Nexus 7000 TCAM银行限制和银行链配置

下载选项

  • PDF     (186.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (64.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2021 年 9 月 21 日
文档 ID:116151

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍Nexus 7000三态内容可寻址存储器(TCAM)库的基于访问控制列表(ACL)功能的默认编程,以及如何使用库链功能池化资源。

    问题

    在初始实施中,ACL功能不会跨不同的TCAM组编程。这将每个功能的可用条目限制为16,000个。对于拥有大型ACL的客户,这就成了问题。使用银行链特征通过取消银行限制来解决这个问题。启用银行链后,可跨银行编程基于ACL的功能。

    错误消息示例:

    ACLQOS-SLOT3-4-ACLQOS_OVER_THRESHOLD  Tcam 0 Bank 0's usage has reached its threshold

    ACLMGR-3-ACLMGR_VERIFY_FAIL  Verify failed: client 8200016E, Sufficient free entries are not available in TCAM bank

    解决方案

    • 启用银行链时,它只影响未来配置。当前TCAM条目未重新编程。将新ACL应用到接口时,新ACL会跨多个组进行编程。
    • 启用组链后,ACL将跨组编程(隧道解封和控制平面保护(CoPP)除外)。(请参阅限制部分。) 如果两个TCAM银行0中有足够的条目,则ACL会被拆分并编程到这两个银行中。  
    • 如果两个TCAM银行0没有足够的可用条目,则ACL规则会在所有四个银行间编程。
    • 启用银行链功能时,即使ACL的规则数量比单个银行的免费条目少,它也会跨两个TCAM银行0编程。
    • 禁用库链时,会重新编程当前TCAM条目。如果当前ACL不适合一个组,将返回错误消息,并且无法禁用组链。
    • 在服务中软件升级(ISSU)降级期间,必须禁用银行链;否则,ISSU降级将失败。

    限制

    • 启用银行链功能后,应用于一个接口和一个目录的策略是可合并的。无法合并启用了统计信息的任何一个策略。启用银行链时,启用统计信息的功能不能与同一接口上的其他功能在同一方向上共存。示例:当在Ethernet2/1的入口路由器访问控制列表(RACL)上启用统计信息时,无法在该接口下配置基于策略的路由(PBR)。
    • 任何两个结果类型不同的策略都无法合并。有三种结果类型:ACL、记帐和服务质量(QoS)。 这三种结果类型无法合并。
      1. ACL结果类型下的功能:端口访问控制列表(PACL)、RACL、VLAN访问控制列表(VACL)、PBR、DHCP、地址解析协议(ARP)、Netflow
      2. 记帐结果类型下的功能:Netflow采样器
      3. QoS结果类型下的功能:QoS

      示例:在启用银行链的一个接口下,RACL和QoS不能在同一方向共存。
    • 隧道Decap和CoPP在一个逻辑接口(LIF)下编程,由于其结果类型不同,因此无法合并。为了避免它们不能共存的限制,它们被保存在一个银行中,即使在银行链被启用时。启用基于角色的访问控制列表(RBACL)后,将使用源安全组标记/目标安全组标记(SGT/DGT)来创建TCAM查找密钥。RBACL无法与其他出口策略合并,因为标签被编程为提取SGT/DGT而不是IPv4源目标地址。启用银行链后,将应用以下规则:
      1. 如果在虚拟路由和转发(VRF)下启用RBACL,则在该VRF上的这些接口下不能配置其他出口策略。
      2. 如果RBACL在VLAN下启用,则不能配置VLAN出口策略。
    • 端口+ VLAN策略:  在硬件(HW)中,端口策略和VLAN策略标签在一个信息生命周期管理(ILM)条目下编程。它只能有一个端口策略标签和一个VLAN策略标签。启用银行链后,不能支持端口+ VLAN策略:
      1. 配置端口策略后,端口所属的VLAN/SVI下不能配置任何策略。
      2. 配置VLAN/SVI策略时,不能在属于VLAN的端口上配置任何策略。

    错误消息示例:

    ERROR: Resource-pooling is not supported with certain feature combinations

    配置

    config t
    硬件访问列表资源池!只能从默认VDC发出

    show hardware access-list resource pooling
    show system internal access-list status

    SITE1-AGG1(config)# hardware access-list resource pooling mod ?
  <1-9>  Specify module number
SITE1-AGG1(config)# hardware access-list resource pooling mod 3
SITE1-AGG1(config)# show hardware access-list resource pooling 
  Module 3 enabled
SITE1-AGG1# show system internal access-list status 
Atomic ACL updates Enabled.
TCAM Default Result is Deny.
ACL Logging enabled.
Current LOU resource threshold: 5 

    相关信息

    修订历史记录

    版本 发布日期 备注
    2.0
    21-Sep-2021
    初始版本
    1.0
    18-Jun-2013
    初始版本
    TAC Authored

    由思科工程师提供

    • Jane Gao
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们