Limitazioni dei banchi TCAM Nexus 7000 e configurazione della catena di banchi

Opzioni per il download

  • PDF     (117.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (86.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (72.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:21 settembre 2021
ID documento:116151

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive la programmazione predefinita per le funzionalità Access Control List-based (ACL) per le banche Nexus 7000 Ternary Content Addressable Memory (TCAM) e come riunire le risorse utilizzando la funzione di concatenamento delle banche.

    Problema

    Con l'implementazione iniziale, le funzionalità ACL non sono programmate tra diverse banche TCAM. In questo modo, le voci disponibili per ciascuna funzionalità sono limitate a 16.000. Il problema si verifica per i clienti con ACL di grandi dimensioni. L'uso della feature di catena di bancali risolve questo problema con la rimozione della restrizione di bancale. Quando la catena di banchi è abilitata, le funzionalità basate sugli ACL possono essere programmate tra più banche.

    Esempi di messaggi di errore:

    ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD  Tcam 0 Bank 0's usage has reached its threshold

    ACLMGR-3-ACLMGR_VERIFY_FAIL  Verify failed: client 8200016E, Sufficient free entries are not available in TCAM bank

    Soluzione

    • Quando la catena di bancali è abilitata, influisce solo sulle configurazioni future. Le voci TCAM correnti non vengono riprogrammate. Quando si applica un nuovo ACL a un'interfaccia, il nuovo ACL viene programmato su più banche.
    • Quando la catena di bancali è abilitata, l'ACL viene programmato su più banche (ad eccezione di Tunnel Decap e Control Plane Protection (CoPP)). (Fare riferimento alla sezione Restrizioni). Se ci sono abbastanza voci in due TCAM Bank 0, l'ACL viene suddiviso e programmato in queste due banche.  
    • Se le due banche TCAM 0s non hanno abbastanza voci libere, la regola ACL è programmata su tutte e quattro le banche.
    • Quando la funzione di catena di banchi è attivata, anche se l'ACL ha un numero di regole inferiore rispetto alle voci libere di una singola banca, viene programmato tra i due banchi TCAM 0s.
    • Quando la catena di banche è disattivata, le voci TCAM correnti vengono riprogrammate. Se l'ACL corrente non può essere contenuto in un solo banco, viene restituito un messaggio di errore e non è possibile disabilitare la catena di bancali.
    • Durante il declassamento di In-Service Software Upgrade (ISSU), la catena di banche deve essere disabilitata; in caso contrario, il declassamento dell'ISSU fallirà.

    Restrizioni

    • Quando la funzione relativa alla catena di banche è attivata, è possibile unire i criteri applicati a un'interfaccia e a una directory. Impossibile unire uno qualsiasi dei criteri per cui sono abilitate le statistiche. Quando la catena di bancali è attivata, la feature con le statistiche attivate non può coesistere con altre feature nella stessa direzione sulla stessa interfaccia. Esempio: Quando sono abilitate le statistiche su RACL (Router Access Control List) in entrata su Ethernet 2/1, non è possibile configurare il PBR (Policy Based Routing) su tale interfaccia.
    • Non è possibile unire due criteri con tipi di risultati diversi. Sono disponibili tre tipi di risultati: ACL, accounting e QoS (Quality of Service). Impossibile unire questi tre tipi di risultati.
      1. Funzioni nel tipo di risultato ACL: Port Access Control List (PACL), RACL, VACL (VLAN Access Control List), PBR, DHCP, Address Resolution Protocol (ARP), Netflow
      2. Funzionalità nel tipo di risultato Contabilità: Netflow Sampler
      3. Funzioni nel tipo di risultato QoS: QoS

      Esempio: RACL e QoS non possono coesistere nella stessa direzione sotto un'unica interfaccia con la catena di banche abilitata.
    • Tunnel Decap e CoPP sono programmati in un'unica interfaccia logica (LIF) e non possono essere uniti perché i tipi di risultati sono diversi. Per evitare la restrizione in base alla quale non possono coesistere, sono tenuti in una banca, anche quando la catena bancaria è abilitata. Quando l'elenco di controllo di accesso basato sui ruoli (RBACL) è abilitato, per creare la chiave di ricerca TCAM verrà utilizzato il tag Source Security Group Tag/Destination Security Group Tag (SGT/DGT). RBACL non può unirsi ad altri criteri di uscita, poiché l'etichetta è programmata per selezionare gli indirizzi di destinazione di origine SGT/DGT anziché IPv4. Quando la catena di banche è abilitata, vengono applicate le seguenti regole:
      1. Se RBACL è abilitato in VRF (Virtual Routing and Forwarding), non è possibile configurare altri criteri di uscita in tali interfacce del VRF.
      2. Se il RBACL è abilitato in VLAN, non è possibile configurare alcun criterio di uscita VLAN.
    • Policy porta e VLAN:  Nell'hardware (hardware), le regole delle porte e le etichette delle policy VLAN sono programmate sotto una voce di Information Lifecycle Management (ILM). Può avere una sola etichetta per il criterio porta e una per il criterio VLAN. Quando la catena di banchi è abilitata, le policy relative alla porta e alla VLAN non possono essere supportate:
      1. Quando è configurato un criterio di porta, non è possibile configurare alcun criterio nella VLAN/SVI a cui appartiene la porta.
      2. Quando si configura un criterio VLAN/SVI, non è possibile configurare alcun criterio sulla porta che appartiene alla VLAN.

    Esempio di messaggio di errore:

    ERROR: Resource-pooling is not supported with certain feature combinations

    Configurazione

    config
    il pooling delle risorse dell'elenco accessi hardware !può essere emesso solo dal controller di dominio virtuale predefinito

    mostra pool di risorse elenco accessi hardware
    show system internal access-list status

    SITE1-AGG1(config)# hardware access-list resource pooling mod ?
  <1-9>  Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling 
  Module 3 enabled
SITE1-AGG1# show system internal access-list status 
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5 

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    21-Sep-2021
    Release iniziale
    1.0
    18-Jun-2013
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Jane Gao
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci