了解如何划分Nexus 9000 TCAM空间
简介
本文档介绍如何划分Nexus 9000三重内容可寻址存储器(TCAM)。
背景信息
本文档并非详尽无遗地罗列了众多TCAM组合。本文档旨在帮助用户了解TCAM分配的工作原理,以便确定满足其需求的有效配置。 其中介绍了当前及最常见的概念、配置和错误消息。
要对Nexus 9000系列交换机使用非默认功能,必须手动为这些功能分配TCAM空间。默认情况下,会分配所有TCAM空间。
术语
- 特征宽度-有单宽和双宽特征。 单宽度特征至少需要一个切面。 双宽度特征至少需要两个切片。
对于单宽和双宽功能,总大小(如果大于256)必须为512的倍数。切片只能分配给一个区域。
例如,不能使用512大小的切片来配置每个大小为256的两个功能,也不能使用512大小的切片来配置单个双宽功能。
- Slice -内存分配的单位。片的大小可以是256或512,以字节为测量单位。
- TCAM —三重内容可寻址存储器。 这是硬件中存储访问列表(ACL)的空间。 这是存储复杂表格数据并支持非常快速的并行查找的专用内存。
ACL TCAM区域
您可以在硬件中更改ACL TCAM区域的大小。出口TCAM大小为1K,分为四个256个条目。入口TCAM大小为4K,分为八个256切片和四个512切片。
IPv4 TCAM区域为单宽度。IPv6、服务质量(QoS)、MAC、控制平面策略(CoPP)和系统TCAM区域宽度为双宽,且消耗物理TCAM条目的两倍。
例如,256个条目的逻辑区域大小实际会消耗512个物理TCAM条目。
您可以创建IPv6、端口ACL (PACL)、VLAN ACL (VACL)和路由器ACL (RACL),并且可以匹配QoS的IPv6和MAC地址。但是,Cisco NX-OS无法同时支持所有这些操作系统。
必须删除或减小当前TCAM区域的大小,才能启用IPv6和MAC TCAM区域。对于每个TCAM区域配置命令,系统评估新更改是否适用于TCAM。
否则,它报告错误,并且命令被拒绝。必须删除或减小当前TCAM区域的大小,以便为新需求腾出空间。
ACL TCAM区域大小有以下准则和限制:
- 在Cisco Nexus 9500系列交换机上,默认入口TCAM区域配置在Cisco NX-OS版本6.1(2)I1(1)中有一个可用的256入口切片。
此分片分配给Cisco NX-OS版本6.1(2)I2(1)中的交换机端口分析器(SPAN)区域。同样,在Cisco NX-OS版本6.1(2)I2(1)中,RACL区域从2K减少到1.5K,以便为具有512个条目的虚拟端口通道(vPC)融合区域腾出空间。
- 在Cisco Nexus 9300系列交换机上,使用以应用为中心的基础设施(ACI)枝叶线卡来实施应用于40G端口的QoS分类策略。它有768个TCAM条目,可在256个条目的粒度内进行分割。这些区域名称的前缀为ns-。
- 对于Cisco Nexus 9300系列交换机上的ACI枝叶线卡,仅IPv6 TCAM区域使用双宽度条目。TCAM区域的其余部分使用半宽条目。
- 当配置VACL区域时,它在入口和出口方向都配置了相同的大小。如果区域大小不能适应任一方向,则配置会被拒绝。
Nexus 9300和9500系列交换机都有四个大小为512字节的片以及八个大小为256字节的片。 默认情况下,使用所有切片和所有空间,尽管Nexus 9300系列和9500系列之间的默认分配不同。
Nexus 9500系列TCAM分配
默认情况下,Nexus 9500系列交换机具有以下TCAM分配:
Nexus9500# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Mesh optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------------
IPV4 PACL [ifacl] 3 0 0 1
IPV6 PACL [ipv6-ifacl] 4 0 0 2
MAC PACL [mac-ifacl] 5 0 0 2
IPV4 Port QoS [qos] 6 0 0 2
IPV6 Port QoS [ipv6-qos] 7 0 0 2
MAC Port QoS [mac-qos] 8 0 0 2
FEX IPV4 PACL [fex-ifacl] 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl] 10 0 0 2
FEX MAC PACL [fex-mac-ifacl] 11 0 0 2
FEX IPV4 Port QoS [fex-qos] 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos] 13 0 0 2
FEX MAC Port QoS [fex-mac-qos] 14 0 0 2
IPV4 VACL [vacl] 15 0 0 1
IPV6 VACL [ipv6-vacl] 16 0 0 2
MAC VACL [mac-vacl] 17 0 0 2
IPV4 VLAN QoS [vqos] 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos] 19 0 0 2
MAC VLAN QoS [mac-vqos] 20 0 0 2
IPV4 RACL [racl] 21 0 1536 1
IPV6 RACL [ipv6-racl] 22 0 0 2
IPV4 Port QoS Lite [qos-lite] 61 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite] 62 0 0 1
IPV4 VLAN QoS Lite [vqos-lite] 63 0 0 1
IPV4 L3 QoS Lite [l3qos-lite] 64 0 0 1
IPV4 L3 QoS [l3qos] 37 3072 256 2
IPV6 L3 QoS [ipv6-l3qos] 38 0 0 2
MAC L3 QoS [mac-l3qos] 39 0 0 2
Ingress System 1 2048 256 2
SPAN [span] 2 4096 256 1
Ingress COPP [copp] 40 2560 256 2
Ingress Flow Counters [flow] 43 0 0 1
Ingress SVI Counters [svi] 45 0 0 1
Redirect [redirect] 46 3840 256 1
NS IPV4 Port QoS [ns-qos] 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos] 48 0 0 2
NS MAC Port QoS [ns-mac-qos] 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos] 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos] 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos] 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos] 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos] 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos] 55 0 0 1
VPC Convergence [vpc-convergence] 57 1536 512 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------------
Total: 4096
----------------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------------
Egress IPV4 VACL [vacl] 31 0 0 1
Egress IPV6 VACL [ipv6-vacl] 32 0 0 2
Egress MAC VACL [mac-vacl] 33 0 0 2
Egress IPV4 RACL [e-racl] 34 4352 768 1
Egress IPV6 RACL [e-ipv6-racl] 35 0 0 2
Egress System 24 3584 256 1
Egress Flow Counters [e-flow] 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------------
切分分配如入口所示:
切片1 (512):RACL
切片2 (512):RACL
切片3 (512):RACL
切片4 (512):VPC融合
片5 (256):第3层QOS
切片6 (256):第3层QOS
切片7 (256):SPAN
切片8 (256):重定向
切片9 (256):入口CoPP
切片10 (256):入口CoPP
切片11 (256):入口系统
切片12 (256):入口系统
入口利用率概念化:
Nexus 9300系列TCAM分配
默认情况下,Nexus 9300系列交换机具有以下TCAM分配:
Nexus9300# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Burst optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------
IPV4 PACL [ifacl]( 1) 3 0 512 1
IPV6 PACL [ipv6-ifacl]( 2) 4 0 0 2
MAC PACL [mac-ifacl]( 3) 5 0 0 2
IPV4 Port QoS [qos]( 4) 6 3072 256 2
IPV6 Port QoS [ipv6-qos]( 5) 7 0 0 2
MAC Port QoS [mac-qos]( 6) 8 0 0 2
FEX IPV4 PACL [fex-ifacl]( 7) 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl]( 8) 10 0 0 2
FEX MAC PACL [fex-mac-ifacl]( 9) 11 0 0 2
FEX IPV4 Port QoS [fex-qos]( 10) 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos]( 11) 13 0 0 2
FEX MAC Port QoS [fex-mac-qos]( 12) 14 0 0 2
IPV4 VACL [vacl]( 13) 15 512 512 1
IPV6 VACL [ipv6-vacl]( 14) 16 0 0 2
MAC VACL [mac-vacl]( 15) 17 0 0 2
IPV4 VLAN QoS [vqos]( 16) 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos]( 17) 19 0 0 2
MAC VLAN QoS [mac-vqos]( 18) 20 0 0 2
IPV4 RACL [racl]( 19) 21 1024 512 1
IPV6 RACL [ipv6-racl]( 20) 22 0 0 2
IPV4 Port QoS Lite [qos-lite]( 21) 63 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite]( 22) 64 0 0 1
IPV4 VLAN QoS Lite [vqos-lite]( 23) 65 0 0 1
IPV4 L3 QoS Lite [l3qos-lite]( 24) 66 0 0 1
IPV4 L3 QoS [l3qos]( 34) 37 0 0 2
IPV6 L3 QoS [ipv6-l3qos]( 35) 38 0 0 2
MAC L3 QoS [mac-l3qos]( 36) 39 0 0 2
Ingress System( 37) 1 2048 256 2
SPAN [span]( 39) 2 3584 256 1
Ingress COPP [copp]( 40) 40 2560 256 2
Ingress Flow Counters [flow]( 41) 43 0 0 1
Ingress SVI Counters [svi]( 43) 45 0 0 1
Redirect [redirect]( 44) 46 1536 512 1
NS IPV4 Port QoS [ns-qos]( 45) 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos]( 46) 48 0 0 2
NS MAC Port QoS [ns-mac-qos]( 47) 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos]( 48) 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos]( 49) 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos]( 50) 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos]( 51) 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos]( 52) 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos]( 53) 55 0 0 1
VPC Convergence [vpc-convergence]( 54) 57 4096 256 1
IPSG SMAC-IP bind table [ipsg]( 55) 59 0 0 1
Ingress ARP-Ether ACL [arp-ether]( 56) 62 0 0 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------
Total: 4096
----------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------
Egress IPV4 QoS [e-qos]( 25) 28 0 0 2
Egress IPV6 QoS [e-ipv6-qos]( 26) 29 0 0 2
Egress MAC QoS [e-mac-qos]( 27) 30 0 0 2
Egress IPV4 VACL [vacl]( 28) 31 4352 512 1
Egress IPV6 VACL [ipv6-vacl]( 29) 32 0 0 2
Egress MAC VACL [mac-vacl]( 30) 33 0 0 2
Egress IPV4 RACL [e-racl]( 31) 34 4864 256 1
Egress IPV6 RACL [e-ipv6-racl]( 32) 35 0 0 2
Egress IPV4 QoS Lite [e-qos-lite]( 33) 36 0 0 1
Egress System( 38) 24 3840 256 1
Egress Flow Counters [e-flow]( 42) 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------
切片1 (512):IPv4 PACL
切片2 (512):VACL
切片3 (512):RACL
切片4 (512):重定向
切片5 (256):端口QOS
切片6 (256):端口QOS
切片7 (256):SPAN
切片8 (256):VPC融合
切片9 (256):入口CoPP
切片10 (256):入口CoPP
切片11 (256):入口系统
切片12 (256):入口系统
入口利用率概念化:
配置
要重新配置TCAM区域,请在配置终端中使用hardware access-list tcam region
命令。一旦您将区域更改为预期大小,则必须重新加载设备。
示例 情景
您拥有Nexus 9300,并想要分配TCAM空间以最佳满足您的需求。您需要释放512字节的TCAM。这允许您向IPv4 PACL添加更多内容。
但是,您决定不需要512 VACL或512 RACL,但需要这两者中的一些,因此您决定从VACL和RACL中取消分配256个字节。如以下命令所示,这样可以释放512空间:
Nexus9300(config)# hardware access-list tcam region vacl 256
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 256
Warning: Please save config and reload the system for the configuration to take effect
在512字节可用空间的情况下,您尝试将另外的512分配到IPv4 PACL,但看到以下输出:
Nexus9300(config)# hardware access-list tcam region ifacl 1024
ERROR: Aggregate TCAM region configuration exceeded the available Ingress TCAM slices.
Please re-configure.
尽管释放了512个字节,但从VACL和RACL空间(共256个)的大小都是512个块。 因此,上述命令未分配空间,但并未取消分配任何扇区。 要将IPv4 PACL大小增加到1024,您需要从单个功能中获取512个字节,以释放切片和空间:
Nexus9300(config)# hardware access-list tcam region vacl 512
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 0
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region ifacl 1024
Warning: Please save config and reload the system for the configuration to take effect
验证命令
show hardware access-list tcam region- 验证当前软件配置。show system internal access-list globals- 验证当前硬件配置。show system internal access-list input entries detail -显示为每个实例配置的特定ACL。show hardware access-list resource utilization- 显示每个已配置TCAM区域的当前利用率。show hardware access-list resource entries- 显示为每个实例配置的ACL条目数
错误和解决方案
以下是TCAM配置过程中出现的常见错误:
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM slices. Please re-configure.
当您尝试配置与4k限制有关的有效TCAM空间量时,会发生此错误,但您的分配所消耗的片数超过了可用片数。
此错误的唯一解决方案是修改整体TCAM设计以释放切片。
当您尝试配置新的双宽度功能时,此错误更为常见,因为它们需要至少两个分片256或512。
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM space. Please re-configure.
与切片错误类似,解决方案是重新配置分配的空间以不超过总限制。仅当已分配所有TCAM切片,并且您尝试分配更多空间时,才会出现此错误消息。
ERROR: TCAM regions with size more than 256, ... have size
in multiple of 512 entries
由于硬件限制,大于256的TCAM大小不能以任何组合奇数256块和512块的方式组合。因此,当您配置大于512的TCAM区域时,仅有效大小为512的倍数。
设计准则和限制
TCAM空间有限。最佳服务选项完全取决于具体的使用案例。默认情况下,已分配所有TCAM空间,因此您需要决定要在何处分配TCAM空间以便将其分配给其他位置。
- 在入口的情况下,八个可用大小为256的片中的四个不能未分配(由CoPP和入口系统使用)。
- SPAN使用一个256片。如果借用此功能,它将完全无法使用SPAN和Packet Tracer功能(不建议出于故障排除目的而将其删除)。
- Nexus 9300和9500平台上的vPC分别使用大小为256或512的片。重新分配会取消使用vPC的功能
- 大小512或256的切片分别用于Nexus 9300和9500平台上的重定向。如果您借用了此功能,它将取消使用DHCPv4、DHCPv6或BFD的功能。
- 如果启用了原子更新,并且一个TCAM功能的利用率超过50%,则由于空间不足,无法从任何ACL中删除行。
- 默认情况下,应用于多个接口的QoS策略不共享标签,因为统计信息默认启用。为了共享应用于多个接口的同一QoS策略的标签,您必须使用no-stats选项配置QoS策略,如以下示例所示:
(config-if)# service-policy type qos input my-policy no-stats
- 尽可能使用功能的基本版本。在基本版本中,交换机将有一半的TCAM空间用于该功能。这会使双宽度特征变为单宽度。代价是此功能不跟踪违反的监察器统计信息;它只跟踪符合的监察器统计信息。这通常是更好的选择,因为它可以节省TCAM空间。
- 用户无法减少入口系统和CoPP TCAM的默认数量。这些值已达到最小值,无法减少。
- 所有QoS功能都是双宽度。
- 不支持SVI策略映射。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
5.0 |
06-Nov-2024 |
已更新标题、机器翻译和格式。 |
4.0 |
05-Mar-2024 |
已更新,以解决收到的评论。 |
3.0 |
11-Sep-2023 |
重新认证 |
1.0 |
11-Aug-2015 |
初始版本 |
反馈