Introduction
Este documento descreve a programação padrão para os recursos baseados na Lista de Controle de Acesso (ACL - Access Control List-based) para bancos de TCAM (Ternary Content Addressable Memory) do Nexus 7000 e como agrupar recursos usando o recurso de encadeamento bancário.
Problema
Com a implementação inicial, os recursos da ACL não são programados em bancos de TCAM diferentes. Isso limita as entradas disponíveis para cada recurso a 16.000. Para os clientes que têm ACLs grandes, isso se torna um problema. O uso do recurso da cadeia bancária resolve esse problema com a remoção da restrição bancária. Quando a cadeia bancária está ativada, os recursos baseados em ACL podem ser programados entre bancos.
Exemplos de mensagens de erro:
ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD Tcam 0 Bank 0's usage has reached its threshold
ACLMGR-3-ACLMGR_VERIFY_FAIL Verify failed: client 8200016E, Sufficient free entries are not available in TCAM bank
Solução
- Quando a cadeia bancária está ativada, ela afeta apenas as configurações futuras. As entradas TCAM atuais não são reprogramadas. Quando uma nova ACL é aplicada a uma interface, essa nova ACL é programada em vários bancos.
- Quando a cadeia bancária está ativada, a ACL é programada em todos os bancos (exceto no Decap de Túnel e no Control Plane Protection (CoPP)). (Consulte a seção Restrições.) Se houver entradas suficientes em dois TCAM Bank 0, a ACL será dividida e programada nesses dois bancos.
- Se os dois TCAM Bank 0s não tiverem entradas livres suficientes, a regra da ACL será programada em todos os quatro bancos.
- Quando o recurso de cadeia bancária está ativado, mesmo que a ACL tenha um número menor de regras do que as entradas livres de um único banco, ele é programado nos dois TCAM Bank 0s.
- Quando a cadeia bancária está desativada, as entradas atuais de TCAM são reprogramadas. Se a ACL atual não se encaixa em um banco, uma mensagem de erro é retornada e a cadeia bancária não pode ser desabilitada.
- Durante o downgrade de In-Service Software Upgrade (ISSU), a cadeia bancária deve ser desabilitada; caso contrário, o downgrade de ISSU falhará.
Restrições
- Quando o recurso de cadeia bancária está ativado, as políticas aplicadas a uma interface e a um diretório são mescláveis. Não é possível mesclar nenhuma das políticas com estatísticas ativadas. Quando a cadeia bancária está habilitada, o recurso com estatísticas habilitadas não pode coexistir com outros recursos na mesma interface, na mesma direção. Exemplo: Quando as estatísticas são ativadas na RACL (Access Control List, lista de controle de acesso) do roteador de entrada na Ethernet2/1, o PBR (Policy Based Routing, roteamento baseado em política) não pode ser configurado nessa interface.
- As duas políticas, cujos tipos de resultados são diferentes, não podem ser mescladas. Há três tipos de resultados: ACL, Contabilidade e Qualidade de Serviço (QoS). Esses três tipos de resultados não podem ser mesclados.
- Recursos sob o tipo de resultado da ACL: Lista de Controle de Acesso à Porta (PACL - Port Access Control List), RACL, Lista de Controle de Acesso à VLAN (VACL - VLAN Access Control List), PBR, DHCP, Address Resolution Protocol (ARP - Address Resolution Protocol), Netflow
- Recursos sob o tipo de resultado Contabilidade: Amostra de Netflow
- Recursos abaixo do tipo de resultado de QoS: qos
Exemplo: RACL e QoS não podem coexistir na mesma direção em uma interface com a cadeia bancária habilitada.
- O Decap do túnel e o CoPP são programados em uma interface lógica (LIF) e não podem ser mesclados porque seus tipos de resultado são diferentes. A fim de evitar a restrição em que não podem coexistir, são mantidos num banco, mesmo quando a cadeia bancária está ativada. Quando a RBACL (Role-Based Access Control List, Lista de controle de acesso baseado em função) estiver ativada, a Tag de grupo de segurança de origem/Tag de grupo de segurança de destino (SGT/DGT) será usada para criar a chave de pesquisa TCAM. O RBACL não pode se mesclar com outras políticas de saída, pois o rótulo é programado para capturar o SGT/DGT em vez dos endereços de destino de origem IPv4. Quando a cadeia bancária está habilitada, as seguintes regras se aplicam:
- Se o RBACL estiver ativado em Virtual Routing and Forwarding (VRF), nenhuma outra política de saída poderá ser configurada nessas interfaces nesse VRF.
- Se o RBACL estiver ativado em VLAN, nenhuma política de saída de VLAN poderá ser configurada.
- Política de porta + VLAN: em hardware (HW), a política de portas e as etiquetas de políticas de VLAN são programadas em uma entrada de ILM (Information Lifecycle Management, gerenciamento do ciclo de vida das informações). Ele pode ter apenas um rótulo para a política de porta e um rótulo para a política de VLAN. Quando a cadeia bancária está ativada, as políticas de porta + VLAN não podem ser suportadas:
- Quando uma política de porta é configurada, nenhuma política pode ser configurada na VLAN/SVI à qual a porta pertence.
- Quando uma política de VLAN/SVI é configurada, nenhuma política pode ser configurada na porta que pertence à VLAN.
Exemplo de uma mensagem de erro:
ERROR: Resource-pooling is not supported with certain feature combinations
Configuração
config t
agrupamento de recursos da lista de acesso de hardware !só pode ser emitido a partir do VDC predefinido
show hardware access-list resource pooling
show system internal access-list status
SITE1-AGG1(config)# hardware access-list resource pooling mod ?
<1-9> Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling
Module 3 enabled
SITE1-AGG1# show system internal access-list status
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5
Informações Relacionadas
Feedback