تجنب إستهلاك قائمة التحكم في الوصول (ACL) وجودة الخدمة (QoS) على محولات Catalyst 4500
المحتويات
المقدمة
تدعم المحولات Cisco Catalyst 4500 و Catalyst 4948 series switches قائمة التحكم في الوصول (ACL) ذات المعدل السلكي وميزة جودة الخدمة باستخدام الذاكرة القابلة للتوجيه الخاصة بالمحتوى الثالث (TCAM). لا يعمل تمكين قوائم التحكم في الوصول (ACL) والسياسات على تقليل أداء التحويل أو التوجيه للمحول طالما تم تحميل قوائم التحكم في الوصول (ACL) بالكامل في TCAM. إذا تم استنفاد TCAM، فقد تتم إعادة توجيه الحزم عبر مسار وحدة المعالجة المركزية، والذي يمكن أن يقلل الأداء لتلك الحزم. يقدم هذا المستند تفاصيل حول:
-
الأنواع المختلفة من TCAM أن المادة حفازة 4500 ومادة حفازة 4948 يستعمل
-
كيف المادة حفازة 4500 برمجت ال TCAMs
-
كيفية تكوين قوائم التحكم في الوصول (ACL) و TCAM على المحول بشكل مثالي لتجنب إستهلاك TCAM
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
المحولات من السلسلة Catalyst 4500
-
المحولات من السلسلة Catalyst 4948
ملاحظة: ينطبق هذا المستند فقط على المحولات المستندة إلى برامج Cisco IOS® ولا ينطبق على المحولات المستندة إلى Catalyst OS (CatOS).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
معلومات أساسية
من أجل تنفيذ الأنواع المختلفة من قوائم التحكم في الوصول وسياسات جودة الخدمة في الأجهزة، فإن برامج Catalyst 4500 وبرامج جداول البحث عن الأجهزة (TCAM) والعديد من سجلات الأجهزة في Supervisor Engine (المحرك المشرف). عندما تصل ربط، ينجز المفتاح مفتاح أداة بحث طاولة جهاز (TCAM بحث) ويقرر أن إما يسمح أو ينكر الربط.
يدعم المحول Catalyst 4500 أنواعا مختلفة من قوائم التحكم في الوصول (ACL). يوضح الجدول 1 هذه الأنواع من قوائم التحكم في الوصول (ACL).
الجدول 1 - أنواع قوائم التحكم في الوصول (ACL) المدعومة على محولات Catalyst 4500 Switches| نوع قائمة التحكم في الوصول ACL | مطبقا عليه | حركة مرور مضبوطة | إتجاه |
|---|---|---|---|
| RACL1 | L32 ميناء، قناة L3، أو SVI3 (VLAN) | حركة مرور IP الموجهة | الوارد أو الصادر |
| VACL4 | VLAN (عبر الأمر vlan filter) | كل ربط أن يكون وجهت داخل أو خارج VLAN أو أن يكون جسرت ضمن VLAN | غير موجه |
| PACL5 | منفذ L26 أو قناة L2 | جميع حركة مرور بيانات IP وحركة المرور غير الخاصة ب IPv47 (عبر قائمة التحكم في الوصول (ACL) إلى MAC) | الوارد أو الصادر |
1 RACL = قائمة التحكم في الوصول للموجه
2 L3 = الطبقة 3
3 SVI = الواجهة الظاهرية المحولة
4 VACL = قائمة التحكم في الوصول (ACL) إلى شبكة VLAN
5 PACL = قائمة التحكم في الوصول الخاصة بالمنفذ
6 L2 = الطبقة 2
7 IPv4 = IP الإصدار 4
بنية برمجة الأجهزة الخاصة بقوائم التحكم في الوصول (ACL) و QoS من Catalyst 4500
يتلقى المادة حفازة 4500 TCAM العدد التالي من مدخل:
-
32000 إدخال لقوائم التحكم في الوصول (ACL) للأمان، تعرف أيضا بميزة قائمة التحكم في الوصول (ACL)
-
32000 إدخال لقائمة التحكم في الوصول (ACL) لجودة الخدمة
بالنسبة لكل من قائمة التحكم في الوصول (ACL) الأمنية وقوائم التحكم في الوصول لجودة الخدمة (QoS)، يتم تخصيص الإدخالات بالطريقة التالية:
-
16000 مدخل لاتجاه الإدخال
-
16000 مدخل لاتجاه المخرجات
الشكل 3 يوضح تخصيص إدخال TCAM. راجع قسم أنواع TCAM للحصول على مزيد من المعلومات حول TCAMs.
يوضح الجدول 2 موارد قائمة التحكم في الوصول (ACL) المتوفرة لمختلف محركات ومحولات Catalyst 4500 Supervisor Engines.
الجدول 2 - موارد قائمة التحكم في الوصول (ACL) من Catalyst 4500 على محولات ومحركات المشرف المختلفة| المنتج | إصدار TCAM | ميزة TCAM (لكل إتجاه) | TCAM لجودة الخدمة (لكل إتجاه) |
|---|---|---|---|
| محرك المشرف II+ | 2 | 8000 مدخل، 1000 قناع | 8000 مدخل، 1000 قناع |
| المحرك المشرف II+TS/III/IV/V و WS-C4948 | 2 | 16000 مدخل، 2000 قناع | 16000 مدخل، 2000 قناع |
| المحرك المشرف V-10GE و WS-C4948-10GE | 3 | 16،000 مدخل، 16،000 قناع | 16،000 مدخل، 16،000 قناع |
يستخدم المحول Catalyst 4500 وحدات TCAM منفصلة ومخصصة لتوجيه بث IP الأحادي والبث المتعدد. المادة حفازة 4500 يستطيع يتلقى up to 128،000 مسحاج تخديد مدخل أن ال unicast و multicast مسحاج تخديد يشارك. ومع ذلك، فإن هذه التفاصيل تقع خارج نطاق هذا المستند. لا يناقش هذا المستند إلا مشكلات إستهلاك الأمان وآلية تحديد جودة الخدمة.
الشكل 1 يوضح خطوات برمجة قوائم التحكم في الوصول في جداول الأجهزة على Catalyst 4500.
الشكل 1 - الخطوات إلى برمجة قوائم التحكم في الوصول على محولات Catalyst 4500 Switches 
الخطوة 1
وتتضمن هذه الخطوة أحد هذه الإجراءات:
-
تكوين وتطبيق سياسة قائمة التحكم في الوصول أو جودة الخدمة إلى واجهة أو شبكة VLAN
يمكن أن يحدث إنشاء قائمة التحكم في الوصول (ACL) بشكل ديناميكي. والمثال على ذلك حالة ميزة واقي مصدر بروتوكول الإنترنت (IPSG). مع هذه الميزة، يقوم المحول تلقائيا بإنشاء قائمة التحكم في الوصول الخاصة بالمنفذ (PACL) لعناوين IP المقترنة بالمنفذ.
-
تعديل قائمة التحكم في الوصول (ACL) الموجودة بالفعل
ملاحظة: لا ينتج عن تكوين قائمة التحكم في الوصول (ACL) وحدها برمجة TCAM. يجب تطبيق قائمة التحكم في الوصول (سياسة جودة الخدمة) على واجهة من أجل برمجة قائمة التحكم في الوصول (ACL) في TCAM.
الخطوة 2
يجب دمج قائمة التحكم في الوصول (ACL) قبل التمكن من برمجتها في جداول الأجهزة (TCAM). دمج برامج قوائم التحكم في الوصول (ACL) المتعددة (PACL أو VACL أو RACL) في الأجهزة بطريقة مشتركة. بهذه الطريقة، يلزم إجراء بحث واحد فقط عن الأجهزة للتحقق من جميع قوائم التحكم في الوصول (ACL) القابلة للتطبيق في مسار إعادة التوجيه المنطقي للحزمة.
على سبيل المثال، في الشكل 2، يمكن أن تحتوي الحزمة التي يتم توجيهها من PC-A إلى PC-C على قوائم التحكم في الوصول (ACL) هذه:
-
قائمة التحكم في الوصول الخاصة بالمنفذ (PACL) للإدخال على منفذ PC-A
-
VACL على شبكة VLAN رقم 1
-
قائمة التحكم في الوصول للاستقبال (RACL) للإدخال على واجهة شبكة VLAN رقم 1 في إتجاه الإدخال
يتم دمج قوائم التحكم في الوصول (ACL) الثلاث هذه حتى يكون البحث الواحد في وحدة التحكم في الوصول للإدخال كافيا لاتخاذ قرار إعادة التوجيه للسماح أو الرفض. وبالمثل، يلزم إجراء بحث واحد عن الإخراج فقط لأنه يتم برمجة TCAM بالنتيجة المدمجة لقوائم التحكم في الوصول (ACL) الثلاث هذه:
-
ال output RACL على ال VLAN 2 قارن
-
ال VLAN 2 VACL
-
قائمة التحكم في الوصول الخاصة بالمنفذ (PACL) للإخراج على منفذ PC-C
باستخدام بحث واحد للإدخال وآخر للإخراج، لا توجد إعادة توجيه أجهزة الجزاء للحزم عندما يكون أي من قوائم التحكم في الوصول هذه أو كلها في مسار إعادة توجيه الحزمة.
ملاحظة: تتم عمليات البحث في TCAM الخاصة بالإدخال والإخراج في نفس الوقت في الأجهزة. هناك مفهوم خاطئ شائع وهو أن البحث في TCAM للمخرجات يحدث بعد بحث TCAM للإدخال، كما يقترح تدفق الحزمة المنطقي. هذه المعلومات مهمة للفهم لأن نهج إخراج Catalyst 4500 لا يمكن أن يتطابق مع معلمات جودة الخدمة المعدلة لنهج الإدخال. في حالة قائمة التحكم في الوصول (ACL) الأمنية، يحدث الإجراء الأكثر خطورة. سقطت الربط في أحد من هذا حالة:
-
إذا تم إسقاط نتيجة بحث الإدخال وكانت نتيجة بحث الإخراج مسموح بها
-
إذا كانت نتيجة بحث الإدخال مسموح بها وكانت نتيجة بحث الإخراج قد تم إسقاطها
ملاحظة: يسمح بالحزمة إذا كانت كل من نتائج بحث الإدخال والإخراج مسموح بها.
شكل 2 - التصفية عبر قوائم التحكم في الوصول (ACL) الأمنية على محولات Catalyst 4500 
يعتمد دمج قائمة التحكم في الوصول (ACL) على Catalyst 4500 على الأمر. تعرف العملية أيضا بالدمج المعتمد على الأمر (ODM). مع ODM، تتم برمجة إدخالات قائمة التحكم بالوصول (ACL) بالترتيب الذي تظهر به في قائمة التحكم بالوصول (ACL). على سبيل المثال، إذا كانت قائمة التحكم في الوصول تحتوي على إدخالات التحكم في الوصول (ACEs)، فإن برامج المحول ACE 1 أولا ثم برامج ACE 2. ومع ذلك، فإن الاعتماد على الترتيب يكون فقط بين وحدات ACE داخل قائمة تحكم في الوصول (ACL) معينة. على سبيل المثال، يمكن بدء إدخالات التحكم في الوصول (ACEs) في قائمة التحكم في الوصول (ACL) 120 قبل إدخالات التحكم في الوصول (ACEs) في TCAM.
الخطوة 3
تمت برمجة قائمة التحكم في الوصول (ACL) المدمجة في TCAM. كما يتم تقسيم وحدة التحكم في الوصول إلى الإدخال أو الإخراج لقائمة التحكم في الوصول (ACL) أو جودة الخدمة (QoS) إلى منطقتين، وهما PortAndVlan و PortOrVlan. تتم برمجة قائمة التحكم في الوصول (ACL) المدمجة في منطقة PortAndVlan من TCAM إذا كان التكوين يحتوي على كلا من قوائم التحكم في الوصول (ACL) هذه في مسار الحزمة نفسه:
-
PACL
ملاحظة: قائمة التحكم في الوصول الخاصة بالمنفذ (PACL) هي قائمة تحكم في الوصول (ACL) عادية للتصفية أو قائمة تحكم في الوصول (ACL) ديناميكية تم إنشاؤها من قبل IPSG.
-
VACL أو RACL
تتم برمجة قائمة التحكم في الوصول (ACL) في منطقة PortOrVlan من TCAM إذا كان لمسار معين من الحزمة قائمة تحكم في الوصول إلى المنفذ (PACL) أو قائمة تحكم في الوصول إلى المنفذ (VACL) أو قائمة تحكم في الوصول إلى المنفذ (RACL). يوضح الشكل 3 أداة ACL TCAM الخاصة بالأمان لأنواع مختلفة من قوائم التحكم في الوصول. تتوفر جودة الخدمة على TCAM منحوت بشكل مشابه ومنفصل ومخصص.
حاليا، أنت يستطيع لا يعدل ال TCAM تقصير توزيع. ومع ذلك، هناك خطط لتوفير القدرة على تغيير تخصيص TCAM الذي يكون متاحا لمناطق PortAndVlan و PortOrVlan في إصدارات البرامج المستقبلية. هذا تغيير سيسمح أنت أن يزيد أو يقلل المساحة ل PortAndVlan و PortOrVlan في إما الإدخال أو الإخراج TCAMs.
ملاحظة: ستؤدي أي زيادة في المخصصات لمنطقة PortAndVlan إلى انخفاض مماثل لمنطقة PortOrVlan في وحدة التحكم في الإدخال أو الإخراج.
شكل 3 - الأمان ACL TCAM بنية على المادة حفازة 4500 مفتاح 
يعرض الأمر show platform hardware acl statistics utilization brief إستخدام TCAM هذا الاستخدام لكل منطقة لكل من ACL و QoS TCAMs. تعرض مخرجات الأمر الأقنعة والمدخلات المتاحة وتقسمهم حسب المنطقة، كما في الشكل 3. هذا عينة إنتاج من مادة حفازة 4500 مشرف محرك II+:
ملاحظة: راجع قسم أنواع TCAM في هذا المستند للحصول على مزيد من المعلومات حول الأقنعة والإدخالات.
Switch#show platform hardware acl statistics utilization brief
Entries/Total(%) Masks/Total(%)
----------------- ---------------
Input Acl(PortAndVlan) 2016 / 4096 ( 49) 252 / 512 ( 49)
Input Acl(PortOrVlan) 6 / 4096 ( 0) 5 / 512 ( 0)
Input Qos(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Input Qos(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Output Acl(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Output Acl(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Output Qos(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Output Qos(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
L4Ops: used 2 out of 64
أنواع TCAM
المادة حفازة 4500 يستعمل إثنان نوع من TCAM، بما أن طاولة 2 يبدي. يعرض هذا القسم الفرق بين إصداري TCAM حتى يمكنك تحديد المنتج المناسب لشبكتك وتكوينك.
يستخدم TCAM 2 بنية تتشارك فيها ثمانية مدخلات قناع واحد. والمثال على ذلك هو ثمانية عناوين IP في ACEs. يجب أن يكون للمدخلات نفس القناع الذي تتشاركه. إذا كانت ACEs لها أقنعة مختلفة، يجب أن تستخدم المدخلات أقنعة منفصلة حسب الضرورة. يمكن أن يؤدي إستخدام الأقنعة المنفصلة هذا إلى إستهلاك القناع. يعد إستهلاك القناع في TCAM أحد الأسباب الشائعة لاستنفاد TCAM.
لا يتضمن TCAM 3 أي قيود من هذا القبيل. يمكن أن يكون لكل إدخال قناعه الفريد في TCAM. من الممكن إستخدام كل الإدخالات المتوفرة في الجهاز بشكل كامل، بغض النظر عن قناع هذه الإدخالات.
لتوضيح بنية الأجهزة هذه، يوضح المثال الموجود في هذا القسم كيفية إستخدام قوائم التحكم في الوصول (ACL) الخاصة بالبرامج طراز TCAM 2 و TCAM 3 في الأجهزة.
access-list 101 permit ip host 8.1.1.1 any access-list 101 deny ip 8.1.1.0 0.0.0.255 any
تحتوي قائمة التحكم بالوصول (ACL) العينة هذه على إدخالين لديهما أقنعة مختلفة. ACE 1 هو إدخال مضيف وبالتالي فهو يحتوي على قناع /32. ACE 2 هو إدخال شبكة فرعية بقناع /24. لأن الإدخال الثاني له قناع مختلف، لا يمكن إستخدام الإدخالات الفارغة في القناع 1 ويتم إستخدام قناع منفصل في حالة TCAM 2.
يوضح هذا الجدول كيفية برمجة قائمة التحكم في الوصول (ACL) هذه في TCAM 2:
| أقنعة | إدخالات |
|---|---|
| مطابقة القناع 1: جميع وحدات بت لعنوان IP للمصدر "لا تهتم": جميع وحدات بت المتبقية | مصدر IP = 8.1.1.1 |
| إدخال فارغ 2 | |
| إدخال فارغ 3 | |
| إدخال فارغ 4 | |
| إدخال فارغ 5 | |
| إدخال فارغ 6 | |
| إدخال فارغ 7 | |
| إدخال فارغ 8 | |
| مطابقة القناع 2: معظم 24 وحدة بت من عنوان IP للمصدر "لا تهتم": جميع وحدات بت المتبقية | مصدر IP = 8.1.1.0 |
| إدخال فارغ 2 | |
| إدخال فارغ 3 | |
| إدخال فارغ 4 | |
| إدخال فارغ 5 | |
| إدخال فارغ 6 | |
| إدخال فارغ 7 | |
| إدخال فارغ 8 |
على الرغم من وجود إدخالات حرة متوفرة كجزء من القناع 1، إلا أن بنية TCAM 2 تمنع تجميع ACE 2 في الإدخال الفارغ 2 للقناع 1. لا يسمح باستخدام هذا القناع لأن قناع ACE 2 لا يطابق قناع /32 ل ACE 1. يجب على TCAM 2 برمجة ACE 2 باستخدام قناع منفصل، قناع /24.
وقد يؤدي إستخدام قناع منفصل على هذا النحو إلى إستهلاك الموارد المتاحة بشكل أسرع، كما يظهر الجدول 2. لا يزال بإمكان قوائم التحكم في الوصول (ACL) الأخرى إستخدام الإدخالات المتبقية في القناع 1. ومع ذلك، ففي معظم الحالات، تكون كفاءة معيار TCAM 2 عالية ولكنها لا تبلغ 100 بالمائة. تختلف الكفاءة باختلاف سيناريو التكوين.
يوضح هذا الجدول نفس قائمة التحكم في الوصول (ACL) المبرمجة في TCAM 3. يقوم TCAM 3 بتخصيص قناع لكل إدخال:
| أقنعة | إدخالات |
|---|---|
| القناع 32 وحدة بت لعنوان IP 1 | مصدر IP = 8.1.1.1 |
| القناع 24 وحدة بت لعنوان IP 2 | مصدر IP = 8.1.1.0 |
| القناع الفارغ 3 | إدخال فارغ 3 |
| القناع الفارغ 4 | إدخال فارغ 4 |
| قناع فارغ 5 | إدخال فارغ 5 |
| قناع فارغ 6 | إدخال فارغ 6 |
| قناع فارغ 7 | إدخال فارغ 7 |
| قناع فارغ 8 | إدخال فارغ 8 |
| قناع فارغ 9 | إدخال فارغ 9 |
| قناع فارغ 10 | إدخال فارغ 10 |
| قناع فارغ 11 | إدخال فارغ 11 |
| قناع فارغ 12 | إدخال فارغ 12 |
| قناع فارغ 13 | إدخال فارغ 13 |
| قناع فارغ 14 | إدخال فارغ 14 |
| قناع فارغ 15 | إدخال فارغ 15 |
| قناع فارغ 16 | إدخال فارغ 16 |
في هذا مثال، ال 14 مدخل متبق يستطيع كل واحد يتلقى مدخلات مع أقنعة مختلفة، بدون قيود. لذلك، فإن TCAM 3 أكثر فعالية بكثير من TCAM 2. يتم تبسيط هذا المثال بشكل مفرط لتوضيح الفرق بين إصدارات TCAM. يحتوي برنامج Catalyst 4500 على العديد من التحسينات لزيادة كفاءة البرمجة في TCAM 2 لسيناريو تكوين عملي. يناقش قسم خوارزمية برمجة TCAM دون الأمثل ل TCAM 2 من هذا المستند هذه التحسينات.
ل على حد سواء TCAM 2 و TCAM 3 على المادة حفازة 4500، ال TCAM دخلت شاركت إن ال نفسه ACL طبقت على قارن مختلف. يعمل هذا التحسين على توفير مساحة TCAM.
أستكشاف أخطاء TCAM وإصلاحها
عندما يحدث إستهلاك TCAM على محولات Catalyst 4500 switches أثناء برمجة قائمة التحكم في الوصول إلى الأمان، يحدث تطبيق جزئي لقائمة التحكم في الوصول (ACL) عبر مسار البرنامج. تتم معالجة الحزم التي تطابق إدخالات التحكم في الوصول (ACEs) التي لا يتم تطبيقها في TCAM في البرنامج. تؤدي هذه المعالجة في البرنامج إلى إستخدام عال لوحدة المعالجة المركزية. نظرا لأن برمجة قائمة التحكم في الوصول (ACL) طراز Catalyst 4500 تعتمد على الأمر، فإنه يتم برمجة قائمة التحكم في الوصول (ACL) دائما من الأعلى إلى الأسفل. إذا لم تلائم قائمة التحكم في الوصول (ACL) معينة بشكل كامل TCAM، فإن وحدات ACE الموجودة في الجزء السفلي من قائمة التحكم في الوصول لا تتم برمجتها على الأرجح في TCAM.
تظهر رسالة تحذير عند حدوث تجاوز TCAM. فيما يلي مثال:
%C4K_HWACLMAN-4-ACLHWPROGERRREASON: (Suppressed 1times) Input(null, 12/Normal) Security: 140 - insufficient hardware TCAM masks. %C4K_HWACLMAN-4-ACLHWPROGERR: (Suppressed 4 times) Input Security: 140 - hardware TCAM limit, some packet processing will be software switched.
أنت يستطيع أيضا رأيت هذا خطأ رسالة في العرض logging أمر إنتاج إن أنت مكنت syslog. يشير وجود هذه الرسالة بشكل قاطع إلى إجراء بعض معالجة البرامج. ونتيجة لذلك، يمكن إستخدام وحدة المعالجة المركزية (CPU) بشكل كبير. تظل قائمة التحكم في الوصول (ACL) التي تمت برمجتها بالفعل في TCAM مبرمجة في TCAM إذا حدث إستهلاك لقدرة TCAM أثناء تطبيق قائمة التحكم في الوصول (ACL) الجديدة. تستمر معالجة الحزم التي تطابق قوائم التحكم في الوصول (ACL) التي تمت برمجتها بالفعل وإعادة توجيهها في الأجهزة.
ملاحظة: إذا قمت بإجراء تغييرات على قائمة تحكم في الوصول (ACL) كبيرة، فقد يتم عرض الرسالة التي تم تجاوز TCAM بها. يحاول المحول إعادة برمجة قائمة التحكم في الوصول (ACL) في TCAM. في معظم الحالات، يمكن إعادة برمجة قائمة التحكم في الوصول (ACL) الجديدة والمعدلة بالكامل في الأجهزة. إذا كان يمكن للمحول إعادة برمجة قائمة التحكم في الوصول (ACL) بالكامل في TCAM بنجاح، تظهر هذه الرسالة:
*Apr 12 08:50:21: %C4K_COMMONHWACLMAN-4-ALLACLINHW: All configured ACLs now fully loaded in hardware TCAM - hardware switching / QoS restored
أستخدم الأمر show platform software acl input summary interface-id للتحقق من برمجة قائمة التحكم في الوصول (ACL) بالكامل في الأجهزة.
يوضح هذا الإخراج تكوين قائمة التحكم في الوصول (ACL) من 101 إلى شبكة VLAN رقم 1 والتحقق من أن قائمة التحكم في الوصول (ACL) مبرمجة بالكامل في الأجهزة:
ملاحظة: إذا لم تكن قائمة التحكم في الوصول (ACL) مبرمجة بالكامل، فقد يتم عرض رسالة خطأ TCAM-إستهلاك.
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface vlan 1
Switch(config-if)#ip access-group 101 in
Switch(config-if)#end
Switch#
Switch#show platform software acl input summary interface vlan 1
Interface Name : Vl1
Path(dir:port, vlan) : (in :null, 1)
Current TagPair(port, vlan) : (null, 0/Normal)
Current Signature : {FeatureCam:(Security: 101)}
Type : Current
Direction : In
TagPair(port, vlan) : (null, 0/Normal)
FeatureFlatAclId(state) : 0(FullyLoadedWithToCpuAces)
QosFlatAclId(state) : (null)
Flags : L3DenyToCpu
يشير حقل العلامات (L3DenyToCPU) إلى أنه، إذا تم رفض الحزمة بسبب قائمة التحكم في الوصول، يتم توجيه الحزمة إلى وحدة المعالجة المركزية. ثم يرسل المحول رسالة برتوكول رسائل التحكم في الإنترنت (ICMP)-يتعذر الوصول إليها. هذا السلوك هو الافتراضي. عند ضرب الحزم بوحدة المعالجة المركزية، يمكن أن يحدث إستخدام عال لوحدة المعالجة المركزية على المحول. ومع ذلك، في الإصدار 12.1(13)ew من برنامج Cisco IOS Software والإصدارات الأحدث، تكون هذه الحزم محدودة المعدل على وحدة المعالجة المركزية. في معظم الحالات، توصي Cisco بإيقاف تشغيل الميزة التي ترسل رسائل ICMP الذي يتعذر الوصول إليه.
يعرض هذا الإخراج تكوين المحول لعدم إرسال رسائل ICMP الذي يتعذر الوصول إليه والتحقق من برمجة TCAM بعد التغيير. يتم الآن تحميل حالة قائمة التحكم في الوصول (ACL) 101 بالكامل، كما تظهر مخرجات الأمر. لا تنتقل حركة المرور المرفوضة إلى وحدة المعالجة المركزية.
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface vlan 1
Switch(config-if)#no ip unreachables
Switch(config-if)#end
Switch#show platform software acl input summary interface vlan 1
Interface Name : Vl1
Path(dir:port, vlan) : (in :null, 1)
Current TagPair(port, vlan) : (null, 1/Normal)
Current Signature : {FeatureCam:(Security: 101)}
Type : Current
Direction : In
TagPair(port, vlan) : (null, 1/Normal)
FeatureFlatAclId(state) : 0(FullyLoaded)
QosFlatAclId(state) : (null)
Flags : None
ملاحظة: في حالة تجاوز TCAM لجودة الخدمة أثناء تطبيق سياسة جودة خدمة معينة، لا يتم تطبيق هذا النهج المحدد على الواجهة أو شبكة VLAN. لا يطبق المادة حفازة 4500 ال qoS سياسة في البرمجية ممر. وبالتالي، لا يرتفع إستخدام وحدة المعالجة المركزية (CPU) عند تجاوز TCAM لجودة الخدمة.
*May 13 08:01:28: %C4K_HWACLMAN-4-ACLHWPROGERR: Input Policy Map: 10Mbps - hardware TCAM limit, qos being disabled on relevant interface. *May 13 08:01:28: %C4K_HWACLMAN-4-ACLHWPROGERRREASON: Input Policy Map: 10Mbps - no available hardware TCAM entries.
قم بإصدار أمر show platform cpu packet statistics. تحديد ما إذا كانت قائمة انتظار معالجة ACL SW تتلقى عددا كبيرا من الحزم. يشير عدد كبير من الحزم إلى إستهلاك TCAM للأمان. يتسبب إستهلاك TCAM هذا في إرسال الحزم إلى وحدة المعالجة المركزية لإعادة توجيه البرامج.
Switch#show platform cpu packet statistics !--- Output suppressed. Packets Received by Packet Queue Queue Total 5 sec avg 1 min avg 5 min avg 1 hour avg ---------------------- --------------- --------- --------- --------- ---------- Control 57902635 22 16 12 3 Host Learning 464678 0 0 0 0 L3 Fwd Low 623229 0 0 0 0 L2 Fwd Low 11267182 7 4 6 1 L3 Rx High 508 0 0 0 0 L3 Rx Low 1275695 10 1 0 0 ACL fwd(snooping) 2645752 0 0 0 0 ACL log, unreach 51443268 9 4 5 5 ACL sw processing 842889240 1453 1532 1267 1179 Packets Dropped by Packet Queue Queue Total 5 sec avg 1 min avg 5 min avg 1 hour avg ---------------------- --------------- --------- --------- --------- ---------- L2 Fwd Low 3270 0 0 0 0 ACL sw processing 12636 0 0 0 0
إذا وجدت أن قائمة انتظار معالجة sw لقائمة التحكم في الوصول لا تتلقى كمية مفرطة من حركة المرور، فارجع إلى إستخدام وحدة المعالجة المركزية (CPU) العالي على محولات Catalyst 4500 المستندة إلى برنامج Cisco IOS لأسباب أخرى ممكنة. يوفر المستند معلومات حول كيفية أستكشاف أخطاء سيناريوهات إستخدام وحدة المعالجة المركزية (CPU) الفائقة الأخرى وإصلاحها.
يمكن أن يتدفق Catalyst 4500 TCAM لهذه الأسباب:
-
الاستخدام المفرط لعمليات الطبقة الرابعة (L4OPS) في قائمة التحكم في الوصول (ACL)
-
قوائم التحكم في الوصول (ACL) الزائدة لنوع Supervisor Engine (المحرك المشرف) أو المحول
خوارزمية برمجة TCAM دون المستوى الأمثل ل TCAM 2
بما أن أنواع الأقسام تناقش، فإن كفاءة TCAM 2 تكون أقل نظرا لأن ثمانية إدخالات تتشارك في قناع واحد. يسمح برنامج Catalyst 4500 بنوعين من خوارزميات برمجة TCAM ل TCAM 2 التي تحسن من كفاءة TCAM 2:
-
معبأ — مناسب لمعظم سيناريوهات قوائم التحكم في الوصول (ACL) الأمنية
ملاحظة: هذا هو الإعداد الافتراضي.
-
مبعثر — مستخدم في سيناريو IPSG
يمكنك تغيير الخوارزمية إلى خوارزمية مبعثرة، ولكن هذا لا يساعد عادة إذا قمت بتكوين قوائم التحكم في الوصول إلى الأمان فقط، مثل قوائم التحكم في الوصول إلى النقل (RACL). تكون الخوارزمية المبعثرة فعالة فقط في السيناريوهات التي يتم فيها تكرار قائمة التحكم في الوصول (ACL) الصغيرة أو المماثلة على منافذ عديدة. وهذا السيناريو هو حالة IPSG يتم تمكينه على واجهات متعددة. في سيناريو IPSG، كل قائمة تحكم في الوصول (ACL) ديناميكية:
-
يحتوي على عدد صغير من الإدخالات
وهذا يتضمن تصاريح لعناوين IP المسموح بها ورفض في النهاية لمنع الوصول إلى المنفذ بواسطة عناوين IP غير المصرح بها.
-
متكرر لجميع منافذ الوصول التي تم تكوينها
يتم تكرار قائمة التحكم في الوصول (ACL) لما يصل إلى 240 منفذا على محول Catalyst 4507R.
ملاحظة: يستخدم TCAM 3 الخوارزمية الافتراضية المعبأة. لأن بنية TCAM هي قناع واحد لكل إدخال، فإن الخوارزمية المعبأة هي أفضل خوارزمية ممكنة. لذلك، لا يتم تمكين خيار الخوارزمية المبعثرة على هذه المحولات.
هذا المثال هو على Supervisor Engine II+ تم تكوينه لميزة IPSG. يظهر الإخراج أنه، على الرغم من إستخدام 49 بالمائة فقط من الإدخالات، يتم إستهلاك 89 بالمائة من الأقنعة:
Switch#show platform hardware acl statistics utilization brief Entries/Total(%) Masks/Total(%) ----------------- --------------- Input Acl(PortAndVlan) 2016 / 4096 ( 49) 460 / 512 ( 89) Input Acl(PortOrVlan) 6 / 4096 ( 0) 4 / 512 ( 0) Input Qos(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0) Input Qos(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0) Output Acl(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0) Output Acl(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0) Output Qos(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0) Output Qos(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0) L4Ops: used 2 out of 64
في هذه الحالة، يساعد تغيير خوارزمية البرمجة من الخوارزمية الافتراضية المعبأة إلى الخوارزمية المبعثرة. تعمل الخوارزمية المبعثرة على تقليل إجمالي إستخدام القناع من 89 بالمائة إلى 49 بالمائة.
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#access-list hardware entries scattered
Switch(config)#end
Switch#show platform hardware acl statistics utilization brief
Entries/Total(%) Masks/Total(%)
----------------- ---------------
Input Acl(PortAndVlan) 2016 / 4096 ( 49) 252 / 512 ( 49)
Input Acl(PortOrVlan) 6 / 4096 ( 0) 5 / 512 ( 0)
Input Qos(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Input Qos(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Output Acl(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Output Acl(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Output Qos(PortAndVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
Output Qos(PortOrVlan) 0 / 4096 ( 0) 0 / 512 ( 0)
L4Ops: used 2 out of 64
أحلت لمعلومة حول أفضل ممارسة لسمة أمن على مادة حفازة 4500 مفتاح، مادة حفازة 4500 أمن سمة أفضل ممارسة للمشرفين.
الاستخدام المفرط لعمليات التشغيل من المستوى الرابع في قائمة تحكم في الوصول (ACL)
يشير المصطلح L4Ops إلى إستخدام كلمات المرور gt، lt، neq، وrange في تكوين قائمة التحكم في الوصول (ACL). يحتوي المادة حفازة 4500 على حدود على عدد هذه الكلمات الأساسية التي يمكنك إستخدامها في قائمة تحكم في الوصول (ACL) واحدة. الحد، الذي يختلف حسب Supervisor Engine (المحرك المشرف) والمحول، هو إما ستة أو ثمانية عمليات تشغيل من المستوى الرابع لكل قائمة تحكم في الوصول (ACL). يوضح الجدول 3 الحد لكل محرك مشرف وقوائم التحكم في الوصول (ACL) لكل.
الجدول 3 - حد L4OP لكل قائمة تحكم في الوصول (ACL) على المحولات والمحولات Catalyst 4500 Supervisor Engines المختلفة| المنتج | L4Op |
|---|---|
| محرك المشرف II+/ II+TS | 32 (6 لكل قائمة تحكم في الوصول) |
| محرك المشرف III/IV/V و WS-C4948 | 32 (6 لكل قائمة تحكم في الوصول) |
| المحرك المشرف V-10GE و WS-C4948-10GE | 64 (8 لكل قائمة تحكم في الوصول) |
إذا تم تجاوز حد L4Op لكل قائمة تحكم في الوصول، يتم عرض رسالة تحذير على وحدة التحكم. الرسالة مماثلة لهذه:
%C4K_HWACLMAN-4-ACLHWPROGERR: Input Security: severn - hardware TCAM limit, some packet processing will be software switched. 19:55:55: %C4K_HWACLMAN-4-ACLHWPROGERRREASON: Input Security: severn - hardware TCAM L4 operators/TCP flags usage capability exceeded.
كما أنه في حالة تجاوز حد L4Op، يتم توسيع إدخال التحكم في الوصول (ACE) المحدد في TCAM. نتائج إستخدام TCAM الإضافية. ويقدم هذا ACE مثالا على ذلك:
access-list 101 permit tcp host 8.1.1.1 range 10 20 any
مع وجود ACE هذا في قائمة تحكم في الوصول (ACL)، يستخدم المحول إدخالا واحدا فقط وإدخال L4OP واحد. ومع ذلك، إذا تم إستخدام ستة عمليات تشغيل من المستوى الرابع بالفعل في قائمة التحكم في الوصول (ACL) هذه، يتم توسيع ACE هذا إلى 10 إدخالات في الجهاز. من المحتمل أن يستخدم مثل هذا التوسيع الكثير من الإدخالات في TCAM. يمنع الاستخدام الدقيق لعمليات التشغيل L4Ops هذه تدفق TCAM.
ملاحظة: إذا كانت هذه الحالة تتضمن Supervisor Engine (المحرك المشرف) طراز V-10GE و WS-C4948-10GE، ينتج عن ثماني عمليات تشغيل من المستوى الرابع (OPS) كانت تستخدم من قبل في قائمة التحكم في الوصول (ACL) توسيع ACE.
تذكر هذا عنصر عندما يستعمل أنت L4OP على مادة حفازة 4500 مفتاح:
-
تعتبر عمليات المستوى 4 مختلفة إذا اختلف المشغل أو المعامل.
على سبيل المثال، تحتوي قائمة التحكم بالوصول (ACL) هذه على ثلاث عمليات مختلفة للمستوى 4 نظرا لأن GT 10 وGT 11 يعتبران عمليتين مختلفتين للمستوى 4:
access-list 101 permit tcp host 8.1.1.1 any gt 10 access-list 101 deny tcp host 8.1.1.2 any lt 9 access-list 101 deny tcp host 8.1.1.3 any gt 11
-
تعتبر عمليات L4 مختلفة إذا يطبق ال نفسه معامل/زوج عملية مرة واحدة على مصدر ميناء ومرة واحدة إلى غاية ميناء.
فيما يلي مثال:
access-list 101 permit tcp host 8.1.1.1 gt 10 any access-list 101 permit tcp host 8.1.1.2 any gt 10
-
المادة حفازة 4500 يتشارك مفتاح L4ops عندما يمكن.
في هذا المثال، توضح الأسطر في الخط المائل المائل المزود هذا السيناريو:
access-list 101 permit tcp host 8.1.1.1 any gt 10 access-list 101 deny tcp host 8.1.1.2 any lt 9 access-list 101 deny udp host 8.1.1.3 any gt 11 access-list 101 deny tcp host 8.1.1.4 any neq 6 access-list 101 deny udp host 8.1.1.5 neq 6 any access-list 101 deny tcp host 8.1.1.6 any gt 10
access-list 102 deny tcp host 9.1.1.1 any gt 20 access-list 102 deny udp host 9.1.1.2 lt 9 any access-list 102 deny tcp host 9.1.1.3 range 11 13 any access-list 102 permit tcp host 9.1.1.1 eq 10 any access-list 102 permit udp host 9.1.1.4 any neq 6
-
إستخدام L4Op ل ACL 101 = 5
-
إستخدام L4Op ل ACL 102 = 4
ملاحظة: لا تستهلك الكلمة الأساسية eq أيا من مورد جهاز L4Op.
-
إجمالي إستخدام L4Op = 8
ملاحظة: ACL 101 و 102 تشترك في نقطة وصول واحدة من المستوى الرابع.
ملاحظة: تتم مشاركة L4Op حتى إذا كان البروتوكول، مثل TCP أو بروتوكول مخطط بيانات المستخدم (UDP)، غير متطابق أو أن إجراء السماح/الرفض غير متطابق.
-
قوائم التحكم في الوصول (ACL) الزائدة لنوع المحرك المشرف أو المحول
وكما يظهر الجدول 2، فإن TCAM مورد محدود. يمكنك تجاوز مورد TCAM لأي محرك مشرف إذا قمت بتكوين قوائم التحكم بالوصول (ACL) أو الميزات الزائدة مثل IPSG باستخدام عدد كبير من إدخالات IPSG.
إذا تجاوزت مساحة TCAM الخاصة ب Supervisor Engine (المحرك المشرف)، فعليك باتخاذ الخطوات التالية:
-
إذا كان لديك محرك مشرف II+ وقمت بتشغيل إصدار من برنامج Cisco IOS Software سابق لإصدار برنامج Cisco IOS Software، الإصدار 12.2(18)EW، فيمكنك الترقية إلى أحدث برنامج Cisco IOS Software الإصدار 12.2(25)EWA Maintenance الإصدار.
وقد تمت زيادة قدرة نظام إدارة السجلات والمحفوظات في الإصدارات اللاحقة.
-
إذا كنت تستخدم التطفل على بروتوكول DHCP و IPSG وتبدأ في تشغيل الجهاز باستخدام TCAM، فاستخدم أحدث إصدار من البرنامج Cisco IOS Software الإصدار 12.2(25)EWA للصيانة واستخدم الخوارزمية المبعثرة في حالة منتجات TCAM 2.
ملاحظة: تتوفر الخوارزمية المبعثرة في الإصدار 12.2(20)EW من البرنامج Cisco IOS Software والإصدارات الأحدث.
كما يحتوي الإصدار الأخير على تحسينات لاستخدام TCAM بشكل أفضل مع التطفل على بروتوكول DCHP ومميزات الفحص الديناميكي لبروتوكول تحليل العنوان (ARP) (DAI).
-
إذا بدأت في التشغيل من TCAM بسبب تجاوز حد L4Op، فحاول تقليل إستخدام L4Op في قائمة التحكم بالوصول لمنع تجاوز TCAM.
-
إذا كنت تستخدم العديد من قوائم التحكم في الوصول (ACL) أو السياسات المماثلة على منافذ مختلفة في شبكة VLAN نفسها، فعليك تجميعها في قائمة تحكم في الوصول (ACL) واحدة أو سياسة واحدة على واجهة شبكة VLAN.
يوفر هذا التجميع بعض مساحة TCAM. على سبيل المثال، عند تطبيق السياسات المستندة إلى الصوت، يتم إستخدام جودة الخدمة الافتراضية المستندة إلى المنفذ للتصنيف. يمكن أن تتسبب جودة الخدمة الافتراضية هذه في تجاوز سعة TCAM. إذا قمت بتبديل جودة الخدمة (QoS) إلى المستندة إلى الشبكة المحلية الظاهرية (VLAN)، فيمكنك تقليل إستخدام TCAM.
-
إذا كانت لا تزال لديك مشاكل مع مساحة TCAM، فعليك مراعاة محرك المشرف المتطور، مثل Supervisor Engine (المحرك المشرف) v-10GE أو Catalyst 4948-10GE.
تستخدم هذه المنتجات أكثر أجهزة TCAM 3 فعالية.
ملخص
يعمل المحول Catalyst 4500 على برمجة قوائم التحكم في الوصول (ACL) التي تم تكوينها باستخدام TCAM. تتيح TCAM تطبيق قوائم التحكم في الوصول (ACL) في مسار إعادة توجيه الأجهزة دون أي تأثير على أداء المحول. يكون الأداء ثابتا على الرغم من حجم قائمة التحكم في الوصول (ACL) لأن أداء عمليات البحث عن قائمة التحكم في الوصول (ACL) يكون بمعدل الخط. ومع ذلك، فإن TCAM مورد محدود. لذلك، إذا قمت بتكوين عدد مفرط من إدخالات قائمة التحكم في الوصول (ACL)، فأنت تتجاوز سعة TCAM. نفذ Catalyst 4500 العديد من التحسينات وقدم أوامر لتغيير خوارزمية البرمجة الخاصة ب TCAM من أجل تحقيق الحد الأقصى من الكفاءة. توفر منتجات TCAM 3 مثل Supervisor Engine V-10GE و Catalyst 4948-10GE معظم موارد TCAM لسياسات قوائم التحكم في الوصول (ACL) الأمنية وجودة الخدمة (QoS).
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
27-Oct-2005 |
الإصدار الأولي |
التعليقات