فهم مستويات إستخدام TCAM غير العادية على Nexus 7000

المقدمة

يشرح هذا المستند كيفية إستخدام TCAM بشكل غير متوقع بشكل زائد اعتمادا على مجموعات الميزات التي تم تمكينها على محول من السلسلة Nexus 7000.

وصف المشكلة

مع تمكين التحديثات الذرية، في حالة وجود أكثر من ميزة مثل RACL، يتم تطبيق NetFlow على واجهات مختلفة، وقد يؤدي ذلك إلى حدوث خطأ في الاستخدام الزائد ل TCAM على الرغم من عدم الوصول إلى حد 50٪.

على سبيل المثال: تعذر تطبيق ميزات متعددة على الواجهات الفرعية التالية، على الرغم من أن الاستخدام هو 29.57 في حين أن الحد الأعلى هو 50٪ (عند تمكين التحديثات الذرية) ويتم طرح الخطأ أدناه.

خطأ: حالة إرجاع الوحدة النمطية 1: سيتم تجاوز إستخدام TCAM، الرجاء تمكين الربط المصرفي و/أو إيقاف تشغيل التحديث الذري. إذا تم تمكين السلاسل المصرفية على الوحدات النمطية الأخرى وكان هذا إدخال بطاقة خط جديد، فيرجى تمكين السلاسل المصرفية قبل إعادة تحميل هذه الوحدة النمطية.

أيضا، بعد إعادة التحميل، تفقد جميع الواجهات التكوين ويتم تعيينها إلى VDC 0 لهذا السبب.

الخلفية

تسمح التحديثات الذرية التي يتم تمكينها بشكل افتراضي على Nexus 7000 باستخدام 50٪ فقط من TCAM بالكامل. بينما يتم حجز نسبة 50٪ الأخرى لاستيعاب تغييرات قائمة التحكم في الوصول (ACL) لتوفير تحديثات قائمة التحكم في الوصول (ACL) غير معطلة. ويمكن الحصول على مزيد من المعلومات عن ذلك من خلال الروابط المقدمة في القسم: القراءة الموصى بها.

المتطلبات الأساسية

يوصى بمعرفة المواضيع التالية:

تحديثات ذرية
TCAM على N7000

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى الاختبارات التي تم إجراؤها في المعمل على هيكل N7718 على الوحدة النمطية: N77-F312CK-26 التي تعمل على الإصدار 8.3(2)
بدأت جميع الأجهزة المستخدمة في هذا المستند بتكوين افتراضي والميزات المعروضة هي RACL و NetFlow.

رصد

تم تكوين قائمة التحكم في الوصول للاستقبال من الخارج على الواجهات الرئيسية والفرعية في حين تم تمكين NetFlow على الواجهات الرئيسية فقط

التهيئة الأولية:

Interface Ethernet 11/2: Layer-3; RACL 
Interface Ethernet 11/2.300-302: Layer-3; RACL

إستخدام TCAM مع تطبيق RACL فقط هو:

N7718(config-if)# show system internal access-list resource utilization module 11 | in "Tcam 1, Bank 0" across all instances:
Tcam 1, Bank 0 1211 2885 29.57 
Tcam 1, Bank 0 1211 2885 29.57
Tcam 1, Bank 0 1211 2885 29.57

ملاحظة: يفترض أن يكون إستخدام مساحة TCAM ل RACL المخرج في هذا المستند 29. 57٪

بمجرد تطبيق NetFlow على الواجهة الرئيسية فقط، يتضاعف إستخدام الواجهة بالرغم من أن تكوين NetFlow في هذه الحالة لا يستغرق سوى 1٪ من المساحة.

Interface Ethernet 11/2: Layer-3; RACL; NetFlow
Interface Ethernet 11/2.300-302: Layer-3; RACL

هنا تكون الواجهة الرئيسية NetFlow مكونة في حين لا تحتوي الواجهة الفرعية على NetFlow( التحديثات الذرية التي سيتم تعطيلها لمراقبة هذا السلوك)

N7718(config-if)# show system internal access-list resource utilization module 11 | in "Tcam 1, Bank 0"
Tcam 1, Bank 0 2394 1702 58.45
Tcam 1, Bank 0 2394 1702 58.45
Tcam 1, Bank 0 2394 1702 58.45

ملاحظة: في حالة إستمرار تمكين التحديثات الذرية، لن يكون هذا السلوك المضاعف ممكنا لأن الحد المسموح به للتحديثات الذرية هو 50٪ فقط وسيتم ملاحظة الخطأ التالي:

خطأ: حالة إرجاع الوحدة النمطية 1: سيتم تجاوز إستخدام TCAM، الرجاء تمكين الربط المصرفي و/أو إيقاف تشغيل التحديث الذري. إذا تم تمكين السلاسل المصرفية على الوحدات النمطية الأخرى وكان هذا إدخال بطاقة خط جديد، فيرجى تمكين السلاسل المصرفية قبل إعادة تحميل هذه الوحدة النمطية.

الشرح:

وفي هذه الحالة، توجد هنا مجموعتان مختلفتان من السياسات. تحتوي إحدى الوجهات على RACL وحدها بينما تحتوي وجهة أخرى على RACL+NF، لذلك يتم تخصيص مجموعتين من إدخالات TCAM لنفس الميزات، مما يتسبب في سلوك المضاعفة الذي نراه على أنه الاستهلاك الفعلي يجب أن يكون 29.57 سلوك فقط.

يحقق الجهاز هذا الإجراء من خلال إنشاء تسميات منفصلة لكل من الواجهات كما هو موضح أدناه:

module-11# show system internal access-list interface e11/2 out statistics

INSTANCE 0x0
---------------

Tcam 1 resource usage:
----------------------
Label_b = 0x801 >>> LABEL is 0x801

module-11# show system internal access-list interface e11/2.300 out statistics

INSTANCE 0x0
---------------

Tcam 1 resource usage:
----------------------
Label_b = 0x802 >>> NEW LABEL 0x802 IS GENERATED

عند تكوين كل من RACL و NetFlow على الواجهة الرئيسية والواجهة الفرعية

تكوين موجود بالفعل من الحالة 1:

Interface Ethernet 11/2: Layer-3; RACL; NetFlow
Interface Ethernet 11/2.300-302: Layer-3; RACL

الآن، قم بتطبيق NetFlow على باقي الواجهات الفرعية أيضا:

Interface Ethernet 11/2: Layer-3; RACL; NetFlow
Interface Ethernet 11/2.300-302: Layer-3; RACL; NetFlow

بما أن جميع الوجهات تحتوي الآن على RACL + NetFlow مكون، يتم مشاركة نفس التسمية في وجهة b/w (مجموعة واحدة من إدخالات TCAM تتم الإشارة إليها بواسطة جميع الواجهات).

N7718(config-if)# show system internal access-list resource utilization module 11 | in "Tcam 1, Bank 0"
Tcam 1, Bank 0 1211 2885 29.57
Tcam 1, Bank 0 1211 2885 29.57
Tcam 1, Bank 0 1211 2885 29.57


module-11# show system internal access-list interface ethernet11/2 out statistics |in Label_b p 5 n 4


INSTANCE 0x0
Tcam 1 resource usage:
----------------------
Label_b = 0x802 >>> LABEL is 0x802

module-11# show system internal access-list interface ethernet11/2.300 out statistics |in Label_b p 5 n 4


INSTANCE 0x0
Tcam 1 resource usage:
----------------------
Label_b = 0x802 >>> SAME LABEL IS MAINTAINED

ملاحظة: يتم توسيع هذا السلوك ليشمل الواجهات المادية والواجهات الفرعية أيضا. فقط، عندما يكون لكافة الوجهات المعنية نفس مجموعة التكوين، لن يتم مضاعفة إستخدام TCAM.

لاحظ أنه فقط بعد تطبيق NetFlow على جميع الواجهات التي تحتوي بالفعل على RACL، ستنخفض TCAM إلى 29. 57٪

1. تطبيق قائمة التحكم في الوصول للاستقبال على الواجهة "1": 29.57٪

2. تطبيق قائمة التحكم في الوصول للاستقبال على الواجهات التالية: 29.57٪

3. تطبيق NF بعد تطبيق RACL على الواجهة "1": 58.45٪

4 - تطبيق معامل التحمل الوطني على الواجهات التالية: 58.45 في المائة

5. تطبيق NF على الواجهة الأخيرة: 29.57٪

قرار

1. تعطيل التحديثات الذرية.

<أو>

2. تقليل حجم قائمة التحكم في الوصول (ACL) حتى يبقى الحد هو <25٪.

ملخص

مع التحديثات الذرية:

بمجرد تطبيق NetFlow على الواجهة الأولى، تتم محاولة إنشاء مثيل TCAM منفصل حيث تحتوي الواجهة الأولى الآن على كل من ACL و NF الذي تم تكوينه ولكن الواجهة الثانية تم تكوين RACL فقط.
ومع ذلك، بسبب تمكين التحديثات الذرية، يفشل إنشاء مثيل منفصل حيث سيؤدي ذلك إلى زيادة الاستخدام إلى >50. ونتيجة لذلك، يتم إلقاء خطأ TCAM المستخدم بإفراط.

بدون تحديثات ذرية:

1. عند تطبيق قائمة التحكم في الوصول (ACL) على جميع الواجهات: تظل في مستوى 29 نظرا لعدم وجود ميزات أخرى.
2. تطبيق NetFlow على الواجهة الأولى: يفترض المحول أن يكون هذا تكوينا منفصلا من الميزات/مجموعة من الميزات (يحتفظ بتسمية داخلية منفصلة) ومن ثم، يقوم بإنشاء مثيل منفصل على نفس البنك.
3. بمجرد تطبيق NetFlow على جميع الواجهات الأخرى التي تحتوي على قائمة التحكم في الوصول (ACL) التي تم تكوينها لها، يكون تكوين/مجموعة الميزات هي نفسها (التسمية هي نفسها الآن لكلا الواجهات) وبالتالي، تحدث إعادة التبديل
4 - وقد شاركت المبادرة الآن في إستخدام الواجهات معا، وانخفض معدل الاستخدام إلى 29.57 في المائة.

هذه طريقة للتحسين عند إستخدام مجموعات من الميزات على واجهات مختلفة.

عيوب ذات صلة

CSCvs50014 تشغل قوائم التحكم في الوصول (ACL) و NetFlow على الواجهة الفرعية إدخالات TCAM المزدوجة

مقالات ذات صلة

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus7000/sw/security/config/cisco_nexus7000_security_config_guide_8x/configuring_ip_acls.html

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/6_x/nx-os/security/configuration/guide/b_Cisco_Nexus_7000_NX-OS_Security_Configuration_Guide__Release_6-x/b_Cisco_Nexus_7000_NX-OS_Security_Configuration_Guide__Release_6-x_chapter_01110.html#con_1458580