Limitaciones bancarias y configuración de la cadena bancaria de Nexus 7000 TCAM

Opciones de descarga

  • PDF     (117.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (86.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (73.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:21 de septiembre de 2021
ID del documento:116151

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la programación predeterminada para las funciones basadas en la lista de control de acceso (ACL) para los bancos de memoria direccionable de contenido ternario (TCAM) Nexus 7000 y cómo agrupar recursos mediante la función de encadenamiento bancario.

    Problema

    Con la implementación inicial, las funciones de ACL no se programan en diferentes bancos TCAM. Esto limita las entradas disponibles para cada función a 16.000. Para aquellos clientes que tienen ACL grandes, esto se convierte en un problema. El uso de la función de cadena bancaria resuelve este problema con la eliminación de la restricción bancaria. Cuando se habilita la cadena bancaria, las funciones basadas en ACL se pueden programar en los bancos.

    Ejemplos de mensajes de error:

    ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD  Tcam 0 Bank 0's usage has reached its threshold

    ACLMGR-3-ACLMGR_VERIFY_FAIL  Verify failed: client 8200016E, Sufficient free entries are not available in TCAM bank

    Solución

    • Cuando se habilita la cadena bancaria, sólo afecta a las configuraciones futuras. Las entradas TCAM actuales no se reprograman. Cuando se aplica una nueva ACL a una interfaz, esa nueva ACL se programa en varios bancos.
    • Cuando se habilita la cadena bancaria, la ACL se programa en todos los bancos (excepto en Tunnel Decap and Control Plane Protection (CoPP)). (Consulte la sección Restricciones.) Si hay suficientes entradas en dos TCAM Bank 0, la ACL se divide y se programa en esos dos bancos.  
    • Si los dos TCAM Bank 0s no tienen suficientes entradas libres, la regla ACL se programa en los cuatro bancos.
    • Cuando se habilita la función de cadena bancaria, incluso si la ACL tiene un número menor de reglas que las entradas gratuitas de un solo banco, se programa a través de los dos TCAM Bank 0s.
    • Cuando se inhabilita la cadena bancaria, se reprograman las entradas TCAM actuales. Si la ACL actual no encaja en un banco, se devuelve un mensaje de error y no se puede inhabilitar la cadena bancaria.
    • Durante la actualización de software en funcionamiento (ISSU), la cadena bancaria debe desactivarse; de lo contrario, la reversión de ISSU fallará.

    Restricciones

    • Cuando se habilita la función de cadena de banco, las políticas aplicadas a una interfaz y a un directorio se pueden fusionar. No se puede combinar ninguna de las políticas que tienen las estadísticas activadas. Cuando se habilita la cadena bancaria, la función con estadísticas activadas no puede coexistir con otras funciones en la misma interfaz, en la misma dirección. Ejemplo: Cuando se habilitan las estadísticas en la lista de control de acceso del router de entrada (RACL) en Ethernet2/1, el routing basado en políticas (PBR) no se puede configurar en esa interfaz.
    • No se pueden combinar dos políticas cualesquiera, cuyos tipos de resultado son diferentes. Hay tres tipos de resultados: ACL, contabilidad y calidad de servicio (QoS). Estos tres tipos de resultados no se pueden combinar.
      1. Características bajo el tipo de resultado ACL: Lista de control de acceso a puertos (PACL), RACL, Lista de control de acceso a VLAN (VACL), PBR, DHCP, protocolo de resolución de direcciones (ARP), NetFlow
      2. Características del tipo de resultado de contabilidad: Sampler de Netflow
      3. Características bajo el tipo de resultado de QoS: QoS

      Ejemplo: RACL y QoS no pueden coexistir en la misma dirección en una interfaz con la cadena bancaria habilitada.
    • La función Tunnel Decap y CoPP se programan en una interfaz lógica (LIF) y no se pueden combinar porque sus tipos de resultado son diferentes. Para evitar la restricción en la que no pueden coexistir, se mantienen en un banco, incluso cuando la cadena bancaria está habilitada. Cuando se habilita la Lista de control de acceso basado en roles (RBACL), se utilizará la Etiqueta de grupo de seguridad de origen/Etiqueta de grupo de seguridad de destino (SGT/DGT) para crear la clave de búsqueda de TCAM. El RBACL no puede fusionarse con otras políticas de egreso, ya que la etiqueta está programada para capturar SGT/DGT en lugar de las direcciones de destino de origen de IPv4. Cuando se habilita la cadena bancaria, se aplican las siguientes reglas:
      1. Si el RBACL está habilitado en Virtual Routing and Forwarding (VRF), no se pueden configurar otras políticas de salida en esas interfaces en ese VRF.
      2. Si el RBACL está habilitado bajo VLAN, no se puede configurar ninguna política de egreso de VLAN.
    • Política de puertos + VLAN: en hardware (HW), las etiquetas de políticas de puerto y VLAN se programan en una entrada de Information Lifecycle Management (ILM). Sólo puede tener una etiqueta para la política de puerto y una etiqueta para la política de VLAN. Cuando se habilita la cadena bancaria, no se pueden soportar las políticas de puerto + VLAN:
      1. Cuando se configura una política de puerto, no se puede configurar ninguna política en la VLAN/SVI a la que pertenece el puerto.
      2. Cuando se configura una política VLAN/SVI, no se puede configurar ninguna política en el puerto que pertenece a la VLAN.

    Ejemplo de un mensaje de error:

    ERROR: Resource-pooling is not supported with certain feature combinations

    Configuración

    config t
    agrupación de recursos de lista de acceso de hardware !sólo se puede emitir desde el VDC predeterminado

    show hardware access-list resource pooling
    show system internal access-list status

    SITE1-AGG1(config)# hardware access-list resource pooling mod ?
  <1-9>  Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling 
  Module 3 enabled
SITE1-AGG1# show system internal access-list status 
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5 

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    21-Sep-2021
    Versión inicial
    1.0
    18-Jun-2013
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jane Gao
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco