概要
このドキュメントでは、Nexus 7000 Ternary Content Addressable Memory(TCAM)バンクのアクセス コントロール リスト(ACL)ベースの機能に対するデフォルト プログラミングについて説明します。また、バンク チェーニング機能を使用してリソースをプールする方法についても説明します。
問題
初期の実装では、異なる TCAM バンク間で ACL 機能がプログラムされていません。これにより、各機能で使用可能なエントリが16,000に制限されます。大規模なACLを使用しているお客様では、これは問題になります。バンク チェーン機能は、バンクの制限を削除することでこの問題を解決します。バンク チェーンが有効になっていると、ACL ベースの機能をバンク間にプログラムできます。
エラー メッセージの例:
ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD Tcam 0 Bank 0's usage has reached its threshold
ACLMGR-3-ACLMGR_VERIFY_FAIL Verify failed: client 8200016E, Sufficient free entries are not available in TCAM bank
解決方法
- バンク チェーンを有効にすると、その後のコンフィギュレーションにしか影響を与えません。現在の TCAM エントリは再プログラムされません。新しい ACL をインターフェイスに適用すると、その新しい ACL は、複数のバンク間にプログラムされます。
- バンクチェーンが有効な場合、ACLはバンク間でプログラムされます(Tunnel DecapおよびControl Plane Protection(CoPP)を除く)(「制限」セクションを参照)。 2 つの TCAM バンク 0 に十分なエントリがある場合、ACL は分割され、これら 2 つのバンクにプログラムされます。
- 2 つの TCAM バンク 0 に十分な空きエントリがない場合、ACL ルールは 4 つすべてのバンクにプログラムされます。
- バンク チェーンの機能を有効にすると、ACL が持つルールの数が 1 つの単一のバンクの空きエントリより少なくても、2 つの TCAM バンク 0 間にプログラムされます。
- バンク チェーンを無効にすると、現在の TCAM エントリが再プログラムされます。現在の ACL が 1 つのバンクに収まらない場合、エラー メッセージが返され、バンク チェーンを無効にできません。
- In-Service Software Upgrade(ISSU)のダウングレード中は、バンク チェーンを無効にする必要があります。そうしないと、ISSU のダウングレードが失敗します。
制約事項
- バンク チェーンの機能が有効にされている場合、1 つのインターフェイスと 1 つのディレクトリに適用されるポリシーはマージ可能です。統計情報が有効になっているポリシーはマージできません。バンク チェーンを有効にすると、統計情報が有効な機能は、同じインターフェイス上の同じ方向の他の機能と共存できません。例:Ethernet2/1 の受信側ルータの Access Control List(RACL)の統計情報が有効になっていると、そのインターフェイスの下では Policy Based Routing(PBR)を設定できません。
- 結果タイプが異なる 2 つのポリシーはマージできません。結果タイプには、ACL、アカウンティング、および Quality of Service(QoS)の 3 種類があります。 この 3 つの結果タイプはマージできません。
- ACL 結果タイプの下の機能:ポート アクセス コントロール リスト(PACL)、RACL、VLAN アクセス コントロール リスト(VACL)、PBR、DHCP、アドレス解決プロトコル(ARP)、Netflow
- アカウンティング結果タイプの下の機能:Netflowサンプラー
- QoS 結果タイプの下の機能:QoS
例:バンク チェーンが有効な 1 つのインターフェイスの下では、RACL と QoS は同じ方向で共存できません。
- Tunnel Decap および CoPP は 1 つの論理インターフェイス(LIF)の下にプログラムされますが、結果タイプが異なるため、マージできません。共存できない制限を回避するには、バンク チェーンが有効であっても、これらを 1 つのバンクに収めます。ロールベース アクセス コントロール リスト(RBACL)が有効になっている場合は、送信元セキュリティ グループ タグ/宛先セキュリティ グループ タグ(SGT/DGT)を使用して TCAM のルックアップ キーを作成します。SGT/DGT のピックアップ用に、IPv4 ソース宛先アドレスの代わりにラベルがプログラムされているため、RBACL は他の出力ポリシーとマージできません。バンク チェーンが有効な場合、次のルールが適用されます。
- 仮想ルーティングおよび転送(VRF)の下で RBACL が有効になっている場合、その VRF 内のインターフェイスでは他の出力ポリシーを設定できません。
- VLAN の下で RBACL が有効になっている場合、VLAN 出力ポリシーは設定できません。
- ポート + VLAN ポリシー: ハードウェア(HW)では、ポート ポリシーおよび VLAN ポリシーのラベルは 1 つの Information Lifecycle Management(ILM)エントリの下にプログラムされます。ポート ポリシーが持つことができるラベルは 1 つだけで、VLAN ポリシーが持つことができるラベルも 1 つだけです。バンク チェーンを有効にすると、ポート + VLAN ポリシーはサポートされません。
- ポート ポリシーを設定すると、ポートが所属する VLAN/SVI の下でポリシーを設定できません。
- VLAN/SVI ポリシーを設定すると、VLAN に属するポートにポリシーを設定できません。
エラー メッセージの例:
ERROR: Resource-pooling is not supported with certain feature combinations
コンフィギュレーション
config t
hardware access-list resource pooling !can only issued from default VDC
show hardware access-list resource pooling
show system internal access-list status
SITE1-AGG1(config)# hardware access-list resource pooling mod ?
<1-9> Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling
Module 3 enabled
SITE1-AGG1# show system internal access-list status
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5
関連情報
フィードバック