了解如何划分Nexus 9000 TCAM空间
简介
本文档介绍如何创建Nexus 9000三重内容可寻址存储器(TCAM)。
背景信息
本文档并非是许多TCAM组合的详尽列表。本文档旨在帮助用户了解TCAM分配的工作原理,以便他们能够确定满足其需求的有效配置。 它涵盖当前和最常见的概念、配置和错误消息。
要对Nexus 9000系列交换机使用非默认功能,必须手动为这些功能分配TCAM空间。默认情况下,会分配所有TCAM空间。
术语
- 功能宽度 — 有单宽和双宽两种功能。 单宽度特征至少需要一个切片。 双宽度特征至少需要两个切片。
对于单宽和双宽功能,总大小(如果大于256)必须为512的倍数。切片只能分配给一个区域。
例如,不能使用512大小的切片来配置每个大小为256的两个功能,也不能使用512大小的切片来配置单个双宽功能。
- Slice — 内存分配的单位。片的大小可以是256或512(以字节为单位)。
- TCAM -三重内容可寻址存储器。 这是硬件中存储访问列表(ACL)的空间。 这是一个专用内存,它存储复杂的表格数据并支持非常快速的并行查找。
ACL TCAM区域
您可以在硬件中更改ACL TCAM区域的大小。出口TCAM大小为1K,分为四个256个条目。入口TCAM大小为4K,分为八个256切片和四个512切片。
IPv4 TCAM区域为单宽。IPv6、服务质量(QoS)、MAC、控制平面策略(CoPP)和系统TCAM区域宽度为双倍,消耗双倍于物理TCAM条目。
例如,256个条目的逻辑区域大小实际上会消耗512个物理TCAM条目。
您可以创建IPv6、端口ACL(PACL)、VLAN ACL(VACL)和路由器ACL(RACL),并且可以匹配QoS的IPv6和MAC地址。但是,Cisco NX-OS无法同时支持所有操作系统。
必须删除或减小当前TCAM区域的大小才能启用IPv6和MAC TCAM区域。对于每个TCAM区域配置命令,系统评估新更改是否适用于TCAM。
如果不是,则报告错误,并且命令被拒绝。您必须移除或减小当前TCAM区域的大小,以便为新要求留出空间。
ACL TCAM区域大小有以下准则和限制:
- 在Cisco Nexus 9500系列交换机上,默认入口TCAM区域配置在Cisco NX-OS版本6.1(2)I1(1)中有一个免费的256条目分片。
此分片分配给Cisco NX-OS版本6.1(2)I2(1)中的交换机端口分析器(SPAN)区域。同样,在Cisco NX-OS版本6.1(2)I2(1)中,RACL区域从2K减少到1.5K,以便为具有512个条目的虚拟端口通道(vPC)融合区域腾出空间。
- 在Cisco Nexus 9300系列交换机上,使用以应用为中心的基础设施(ACI)枝叶线卡来实施应用于40G端口的QoS分类策略。它具有768个TCAM条目,可在256条目粒度内进行刻划。这些区域名称的前缀为“ns — ”。
- 对于Cisco Nexus 9300系列交换机上的ACI枝叶线卡,只有IPv6 TCAM区域会使用双宽度条目。其他TCAM区域使用单宽度条目。
- 配置VACL区域时,其入口和出口方向的大小相同。如果区域大小不能适应任一方向,则配置会被拒绝。
lts
Nexus 9300和9500系列交换机都有四个大小为512字节的片以及八个大小为256字节的片。 默认情况下,使用所有切片和所有空间,尽管Nexus 9300系列和9500系列之间的默认分配不同。
Nexus 9500系列TCAM分配
默认情况下,Nexus 9500系列交换机具有以下TCAM分配:
Nexus9500# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Mesh optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------------
IPV4 PACL [ifacl] 3 0 0 1
IPV6 PACL [ipv6-ifacl] 4 0 0 2
MAC PACL [mac-ifacl] 5 0 0 2
IPV4 Port QoS [qos] 6 0 0 2
IPV6 Port QoS [ipv6-qos] 7 0 0 2
MAC Port QoS [mac-qos] 8 0 0 2
FEX IPV4 PACL [fex-ifacl] 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl] 10 0 0 2
FEX MAC PACL [fex-mac-ifacl] 11 0 0 2
FEX IPV4 Port QoS [fex-qos] 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos] 13 0 0 2
FEX MAC Port QoS [fex-mac-qos] 14 0 0 2
IPV4 VACL [vacl] 15 0 0 1
IPV6 VACL [ipv6-vacl] 16 0 0 2
MAC VACL [mac-vacl] 17 0 0 2
IPV4 VLAN QoS [vqos] 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos] 19 0 0 2
MAC VLAN QoS [mac-vqos] 20 0 0 2
IPV4 RACL [racl] 21 0 1536 1
IPV6 RACL [ipv6-racl] 22 0 0 2
IPV4 Port QoS Lite [qos-lite] 61 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite] 62 0 0 1
IPV4 VLAN QoS Lite [vqos-lite] 63 0 0 1
IPV4 L3 QoS Lite [l3qos-lite] 64 0 0 1
IPV4 L3 QoS [l3qos] 37 3072 256 2
IPV6 L3 QoS [ipv6-l3qos] 38 0 0 2
MAC L3 QoS [mac-l3qos] 39 0 0 2
Ingress System 1 2048 256 2
SPAN [span] 2 4096 256 1
Ingress COPP [copp] 40 2560 256 2
Ingress Flow Counters [flow] 43 0 0 1
Ingress SVI Counters [svi] 45 0 0 1
Redirect [redirect] 46 3840 256 1
NS IPV4 Port QoS [ns-qos] 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos] 48 0 0 2
NS MAC Port QoS [ns-mac-qos] 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos] 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos] 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos] 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos] 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos] 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos] 55 0 0 1
VPC Convergence [vpc-convergence] 57 1536 512 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------------
Total: 4096
----------------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------------
Egress IPV4 VACL [vacl] 31 0 0 1
Egress IPV6 VACL [ipv6-vacl] 32 0 0 2
Egress MAC VACL [mac-vacl] 33 0 0 2
Egress IPV4 RACL [e-racl] 34 4352 768 1
Egress IPV6 RACL [e-ipv6-racl] 35 0 0 2
Egress System 24 3584 256 1
Egress Flow Counters [e-flow] 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------------
切分分配如下所示为入口分配:
第1片(512):RACL
第2层(512):RACL
第3层(512):RACL
第4层(512):VPC融合
第5层(256):第3层QOS
第6层(256):第3层QOS
第7层(256):SPAN
片8(256):重定向
第9层(256):入口CoPP
第10片(256):入口CoPP
第11层(256):入口系统
第12层(256):入口系统
入口利用率概念化:
Nexus 9300系列TCAM分配
默认情况下,Nexus 9300系列交换机具有以下TCAM分配:
Nexus9300# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Burst optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------
IPV4 PACL [ifacl]( 1) 3 0 512 1
IPV6 PACL [ipv6-ifacl]( 2) 4 0 0 2
MAC PACL [mac-ifacl]( 3) 5 0 0 2
IPV4 Port QoS [qos]( 4) 6 3072 256 2
IPV6 Port QoS [ipv6-qos]( 5) 7 0 0 2
MAC Port QoS [mac-qos]( 6) 8 0 0 2
FEX IPV4 PACL [fex-ifacl]( 7) 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl]( 8) 10 0 0 2
FEX MAC PACL [fex-mac-ifacl]( 9) 11 0 0 2
FEX IPV4 Port QoS [fex-qos]( 10) 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos]( 11) 13 0 0 2
FEX MAC Port QoS [fex-mac-qos]( 12) 14 0 0 2
IPV4 VACL [vacl]( 13) 15 512 512 1
IPV6 VACL [ipv6-vacl]( 14) 16 0 0 2
MAC VACL [mac-vacl]( 15) 17 0 0 2
IPV4 VLAN QoS [vqos]( 16) 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos]( 17) 19 0 0 2
MAC VLAN QoS [mac-vqos]( 18) 20 0 0 2
IPV4 RACL [racl]( 19) 21 1024 512 1
IPV6 RACL [ipv6-racl]( 20) 22 0 0 2
IPV4 Port QoS Lite [qos-lite]( 21) 63 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite]( 22) 64 0 0 1
IPV4 VLAN QoS Lite [vqos-lite]( 23) 65 0 0 1
IPV4 L3 QoS Lite [l3qos-lite]( 24) 66 0 0 1
IPV4 L3 QoS [l3qos]( 34) 37 0 0 2
IPV6 L3 QoS [ipv6-l3qos]( 35) 38 0 0 2
MAC L3 QoS [mac-l3qos]( 36) 39 0 0 2
Ingress System( 37) 1 2048 256 2
SPAN [span]( 39) 2 3584 256 1
Ingress COPP [copp]( 40) 40 2560 256 2
Ingress Flow Counters [flow]( 41) 43 0 0 1
Ingress SVI Counters [svi]( 43) 45 0 0 1
Redirect [redirect]( 44) 46 1536 512 1
NS IPV4 Port QoS [ns-qos]( 45) 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos]( 46) 48 0 0 2
NS MAC Port QoS [ns-mac-qos]( 47) 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos]( 48) 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos]( 49) 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos]( 50) 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos]( 51) 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos]( 52) 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos]( 53) 55 0 0 1
VPC Convergence [vpc-convergence]( 54) 57 4096 256 1
IPSG SMAC-IP bind table [ipsg]( 55) 59 0 0 1
Ingress ARP-Ether ACL [arp-ether]( 56) 62 0 0 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------
Total: 4096
----------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------
Egress IPV4 QoS [e-qos]( 25) 28 0 0 2
Egress IPV6 QoS [e-ipv6-qos]( 26) 29 0 0 2
Egress MAC QoS [e-mac-qos]( 27) 30 0 0 2
Egress IPV4 VACL [vacl]( 28) 31 4352 512 1
Egress IPV6 VACL [ipv6-vacl]( 29) 32 0 0 2
Egress MAC VACL [mac-vacl]( 30) 33 0 0 2
Egress IPV4 RACL [e-racl]( 31) 34 4864 256 1
Egress IPV6 RACL [e-ipv6-racl]( 32) 35 0 0 2
Egress IPV4 QoS Lite [e-qos-lite]( 33) 36 0 0 1
Egress System( 38) 24 3840 256 1
Egress Flow Counters [e-flow]( 42) 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------
第1层(512):IPv4 PACL
第2层(512):VACL
第3层(512):RACL
片4(512):重定向
第5层(256):端口QOS
第6层(256):端口QOS
第7层(256):SPAN
第8层(256):VPC融合
第9层(256):入口CoPP
第10片(256):入口CoPP
第11层(256):入口系统
第12层(256):入口系统
入口利用率概念化:
配置
要重新配置TCAM区域,请使用 hardware access-list tcam region
命令。将区域更改为预期大小后,必须重新加载设备。
示例 情景
您有一台Nexus 9300,希望分配TCAM空间以最佳满足您的需求。您需要释放512字节的TCAM。这允许您向IPv4 PACL添加更多内容。
但是,您决定不需要512个VACL或512个RACL,但需要两者中的一些,因此您决定从VACL和RACL中取消分配256个字节。这样可以释放以下命令显示的512空间:
Nexus9300(config)# hardware access-list tcam region vacl 256
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 256
Warning: Please save config and reload the system for the configuration to take effect
如果可用512字节,您会尝试向IPv4 PACL分配额外的512字节,但会看到以下输出:
Nexus9300(config)# hardware access-list tcam region ifacl 1024
ERROR: Aggregate TCAM region configuration exceeded the available Ingress TCAM slices.
Please re-configure.
尽管释放了512个字节,但从VACL和RACL空间(从256提取)的大小都是512个块。 同样,上述命令未分配空间,但未取消分配任何切片。 要将IPv4 PACL大小增加到1024,您需要从单个功能中获取512个字节,以释放切片和空间:
Nexus9300(config)# hardware access-list tcam region vacl 512
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 0
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region ifacl 1024
Warning: Please save config and reload the system for the configuration to take effect
验证命令
show hardware access-list tcam region— 验证当前软件配置show system internal access-list globals— 验证当前硬件配置show system internal access-list input entries detail -显示为每个实例配置的特定ACLshow hardware access-list resource utilization— 显示每个已配置TCAM区域的当前利用率show hardware access-list resource entries— 显示为每个实例配置的ACL条目数
错误和解决方案
以下是TCAM配置中常见的错误:
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM slices. Please re-configure.
当您尝试配置与4k限制有关的有效TCAM空间量时,会发生此错误,但您的分配消耗的片数超过了可用片数。
此错误的唯一解决方案是重新审视您打算雕刻TCAM设计以释放切片。
当您尝试配置新的双宽度功能时,此错误更为常见,因为它们需要至少两个分片256或512。
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM space. Please re-configure.
与切片错误一样,唯一的解决方案是重新配置。仅当已分配所有TCAM切片并尝试分配更多空间时,才会出现此错误消息。
ERROR: TCAM regions with size more than 256, ... have size
in multiple of 512 entries
由于硬件限制,超过256的TCAM大小不能以任何组合奇数的256块和512块的方式组合。因此,当您配置大于512的TCAM区域时,唯一的有效大小是512的倍数。
设计准则和限制
TCAM空间有限。您的最佳选择完全取决于具体的使用案例。默认情况下,已分配所有TCAM空间,因此您需要决定要在何处分配TCAM空间以便将其分配给其他位置。
- 对于入口,八个可用大小 — 256切片中的四个不能未分配(由CoPP和入口系统使用)。
- SPAN使用一个256片。如果以此方式借用,它将完全删除使用SPAN和Packet Tracer功能的功能(不建议出于故障排除目的删除这些功能)。
- Nexus 9300和9500平台上的vPC分别使用大小256或512的扇区。重新分配会删除使用vPC的能力
- Nexus 9300和9500平台上的重定向分别使用大小512或256的扇区。如果以此方式借用,它将删除使用DHCPv4、DHCPv6或BFD的功能。
- 如果启用了原子更新,并且一个TCAM功能的利用率超过50%,则由于空间不足,无法从任何ACL中删除行。
- 默认情况下,应用于多个接口的QoS策略不共享标签,因为统计信息默认启用。为了共享应用于多个接口的相同QoS策略的标签,您必须使用无统计信息选项配置QoS策略,如以下示例所示:
(config-if)# service-policy type qos input my-policy no-stats
- 如有可能,使用功能的基本版本。使用基本版本时,交换机将一半的TCAM空间用于该功能。这会导致双宽度功能为单宽度。
代价是此功能不会跟踪违规监察器统计信息;它只跟踪合规监察器统计信息。由于可以节省TCAM空间,因此这通常是更好的选择。
- 用户无法减少入口系统和CoPP TCAM的默认数量。这些已经是最小值,不能减少。
- 所有QoS功能都是双宽度。
- 不支持SVI策略映射。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
11-Sep-2023 |
重新认证 |
1.0 |
11-Aug-2015 |
初始版本 |
反馈