Nexus 7000 TCAM 은행 제한 사항 및 은행 체인 구성

소개

이 문서에서는 Nexus 7000 TCAM(Ternary Content Addressable Memory) 뱅크의 ACL(Access Control List-based) 기능에 대한 기본 프로그래밍과 은행 연결 기능을 사용하여 리소스를 풀링하는 방법에 대해 설명합니다.

문제

초기 구현에서는 ACL 기능이 서로 다른 TCAM 뱅크에 프로그래밍되지 않습니다. 이렇게 하면 각 기능에 대해 사용 가능한 항목이 16,000으로 제한됩니다. ACL이 큰 고객의 경우 문제가 됩니다. 은행 체인 기능을 사용하면 은행 제한 사항 제거와 함께 이 문제가 해결됩니다. 은행 체인이 활성화되면 은행 간에 ACL 기반 기능을 프로그래밍할 수 있습니다.

오류 메시지의 예:

ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD  Tcam 0 Bank 0's usage has reached its threshold

ACLMGR-3-ACLMGR_VERIFY_FAIL  Verify failed: client 8200016E, Sufficient free entries are not available in TCAM bank

솔루션

• 은행 체인이 활성화되면 향후 구성에만 영향을 미칩니다. 현재 TCAM 항목은 다시 프로그래밍되지 않습니다. 새 ACL이 인터페이스에 적용되면 새 ACL이 여러 뱅크에 프로그래밍됩니다.
• 은행 체인이 활성화되면 ACL이 은행 간에 프로그래밍됩니다(Tunnel Decap 및 Control Plane Protection(CoPP) 제외). (제한 섹션 참조). 두 TCAM Bank 0에 충분한 항목이 있는 경우 ACL이 분할되어 두 은행으로 프로그래밍됩니다.  
• 두 TCAM Bank 0에 충분한 무료 항목이 없는 경우, ACL 규칙은 4개의 모든 은행에 프로그래밍됩니다.
• 은행 체인 기능이 활성화된 경우, ACL에 단일 은행의 자유 입력보다 적은 수의 규칙이 있더라도 두 TCAM 뱅크 0에 프로그래밍됩니다.
• 은행 체인이 비활성화되면 현재 TCAM 항목이 다시 프로그래밍됩니다. 현재 ACL이 한 은행에 맞지 않으면 오류 메시지가 반환되고 은행 체인을 비활성화할 수 없습니다.
• ISSU(In-Service Software Upgrade) 다운그레이드 중에 은행 체인을 비활성화해야 합니다. 그렇지 않으면 ISSU 다운그레이드가 실패합니다.

제한 사항

• 은행 체인 기능이 활성화되면 하나의 인터페이스와 하나의 디렉토리에 적용되는 정책이 병합됩니다. 통계가 활성화된 정책 중 하나를 병합할 수 없습니다. 은행 체인이 활성화되면 통계가 활성화된 기능이 동일한 인터페이스의 다른 기능과 동일한 방향으로 공존할 수 없습니다. 예: Ethernet2/1의 인그레스 라우터 액세스 제어 목록(RACL)에서 통계가 활성화된 경우 해당 인터페이스에서 PBR(정책 기반 라우팅)을 구성할 수 없습니다.

• 결과 유형이 다른 두 정책은 병합할 수 없습니다. 다음과 같은 세 가지 결과 유형이 있습니다. ACL, 회계 및 QoS(Quality of Service). 이 세 결과 형식은 병합할 수 없습니다.
  1. ACL 결과 유형 아래의 기능: PACL(Port Access Control List), RACL, VACL(VLAN Access Control List), PBR, DHCP, ARP(Address Resolution Protocol), Netflow
  2. Accounting 결과 유형 아래의 기능: Netflow 샘플러
  3. QoS 결과 유형 아래의 기능: QoS
  
  예: RACL 및 QoS는 은행 체인이 활성화된 한 인터페이스에서 동일한 방향으로 공존할 수 없습니다.

• Tunnel Decap 및 CoPP는 하나의 LIF(Logical Interface)에 프로그래밍되며 결과 유형이 다르므로 병합할 수 없습니다. 공존할 수 없는 제한을 피하기 위해 은행체인이 활성화된 상태에서도 한 은행에 보관한다. RBACL(Role-Based Access Control List)이 활성화되면 TCAM 조회 키를 생성하기 위해 SGT/DGT(Source Security Group Tag/Destination Security Group Tag)가 사용됩니다. 레이블이 IPv4 소스 대상 주소 대신 SGT/DGT를 선택하도록 프로그래밍되었으므로 RBACL을 다른 이그레스 정책과 병합할 수 없습니다. 은행 체인이 활성화되면 다음 규칙이 적용됩니다.

1. RBACL이 VRF(Virtual Routing and Forwarding)에서 활성화된 경우 해당 VRF의 해당 인터페이스 아래에서 다른 이그레스 정책을 구성할 수 없습니다.
2. VLAN에서 RBACL이 활성화된 경우 VLAN 이그레스 정책을 구성할 수 없습니다.

• 포트 + VLAN 정책:  하드웨어(HW)에서 포트 정책 및 VLAN 정책 레이블은 하나의 ILM(정보 수명주기 관리) 항목에 따라 프로그래밍됩니다. 포트 정책에 대해 하나의 레이블과 VLAN 정책에 대한 하나의 레이블만 가질 수 있습니다. 은행 체인이 활성화된 경우 포트 + VLAN 정책을 지원할 수 없습니다.
  1. 포트 정책을 구성할 때 포트가 속한 VLAN/SVI에서 어떤 정책도 구성할 수 없습니다.
  2. VLAN/SVI 정책이 구성된 경우 VLAN에 속한 포트에서 어떤 정책도 구성할 수 없습니다.

오류 메시지의 예:

ERROR: Resource-pooling is not supported with certain feature combinations

구성

config t
하드웨어 access-list 리소스 풀링!은(는) 기본 VDC에서만 실행할 수 있습니다.

show hardware access-list 리소스 풀링
시스템 내부 액세스 목록 상태 표시

SITE1-AGG1(config)# hardware access-list resource pooling mod ?
  <1-9>  Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling 
  Module 3 enabled
SITE1-AGG1# show system internal access-list status 
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5 

관련 정보

• 기술 지원 및 문서 − Cisco Systems