簡介
本文描述如何建立Nexus 9000三重內容可定址儲存器(TCAM)。
背景資訊
本文檔並非詳盡無遺地列出許多TCAM組合。本文檔旨在幫助使用者瞭解TCAM分配的工作原理,以便他們能夠確定滿足其需求的有效配置。 其中介紹了當前和最常見的概念、配置和錯誤消息。
要對Nexus 9000系列交換機使用非預設功能,必須手動為這些功能分配TCAM空間。預設情況下,所有TCAM空間均被分配。
技術
- 特徵寬度 — 有單寬和雙寬的特徵。 單寬度特徵至少需要一個層切面。 雙寬度特徵至少需要兩個切片。
對於單寬和雙寬功能,總大小(如果大於256)必須為512的倍數。切片只能分配給一個區域。
例如,不能使用512大小的切片來配置每個大小為256的兩個功能,也不能使用512大小的切片來配置單個雙寬功能。
- Slice — 記憶體分配的單位。片的大小可以是256或512(以位元組為單位)。
- TCAM -三重內容可定址儲存器。 這是儲存存取清單(ACL)的硬體空間。 這是一個專用記憶體,用於儲存複雜的表格資料並支援非常快速的並行查詢。
ACL TCAM區域
您可以在硬體中更改ACL TCAM區域的大小。輸出TCAM大小為1K,分為四個256個條目。入口TCAM大小為4K,分為八個256切片和四個512切片。
IPv4 TCAM區域為單寬。IPv6、服務品質(QoS)、MAC、控制平面策略(CoPP)和系統TCAM區域是雙寬並且消耗雙物理TCAM條目。
例如,256個條目的邏輯區域大小實際上會消耗512個物理TCAM條目。
您可以建立IPv6、埠ACL(PACL)、VLAN ACL(VACL)和路由器ACL(RACL),並且可以匹配QoS的IPv6和MAC地址。但是,Cisco NX-OS無法同時支援所有作業系統。
必須刪除或減小當前TCAM區域的大小,才能啟用IPv6和MAC TCAM區域。對於每個TCAM區域配置命令,系統會評估新更改是否適合於TCAM。
如果沒有,則報告錯誤,命令被拒絕。您必須移除或減小當前TCAM區域的大小,以便為新需求騰出空間。
ACL TCAM區域大小具有以下准則和限制:
- 在Cisco Nexus 9500系列交換機上,預設入口TCAM區域配置在Cisco NX-OS版本6.1(2)I1(1)中有一個免費的256條目分片。
此分片會分配到Cisco NX-OS版本6.1(2)I2(1)中的交換器連線埠分析器(SPAN)區域。同樣,在Cisco NX-OS版本6.1(2)I2(1)中,RACL區域從2K減少到1.5K,以便為具有512個條目的虛擬埠通道(vPC)聚合區域騰出空間。
- 在Cisco Nexus 9300系列交換機上,使用以應用為中心的基礎設施(ACI)枝葉線卡來實施應用於40G埠的QoS分類策略。它有768個TCAM條目,可在256條目的粒度內進行切割。這些區域名稱的字首為「ns — 」。
- 對於Cisco Nexus 9300系列交換機上的ACI枝葉線卡,只有IPv6 TCAM區域會使用雙寬度條目。其餘的TCAM區域會使用單範圍條目。
- 當配置了VACL區域時,它在入口和出口方向都配置相同的大小。如果區域大小不能適應任一方向,則拒絕配置。
Nexus 9300和9500系列交換機都有四個大小為512位元組的片以及八個大小為256位元組的片。 預設情況下,使用所有切片和所有空間,儘管Nexus 9300系列和9500系列之間的預設分配不同。
註:Nexus 9332PQ使用與Nexus 9500相同的預設分配。
Nexus 9500系列TCAM分配
預設情況下,Nexus 9500系列交換機具有以下TCAM分配:
Nexus9500# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Mesh optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------------
IPV4 PACL [ifacl] 3 0 0 1
IPV6 PACL [ipv6-ifacl] 4 0 0 2
MAC PACL [mac-ifacl] 5 0 0 2
IPV4 Port QoS [qos] 6 0 0 2
IPV6 Port QoS [ipv6-qos] 7 0 0 2
MAC Port QoS [mac-qos] 8 0 0 2
FEX IPV4 PACL [fex-ifacl] 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl] 10 0 0 2
FEX MAC PACL [fex-mac-ifacl] 11 0 0 2
FEX IPV4 Port QoS [fex-qos] 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos] 13 0 0 2
FEX MAC Port QoS [fex-mac-qos] 14 0 0 2
IPV4 VACL [vacl] 15 0 0 1
IPV6 VACL [ipv6-vacl] 16 0 0 2
MAC VACL [mac-vacl] 17 0 0 2
IPV4 VLAN QoS [vqos] 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos] 19 0 0 2
MAC VLAN QoS [mac-vqos] 20 0 0 2
IPV4 RACL [racl] 21 0 1536 1
IPV6 RACL [ipv6-racl] 22 0 0 2
IPV4 Port QoS Lite [qos-lite] 61 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite] 62 0 0 1
IPV4 VLAN QoS Lite [vqos-lite] 63 0 0 1
IPV4 L3 QoS Lite [l3qos-lite] 64 0 0 1
IPV4 L3 QoS [l3qos] 37 3072 256 2
IPV6 L3 QoS [ipv6-l3qos] 38 0 0 2
MAC L3 QoS [mac-l3qos] 39 0 0 2
Ingress System 1 2048 256 2
SPAN [span] 2 4096 256 1
Ingress COPP [copp] 40 2560 256 2
Ingress Flow Counters [flow] 43 0 0 1
Ingress SVI Counters [svi] 45 0 0 1
Redirect [redirect] 46 3840 256 1
NS IPV4 Port QoS [ns-qos] 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos] 48 0 0 2
NS MAC Port QoS [ns-mac-qos] 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos] 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos] 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos] 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos] 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos] 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos] 55 0 0 1
VPC Convergence [vpc-convergence] 57 1536 512 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------------
Total: 4096
----------------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------------
Egress IPV4 VACL [vacl] 31 0 0 1
Egress IPV6 VACL [ipv6-vacl] 32 0 0 2
Egress MAC VACL [mac-vacl] 33 0 0 2
Egress IPV4 RACL [e-racl] 34 4352 768 1
Egress IPV6 RACL [e-ipv6-racl] 35 0 0 2
Egress System 24 3584 256 1
Egress Flow Counters [e-flow] 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------------
切分分配如下所示為輸入:
第1片(512):RACL
第2片(512):RACL
第3片(512):RACL
第4片(512):VPC融合
第5層(256):第3層QOS
第6層(256):第3層QOS
第7片(256):SPAN
第8片(256):重新導向
第9片(256):入口CoPP
第10片(256):入口CoPP
第11片(256):入口系統
第12片(256):入口系統
入口利用率概念化:
Nexus 9300系列TCAM分配
預設情況下,Nexus 9300系列交換機具有以下TCAM分配:
Nexus9300# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Burst optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------
IPV4 PACL [ifacl]( 1) 3 0 512 1
IPV6 PACL [ipv6-ifacl]( 2) 4 0 0 2
MAC PACL [mac-ifacl]( 3) 5 0 0 2
IPV4 Port QoS [qos]( 4) 6 3072 256 2
IPV6 Port QoS [ipv6-qos]( 5) 7 0 0 2
MAC Port QoS [mac-qos]( 6) 8 0 0 2
FEX IPV4 PACL [fex-ifacl]( 7) 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl]( 8) 10 0 0 2
FEX MAC PACL [fex-mac-ifacl]( 9) 11 0 0 2
FEX IPV4 Port QoS [fex-qos]( 10) 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos]( 11) 13 0 0 2
FEX MAC Port QoS [fex-mac-qos]( 12) 14 0 0 2
IPV4 VACL [vacl]( 13) 15 512 512 1
IPV6 VACL [ipv6-vacl]( 14) 16 0 0 2
MAC VACL [mac-vacl]( 15) 17 0 0 2
IPV4 VLAN QoS [vqos]( 16) 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos]( 17) 19 0 0 2
MAC VLAN QoS [mac-vqos]( 18) 20 0 0 2
IPV4 RACL [racl]( 19) 21 1024 512 1
IPV6 RACL [ipv6-racl]( 20) 22 0 0 2
IPV4 Port QoS Lite [qos-lite]( 21) 63 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite]( 22) 64 0 0 1
IPV4 VLAN QoS Lite [vqos-lite]( 23) 65 0 0 1
IPV4 L3 QoS Lite [l3qos-lite]( 24) 66 0 0 1
IPV4 L3 QoS [l3qos]( 34) 37 0 0 2
IPV6 L3 QoS [ipv6-l3qos]( 35) 38 0 0 2
MAC L3 QoS [mac-l3qos]( 36) 39 0 0 2
Ingress System( 37) 1 2048 256 2
SPAN [span]( 39) 2 3584 256 1
Ingress COPP [copp]( 40) 40 2560 256 2
Ingress Flow Counters [flow]( 41) 43 0 0 1
Ingress SVI Counters [svi]( 43) 45 0 0 1
Redirect [redirect]( 44) 46 1536 512 1
NS IPV4 Port QoS [ns-qos]( 45) 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos]( 46) 48 0 0 2
NS MAC Port QoS [ns-mac-qos]( 47) 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos]( 48) 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos]( 49) 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos]( 50) 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos]( 51) 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos]( 52) 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos]( 53) 55 0 0 1
VPC Convergence [vpc-convergence]( 54) 57 4096 256 1
IPSG SMAC-IP bind table [ipsg]( 55) 59 0 0 1
Ingress ARP-Ether ACL [arp-ether]( 56) 62 0 0 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------
Total: 4096
----------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------
Egress IPV4 QoS [e-qos]( 25) 28 0 0 2
Egress IPV6 QoS [e-ipv6-qos]( 26) 29 0 0 2
Egress MAC QoS [e-mac-qos]( 27) 30 0 0 2
Egress IPV4 VACL [vacl]( 28) 31 4352 512 1
Egress IPV6 VACL [ipv6-vacl]( 29) 32 0 0 2
Egress MAC VACL [mac-vacl]( 30) 33 0 0 2
Egress IPV4 RACL [e-racl]( 31) 34 4864 256 1
Egress IPV6 RACL [e-ipv6-racl]( 32) 35 0 0 2
Egress IPV4 QoS Lite [e-qos-lite]( 33) 36 0 0 1
Egress System( 38) 24 3840 256 1
Egress Flow Counters [e-flow]( 42) 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------
第1片(512):IPv4 PACL
第2片(512):VACL
第3片(512):RACL
第4片(512):重新導向
第5片(256):埠QOS
第6片(256):埠QOS
第7片(256):SPAN
第8片(256):VPC融合
第9片(256):入口CoPP
第10片(256):入口CoPP
第11片(256):入口系統
第12片(256):入口系統
入口利用率概念化:
組態
要重新配置TCAM區域,請在配置終hardware access-list tcam region
端中使用命令。一旦將區域更改為預期大小,您必須重新載入裝置。
範例案例
您有一台Nexus 9300,並希望分配TCAM空間以最佳滿足您的需求。您需要釋放512位元組的TCAM。這麼做可讓您新增更多至IPv4 PACL。
但是,您決定不需要512 VACL或512 RACL,但需要兩者中的某些值,因此您決定從VACL和RACL中取消分配256位元組。如以下命令所示,這樣可以釋放512空間:
Nexus9300(config)# hardware access-list tcam region vacl 256
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 256
Warning: Please save config and reload the system for the configuration to take effect
如果使用512位元組的空閒,您會嘗試將額外的512位元組分配到IPv4 PACL,但請參閱以下輸出:
Nexus9300(config)# hardware access-list tcam region ifacl 1024
ERROR: Aggregate TCAM region configuration exceeded the available Ingress TCAM slices.
Please re-configure.
雖然釋放了512個位元組,但從256個位元組中抽取的VACL和RACL空間大小都是512個塊。 因此,上述命令未分配空間,但並未取消分配任何切片。 為了將IPv4 PACL大小增加到1024,您需要從單個功能中取出512個位元組,以釋放切片和空間:
Nexus9300(config)# hardware access-list tcam region vacl 512
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 0
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region ifacl 1024
Warning: Please save config and reload the system for the configuration to take effect
驗證命令
show hardware access-list tcam region
— 驗證當前軟體配置
show system internal access-list globals
— 驗證當前硬體配置
show system internal access-list input entries detail -
顯示為每個例項配置的特定ACL
show hardware access-list resource utilization
— 顯示每個配置的TCAM區域的當前利用率
show hardware access-list resource entries
— 顯示為每個例項配置的ACL條目數
錯誤和解決方案
以下是在TCAM配置過程中出現的常見錯誤:
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM slices. Please re-configure.
當您嘗試配置與4k限制有關的有效TCAM空間量時,會發生此錯誤,但您的分配消耗的片數超過了可用片數。
此錯誤的唯一解決方法是修訂整體TCAM設計以釋放切片。
當您嘗試配置新的雙寬度功能時,此錯誤更為常見,因為它們需要至少兩個分片256或512。
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM space. Please re-configure.
與切片錯誤類似,解決方式是重新配置分配的空間以不超過總限制。僅當已分配所有TCAM切片並嘗試分配更多空間時,才會出現此錯誤消息。
ERROR: TCAM regions with size more than 256, ... have size
in multiple of 512 entries
由於硬體限制,不能以任何將256個塊的奇數與512個塊結合在一起的方式組合大於256的TCAM大小。因此,當您配置大於512的TCAM區域時,唯一的有效大小是512的倍數。
設計准則和限制
TCAM空間有限。您的最佳選擇完全取決於具體的用例。預設情況下,已分配所有TCAM空間,因此您需要決定要在何處分配TCAM空間,以便將其分配到其他位置。
代價是此功能不會跟蹤違規的監察器統計資訊;它只跟蹤合規的監察器統計資訊。這通常是更好的選擇,因為它可以節省TCAM空間。
- 使用者無法減少Ingress System和CoPP TCAM的預設數量。這些已經是最小值,不能減少。
- 所有QoS功能均為雙寬度。
- 不支援SVI策略對映。
相關資訊