O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve as soluções alternativas de problemas de recursos TCAM.
%ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD Tcam 0 O uso do Banco 0 atingiu seu limite
%ACLMGR-3-ACLMGR_VERIFY_FAIL Falha na verificação: cliente 8200016E, entradas livres suficientes não estão disponíveis no banco TCAM
“ERRO: Falha na inserção da entrada TCAM devido a restrições de TCAM Spanslogic" — somente em módulos XL
Para obter mais restrições de TCAM spanslogic, consulte .
Comando:
show hardware access-list resource usage module <mod>
SITE1-AGG1# show hardware access-list resource utilization mod 3
INSTANCE 0x0
-------------
ACL Hardware Resource Utilization (Mod 3)
--------------------------------------------
Used Free Percent
Utilization
-----------------------------------------------------
Tcam 0, Bank 0 9 16375 0.05
Tcam 0, Bank 1 2 16382 0.01
Tcam 1, Bank 0 7 16377 0.04
Tcam 1, Bank 1 246 16138 1.50
LOU 3 101 2.88
Both LOU Operands 2
Single LOU Operands 1
LOU L4 src port: 0
LOU L4 dst port: 1
LOU L3 packet len: 0
LOU IP tos: 0
LOU IP dscp: 0
LOU ip precedence: 0
LOU ip TTL: 0
TCP Flags 0 16 0.00
Protocol CAM 4 3 57.14
Mac Etype/Proto CAM 9 5 64.28
Non L4op labels, Tcam 0 2 6141 0.03
Non L4op labels, Tcam 1 3 6140 0.04
L4 op labels, Tcam 0 0 2047 0.00
L4 op labels, Tcam 1 1 2046 0.04
Ingress Dest info table 131072 510 0.39
Egress Dest info table 65536 511 0.19
SITE1-AGG1#
As opções listadas abaixo são as poucas quando o uso de TCAM é alto.
Por padrão, o N7K executa uma atualização da ACL (Access Control List, lista de controle de acesso) atômica para um módulo quando há alteração na ACL. Uma atualização atômica não interrompe o tráfego ao qual a ACL atualizada se aplica. No entanto, uma atualização atômica exige que um módulo de E/S que recebe uma atualização de ACL tenha recursos disponíveis suficientes para armazenar cada entrada de ACL atualizada, além de todas as entradas preexistentes na ACL afetada. Após a atualização, os recursos adicionais usados para a atualização serão liberados. Se o módulo de E/S não tiver os recursos necessários, o dispositivo gerará uma mensagem de erro e a atualização da ACL para o módulo de E/S falhará.
Se um módulo de E/S não tiver os recursos necessários para uma atualização atômica, você poderá desativar as atualizações atômicas usando
no hardware access-list update atomic
No entanto, durante o breve tempo necessário para que o dispositivo remova a ACL preexistente e implemente a ACL atualizada, o tráfego ao qual a ACL se aplica é descartado por padrão. Se você quiser permitir todo o tráfego ao qual uma ACL se aplica, enquanto recebe uma atualização não atômica. Use o comando hardware access-list update default-result permit.
Note: Se as atualizações atômicas e não atômicas forem possíveis (digamos que a TCAM tenha espaço livre suficiente), o atômico é preferível. Se não houver espaço livre suficiente para fazer a atualização atômica, tentará-se o não-atômico. Portanto, a implementação atual é sempre tentar primeiro, mesmo quando a atualização atômica é desativada. No entanto, atualmente em caso de falha devido a restrições de espanslogic, ela não é comutada para não atômica, e CSCud36802 é arquivada para tratar disso (a ser corrigido em Freetown a partir de hoje).
Note: Ao tentar remover a ECA enquanto o uso da TCAM é alto, uma vez que a atualização atômica é sempre tentada primeiro, como mencionado acima, os contêineres spanslogic ainda podem ser atingidos e o CSCua24513 foi arquivado para resolver esse problema (corrigido em 5.2.7).
Por padrão, o N7K tentaria mesclar recursos ao programar o TCAM, o que ajuda a salvar o recurso TCAM. Quando as estatísticas por entrada são configuradas, as entradas não são mescladas para manter as estatísticas de entrada (ACE) por acesso, caso em que podem ser necessários mais recursos.
Esse comando não tem nenhum impacto no desempenho, pois o processamento da ACL está sempre no hardware.
Há duas opções para exibir as estatísticas:
show ip access-list <acl>
Note: Exibe contadores somente para as entradas de hardware que são programadas do tipo de política PACL/RACL (por exemplo, acl aplicada em interfaces)
show hardware internal access-list input detail module <x>
Note: A ACL usada dentro da política de cópia é usada para classificação de pacotes. A decisão de permitir/negar/limitar a taxa do pacote é feita pela configuração do plano de controle qos policy/class-map. As ações de permissão/negação especificadas na acl não são efetivas quando usadas dentro da política de cópia.
Se você habilitar estatísticas na acl copp e mesmo se você usar a mesma acl inside copp class-map, show ip access <acl> não refletiria isso devido ao motivo acima. Essencialmente, uma acl usada dentro de uma política de qos copp é programada como tipo de política - QoS. Se você quiser ver os pacotes atingindo a política de copos control-plane qos, este comando pode ser usado:
show system internal access-list input detail module <x> | b CoPP
O modelo de programação padrão cria uma entrada de fragmento não-primeiro paralela no hardware para cada ACE. Essa entrada corresponde aos mesmos endereços IP origem/destino e protocolo da ACE original, mas sem informações de porta L4 e correspondendo em fragmentos não iniciais.
Note: Entradas de fragmento para ACEs L3 não programadas em mecanismos de encaminhamento não-XL.
O manuseio de fragmentos padrão resulta em 2X CL de utilização de TCAM. Botão de configuração fornecido para permitir ou negar TODOS os fragmentos não iniciais:
fragmentos {permit-all | deny-all}
Otimiza a utilização de TCAM de CL - consome uma única entrada de CL TCAM para toda a ACL (em comparação a uma entrada por ACE L4)
ACEs usando operadores L4 - intervalo, gt, lt, neq. Há duas maneiras de o software lidar com operadores L4:
O comando global hardware access-list lou resource threshold controla quando a opção 1 vs opção 2 ocorre para uma ACE. O limite de expansão controla quando a expansão ocorre, o limite padrão é 5. Se uma ACE pode ser expandida para <=5 entradas CL TCAM, nenhuma L4op alocada.
Prós/contras:
K.A. Cadeia Bancária. Explicado em detalhes em
ID do BUG da Cisco CSCtd24377 AD-XL: Restrições do algoritmo de espanslogic
O Cisco BUG ID CSCuc98853 ACLQOS não está honrando o fragmento deny-all/permit-all para o mapa de rota para XL
Slides de classificação de Tim Stevens