de clasificación de QoS aplicadas en los puertos de 40 G. Tiene 768 entradas TCAM disponibles para tallar en granularidad de 256 entradas. Estos nombres de región llevan el prefijo "ns-".
- Para la tarjeta de línea hoja de ACI en los switches Nexus de Cisco serie 9300, solo las regiones TCAM IPv6 consumen entradas de ancho doble. El resto de las regiones TCAM consumen entradas de ancho único.
- Cuando se configura una región VACL, se configura con el mismo tamaño tanto en las direcciones de entrada como de salida. Si el tamaño de la región no puede encajar en ninguna dirección, se rechaza la configuración.
Valores predeterminados
Tanto los switches Nexus serie 9300 como 9500 tienen cuatro porciones de tamaño de 512 bytes y ocho porciones de tamaño de 256 bytes. De forma predeterminada, se utilizan todos los segmentos y todo el espacio, aunque la asignación predeterminada es diferente entre la serie Nexus 9300 y la serie 9500.
Asignación de TCAM Nexus serie 9500
Los switches Nexus serie 9500 tienen esta asignación TCAM de forma predeterminada:
Nexus9500# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Mesh optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------------
IPV4 PACL [ifacl] 3 0 0 1
IPV6 PACL [ipv6-ifacl] 4 0 0 2
MAC PACL [mac-ifacl] 5 0 0 2
IPV4 Port QoS [qos] 6 0 0 2
IPV6 Port QoS [ipv6-qos] 7 0 0 2
MAC Port QoS [mac-qos] 8 0 0 2
FEX IPV4 PACL [fex-ifacl] 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl] 10 0 0 2
FEX MAC PACL [fex-mac-ifacl] 11 0 0 2
FEX IPV4 Port QoS [fex-qos] 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos] 13 0 0 2
FEX MAC Port QoS [fex-mac-qos] 14 0 0 2
IPV4 VACL [vacl] 15 0 0 1
IPV6 VACL [ipv6-vacl] 16 0 0 2
MAC VACL [mac-vacl] 17 0 0 2
IPV4 VLAN QoS [vqos] 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos] 19 0 0 2
MAC VLAN QoS [mac-vqos] 20 0 0 2
IPV4 RACL [racl] 21 0 1536 1
IPV6 RACL [ipv6-racl] 22 0 0 2
IPV4 Port QoS Lite [qos-lite] 61 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite] 62 0 0 1
IPV4 VLAN QoS Lite [vqos-lite] 63 0 0 1
IPV4 L3 QoS Lite [l3qos-lite] 64 0 0 1
IPV4 L3 QoS [l3qos] 37 3072 256 2
IPV6 L3 QoS [ipv6-l3qos] 38 0 0 2
MAC L3 QoS [mac-l3qos] 39 0 0 2
Ingress System 1 2048 256 2
SPAN [span] 2 4096 256 1
Ingress COPP [copp] 40 2560 256 2
Ingress Flow Counters [flow] 43 0 0 1
Ingress SVI Counters [svi] 45 0 0 1
Redirect [redirect] 46 3840 256 1
NS IPV4 Port QoS [ns-qos] 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos] 48 0 0 2
NS MAC Port QoS [ns-mac-qos] 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos] 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos] 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos] 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos] 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos] 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos] 55 0 0 1
VPC Convergence [vpc-convergence] 57 1536 512 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------------
Total: 4096
----------------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------------
Egress IPV4 VACL [vacl] 31 0 0 1
Egress IPV6 VACL [ipv6-vacl] 32 0 0 2
Egress MAC VACL [mac-vacl] 33 0 0 2
Egress IPV4 RACL [e-racl] 34 4352 768 1
Egress IPV6 RACL [e-ipv6-racl] 35 0 0 2
Egress System 24 3584 256 1
Egress Flow Counters [e-flow] 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------------
La asignación de porción es la siguiente para el ingreso:
Sección 1 (512): RACL
Sección 2 (512): RACL
Sección 3 (512): RACL
Sección 4 (512): Convergencia de VPC
Sección 5 (256): QOS de capa 3
Sección 6 (256): QOS de capa 3
Sección 7 (256): SPAN
Sección 8 (256): REDIRECCIONAR
Sección 9 (256): CoPP de ingreso
División 10 (256): CoPP de ingreso
División 11 (256): Sistema de ingreso
División 12 (256): Sistema de ingreso
Utilización de entrada conceptualizada:
Asignación de TCAM Nexus serie 9300
Los switches Nexus serie 9300 tienen esta asignación TCAM de forma predeterminada:
Nexus9300# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Burst optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------
IPV4 PACL [ifacl]( 1) 3 0 512 1
IPV6 PACL [ipv6-ifacl]( 2) 4 0 0 2
MAC PACL [mac-ifacl]( 3) 5 0 0 2
IPV4 Port QoS [qos]( 4) 6 3072 256 2
IPV6 Port QoS [ipv6-qos]( 5) 7 0 0 2
MAC Port QoS [mac-qos]( 6) 8 0 0 2
FEX IPV4 PACL [fex-ifacl]( 7) 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl]( 8) 10 0 0 2
FEX MAC PACL [fex-mac-ifacl]( 9) 11 0 0 2
FEX IPV4 Port QoS [fex-qos]( 10) 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos]( 11) 13 0 0 2
FEX MAC Port QoS [fex-mac-qos]( 12) 14 0 0 2
IPV4 VACL [vacl]( 13) 15 512 512 1
IPV6 VACL [ipv6-vacl]( 14) 16 0 0 2
MAC VACL [mac-vacl]( 15) 17 0 0 2
IPV4 VLAN QoS [vqos]( 16) 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos]( 17) 19 0 0 2
MAC VLAN QoS [mac-vqos]( 18) 20 0 0 2
IPV4 RACL [racl]( 19) 21 1024 512 1
IPV6 RACL [ipv6-racl]( 20) 22 0 0 2
IPV4 Port QoS Lite [qos-lite]( 21) 63 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite]( 22) 64 0 0 1
IPV4 VLAN QoS Lite [vqos-lite]( 23) 65 0 0 1
IPV4 L3 QoS Lite [l3qos-lite]( 24) 66 0 0 1
IPV4 L3 QoS [l3qos]( 34) 37 0 0 2
IPV6 L3 QoS [ipv6-l3qos]( 35) 38 0 0 2
MAC L3 QoS [mac-l3qos]( 36) 39 0 0 2
Ingress System( 37) 1 2048 256 2
SPAN [span]( 39) 2 3584 256 1
Ingress COPP [copp]( 40) 40 2560 256 2
Ingress Flow Counters [flow]( 41) 43 0 0 1
Ingress SVI Counters [svi]( 43) 45 0 0 1
Redirect [redirect]( 44) 46 1536 512 1
NS IPV4 Port QoS [ns-qos]( 45) 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos]( 46) 48 0 0 2
NS MAC Port QoS [ns-mac-qos]( 47) 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos]( 48) 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos]( 49) 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos]( 50) 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos]( 51) 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos]( 52) 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos]( 53) 55 0 0 1
VPC Convergence [vpc-convergence]( 54) 57 4096 256 1
IPSG SMAC-IP bind table [ipsg]( 55) 59 0 0 1
Ingress ARP-Ether ACL [arp-ether]( 56) 62 0 0 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------
Total: 4096
----------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------
Egress IPV4 QoS [e-qos]( 25) 28 0 0 2
Egress IPV6 QoS [e-ipv6-qos]( 26) 29 0 0 2
Egress MAC QoS [e-mac-qos]( 27) 30 0 0 2
Egress IPV4 VACL [vacl]( 28) 31 4352 512 1
Egress IPV6 VACL [ipv6-vacl]( 29) 32 0 0 2
Egress MAC VACL [mac-vacl]( 30) 33 0 0 2
Egress IPV4 RACL [e-racl]( 31) 34 4864 256 1
Egress IPV6 RACL [e-ipv6-racl]( 32) 35 0 0 2
Egress IPV4 QoS Lite [e-qos-lite]( 33) 36 0 0 1
Egress System( 38) 24 3840 256 1
Egress Flow Counters [e-flow]( 42) 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------
Sección 1 (512): PACL IPv4
Sección 2 (512): VACL
Sección 3 (512): RACL
Sección 4 (512): Redireccionar
Sección 5 (256): Port QOS
Sección 6 (256): Port QOS
Sección 7 (256): SPAN
Sección 8 (256): Convergencia de VPC
Sección 9 (256): CoPP de ingreso
División 10 (256): CoPP de ingreso
División 11 (256): Sistema de ingreso
División 12 (256): Sistema de ingreso
Utilización de entrada conceptualizada:
Configuración
Para reconfigurar una región TCAM, utilice el comando hardware access-list tcam region <feature_name> <feature_size> en el terminal de configuración. Una vez que haya cambiado las regiones para que sean los tamaños previstos, debe volver a cargar el dispositivo.
Situación de ejemplo
Tiene un Nexus 9300 y desea asignar el espacio TCAM para que se ajuste mejor a sus necesidades. Debe liberar hasta 512 bytes de TCAM. Esto le permite agregar más a IPv4 PACL. Sin embargo, usted decide que no necesita 512 VACL o 512 RACL, pero necesita algunos de ambos para decidir desasignar 256 bytes de VACL y RACL. Esto libera un espacio de 512 como muestran estos comandos:
Nexus9300(config)# hardware access-list tcam region vacl 256
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 256
Warning: Please save config and reload the system for the configuration to take effect
Con 512 bytes libres, intenta asignar 512 adicionales a IPv4 PACL, pero vea este resultado:
Nexus9300(config)# hardware access-list tcam region ifacl 1024
ERROR: Aggregate TCAM region configuration exceeded the available Ingress TCAM slices.
Please re-configure.
A pesar de que se liberaron 512 bytes, tanto el espacio VACL como el espacio RACL, del que se extraían 256, eran bloques de tamaño 512. Como tal, los comandos anteriores dejaron de asignar espacio, pero no anularon la asignación de ninguna porción. Para aumentar el tamaño de IPv4 PACL a 1024, debe tomar 512 bytes de una única función que libere una parte y un espacio:
Nexus9300(config)# hardware access-list tcam region vacl 512
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 0
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region ifacl 1024
Warning: Please save config and reload the system for the configuration to take effect
Comandos de verificación
- show hardware access-list tcam region - Verifica la configuración de software actual
- show system internal access-list globals - Verifica la configuración de hardware actual
- show system internal access-list input detail - Muestra las ACL específicas configuradas para cada instancia
- show hardware access-list resource usage - Muestra la utilización actual de cada región TCAM configurada
- show hardware access-list resource entries - Muestra el número de entradas ACL configuradas para cada instancia
Errores y soluciones
Estos son los errores comunes que puede ver en una configuración TCAM:
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM slices. Please re-configure.
Este error ocurre cuando intenta configurar una cantidad válida de espacio TCAM con respecto al límite de 4k, pero su asignación consume más porciones de las disponibles. La única solución para este error es revisar el diseño de tallado TCAM previsto para liberar porciones. Este error es más común cuando intenta configurar una nueva función de ancho doble, ya que requieren al menos dos porciones de 256 o 512.
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM space. Please re-configure.
Al igual que con el error de división, la única solución es volver a configurar. Este mensaje de error sólo se ve cuando todos los segmentos de TCAM ya se han asignado e intenta asignar más espacio.
ERROR: TCAM regions with size more than 256, should have size
in multiple of 512 entries
Debido a las limitaciones de hardware, los tamaños de TCAM superiores a 256 no se pueden combinar de ninguna manera que combine un número impar de 256 bloques con un bloque 512. Por esta razón, cuando configura una región TCAM mayor que 512, los únicos tamaños válidos son múltiplos de 512.
Directrices y limitaciones de diseño
El espacio TCAM es limitado. La elección de lo que es mejor para usted depende completamente del caso práctico específico. De forma predeterminada, todo el espacio TCAM ya está asignado, por lo que debe decidir de dónde desea 'robar' el espacio TCAM para asignarlo a otro lugar.
- En el caso de la entrada, cuatro de las ocho porciones disponibles de tamaño 256 no se pueden desasignar (utilizadas por CoPP y el sistema de ingreso).
- SPAN utiliza una porción 256. Si se toma prestado de esto, se elimina la capacidad de usar completamente las funciones SPAN y Packet-Tracer (no se recomienda quitarlas para solucionar problemas).
- Se utiliza una porción de tamaño 256 o 512 para vPC en las plataformas Nexus 9300 y 9500, respectivamente. Si se roba, se eliminará la capacidad de utilizar vPC
- Se utiliza una porción de tamaño 512 o 256 para Redirigir en las plataformas Nexus 9300 y 9500 respectivamente. Si toma prestado de esto, elimina la capacidad de utilizar DHCPv4, DHCPv6 o BFD.
- Si las actualizaciones atómicas están habilitadas y usted está utilizando más del 50% para una función TCAM, no puede eliminar una línea de ninguna ACL debido a la falta de espacio.
- De forma predeterminada, la política de QoS aplicada en varias interfaces no comparte la etiqueta, ya que las estadísticas están habilitadas de forma predeterminada. Para compartir la etiqueta para la misma política de QoS aplicada en varias interfaces, debe configurar la política de QoS con la opción no-stats como muestra este ejemplo:
(config-if)# service-policy type qos input my-policy no-stats
- Cuando sea posible, los usuarios deben utilizar la versión "lite" de las funciones. Con las versiones 'lite', el switch utiliza la mitad del espacio TCAM para esa función. Esto hace que una característica de ancho doble sea de ancho único. El coste es que la función no realiza un seguimiento del tráfico del regulador de tráfico confirmado. Sólo realiza un seguimiento de los paquetes de regulación violados. Dado que la mayoría de los usuarios solo se preocupan por el tráfico descartado, esta es generalmente la mejor opción, ya que ahorra espacio TCAM.
- Los usuarios no pueden reducir la cantidad predeterminada de TCAM del sistema de ingreso y CoPP. Estos ya se encuentran en el valor mínimo y no se pueden reducir.
- Todas las funciones de QoS son de doble ancho.
- No se soportan los mapas de políticas SVI.
Información Relacionada
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)