瞭解如何佔用Nexus 9000 TCAM空間
簡介
本文檔介紹如何刻制Nexus 9000三重內容可定址儲存器(TCAM)。
背景資訊
本文檔並非是眾多TCAM組合的詳盡清單。本文檔的目的是幫助使用者瞭解TCAM分配如何工作,以便他們能夠確定滿足其需求的有效配置。 其中涵蓋當前和最常見的概念、配置和錯誤消息。
要為Nexus 9000系列交換機使用非預設功能,必須手動為這些功能分配TCAM空間。依預設,會配置所有TCAM空間。
技術
- 特徵寬度-有單寬和雙寬特徵。 單寬度特徵至少需要一個切片。 雙寬度特徵至少需要兩個切片。
對於單寬和雙寬特徵,總大小(如果大於256)必須為512的倍數。一個切片只能分配給一個區域。
例如,不能使用512大小的分片來配置每個大小為256的兩個特徵,也不能使用512大小的分片來配置單個雙寬度特徵。
- Slice -記憶體分配的單位。磁碟片段的大小可以是256或512,以位元組為單位。
- TCAM -三重內容可定址儲存器。 這是儲存存取清單(ACL)的硬體空間。 這是專用的記憶體,可儲存複雜的表格資料,並支援非常快速的平行查詢。
ACL TCAM區域
您可以在硬體中更改ACL TCAM區域的大小。出口TCAM大小為1K,分為四個256條目。入口TCAM大小為4K,分為八個256切片和四個512切片。
IPv4 TCAM區域為單寬。IPv6、服務品質(QoS)、MAC、控制平面策略(CoPP)和系統TCAM區域寬度是雙倍,消耗的物理TCAM條目是雙倍。
例如,256個條目的邏輯區域大小實際會消耗512個物理TCAM條目。
您可以建立IPv6、埠ACL (PACL)、VLAN ACL (VACL)和路由器ACL (RACL),並且可以匹配QoS的IPv6和MAC地址。但是,Cisco NX-OS無法同時支援所有這些功能。
必須刪除或減小當前TCAM區域的大小,才能啟用IPv6和MAC TCAM區域。對於每一個TCAM區域組態指令,系統評估新變更是否適用於TCAM。
如果沒有,就會報告錯誤,且指令會遭到拒絕。您必須移除或縮小目前TCAM區域的大小,以便為新需求騰出空間。
ACL TCAM區域大小有以下準則和限制:
- 在Cisco Nexus 9500系列交換機上,預設入口TCAM區域配置在Cisco NX-OS版本6.1(2)I1(1)中有一個免費的256條目切片。
此磁碟片段會配置給Cisco NX-OS版本6.1(2)I2(1)中的交換器連線埠分析器(SPAN)區域。同樣,在Cisco NX-OS版本6.1(2)I2(1)中,RACL區域從2K減少到1.5K,以便為具有512條目的虛擬埠通道(vPC)融合區域騰出空間。
- 在Cisco Nexus 9300系列交換機上,使用以應用為中心的基礎設施(ACI)枝葉板卡來實施應用於40G埠的QoS分類策略。它有768個TCAM條目,可在256條目的粒度內進行切割。這些區域名稱的字首為ns-。
- 對於Cisco Nexus 9300系列交換機上的ACI枝葉線卡,只有IPv6 TCAM區域會使用雙寬度條目。其餘的TCAM區域會使用單寬度條目。
- 當配置了VACL區域時,它在入口和出口方向都配置了相同的大小。如果區域大小無法符合任一方向,則配置會被拒絕。
Nexus 9300和9500系列交換機都有大小為512位元組的四個分片以及大小為256位元組的八個分片。 預設情況下,使用所有切片和所有空間,儘管Nexus 9300系列和9500系列之間的預設分配不同。
Nexus 9500系列TCAM分配
預設情況下,Nexus 9500系列交換機具有以下TCAM分配:
Nexus9500# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Mesh optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------------
IPV4 PACL [ifacl] 3 0 0 1
IPV6 PACL [ipv6-ifacl] 4 0 0 2
MAC PACL [mac-ifacl] 5 0 0 2
IPV4 Port QoS [qos] 6 0 0 2
IPV6 Port QoS [ipv6-qos] 7 0 0 2
MAC Port QoS [mac-qos] 8 0 0 2
FEX IPV4 PACL [fex-ifacl] 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl] 10 0 0 2
FEX MAC PACL [fex-mac-ifacl] 11 0 0 2
FEX IPV4 Port QoS [fex-qos] 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos] 13 0 0 2
FEX MAC Port QoS [fex-mac-qos] 14 0 0 2
IPV4 VACL [vacl] 15 0 0 1
IPV6 VACL [ipv6-vacl] 16 0 0 2
MAC VACL [mac-vacl] 17 0 0 2
IPV4 VLAN QoS [vqos] 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos] 19 0 0 2
MAC VLAN QoS [mac-vqos] 20 0 0 2
IPV4 RACL [racl] 21 0 1536 1
IPV6 RACL [ipv6-racl] 22 0 0 2
IPV4 Port QoS Lite [qos-lite] 61 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite] 62 0 0 1
IPV4 VLAN QoS Lite [vqos-lite] 63 0 0 1
IPV4 L3 QoS Lite [l3qos-lite] 64 0 0 1
IPV4 L3 QoS [l3qos] 37 3072 256 2
IPV6 L3 QoS [ipv6-l3qos] 38 0 0 2
MAC L3 QoS [mac-l3qos] 39 0 0 2
Ingress System 1 2048 256 2
SPAN [span] 2 4096 256 1
Ingress COPP [copp] 40 2560 256 2
Ingress Flow Counters [flow] 43 0 0 1
Ingress SVI Counters [svi] 45 0 0 1
Redirect [redirect] 46 3840 256 1
NS IPV4 Port QoS [ns-qos] 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos] 48 0 0 2
NS MAC Port QoS [ns-mac-qos] 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos] 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos] 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos] 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos] 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos] 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos] 55 0 0 1
VPC Convergence [vpc-convergence] 57 1536 512 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------------
Total: 4096
----------------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------------
Egress IPV4 VACL [vacl] 31 0 0 1
Egress IPV6 VACL [ipv6-vacl] 32 0 0 2
Egress MAC VACL [mac-vacl] 33 0 0 2
Egress IPV4 RACL [e-racl] 34 4352 768 1
Egress IPV6 RACL [e-ipv6-racl] 35 0 0 2
Egress System 24 3584 256 1
Egress Flow Counters [e-flow] 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------------
切片的分配如入口所示:
切片1 (512):RACL
切片2 (512):RACL
切片3 (512):RACL
切片4 (512):VPC融合
第5層(256):第3層QOS
第6層(256):第3層QOS
磁碟片段7 (256):SPAN
磁碟片段8 (256):重新導向
切片9 (256):入口CoPP
切片10 (256):入口CoPP
切片11 (256):入口系統
切片12 (256):入口系統
入口利用率概念化:
Nexus 9300系列TCAM分配
預設情況下,Nexus 9300系列交換機具有以下TCAM分配:
Nexus9300# show system internal access-list globals
slot 1
=======
Atomic Update : ENABLED
Default ACL : DENY
Bank Chaining : DISABLED
Fabric path DNL : DISABLED
NS Buffer Profile: Burst optimized
Min Buffer Profile: all
EOQ Class Stats: qos-group-0
NS MCQ3 Alias: qos-group-3
Ing PG Share: ENABLED
LOU Threshold Value : 5
----------------------------------------------------------------
INSTANCE 0 TCAM Region Information:
----------------------------------------------------------------
Ingress:
----------
Region GID Base Size Width
----------------------------------------------------------------
IPV4 PACL [ifacl]( 1) 3 0 512 1
IPV6 PACL [ipv6-ifacl]( 2) 4 0 0 2
MAC PACL [mac-ifacl]( 3) 5 0 0 2
IPV4 Port QoS [qos]( 4) 6 3072 256 2
IPV6 Port QoS [ipv6-qos]( 5) 7 0 0 2
MAC Port QoS [mac-qos]( 6) 8 0 0 2
FEX IPV4 PACL [fex-ifacl]( 7) 9 0 0 1
FEX IPV6 PACL [fex-ipv6-ifacl]( 8) 10 0 0 2
FEX MAC PACL [fex-mac-ifacl]( 9) 11 0 0 2
FEX IPV4 Port QoS [fex-qos]( 10) 12 0 0 2
FEX IPV6 Port QoS [fex-ipv6-qos]( 11) 13 0 0 2
FEX MAC Port QoS [fex-mac-qos]( 12) 14 0 0 2
IPV4 VACL [vacl]( 13) 15 512 512 1
IPV6 VACL [ipv6-vacl]( 14) 16 0 0 2
MAC VACL [mac-vacl]( 15) 17 0 0 2
IPV4 VLAN QoS [vqos]( 16) 18 0 0 2
IPV6 VLAN QoS [ipv6-vqos]( 17) 19 0 0 2
MAC VLAN QoS [mac-vqos]( 18) 20 0 0 2
IPV4 RACL [racl]( 19) 21 1024 512 1
IPV6 RACL [ipv6-racl]( 20) 22 0 0 2
IPV4 Port QoS Lite [qos-lite]( 21) 63 0 0 1
FEX IPV4 Port QoS Lite [fex-qos-lite]( 22) 64 0 0 1
IPV4 VLAN QoS Lite [vqos-lite]( 23) 65 0 0 1
IPV4 L3 QoS Lite [l3qos-lite]( 24) 66 0 0 1
IPV4 L3 QoS [l3qos]( 34) 37 0 0 2
IPV6 L3 QoS [ipv6-l3qos]( 35) 38 0 0 2
MAC L3 QoS [mac-l3qos]( 36) 39 0 0 2
Ingress System( 37) 1 2048 256 2
SPAN [span]( 39) 2 3584 256 1
Ingress COPP [copp]( 40) 40 2560 256 2
Ingress Flow Counters [flow]( 41) 43 0 0 1
Ingress SVI Counters [svi]( 43) 45 0 0 1
Redirect [redirect]( 44) 46 1536 512 1
NS IPV4 Port QoS [ns-qos]( 45) 47 0 0 1
NS IPV6 Port QoS [ns-ipv6-qos]( 46) 48 0 0 2
NS MAC Port QoS [ns-mac-qos]( 47) 49 0 0 1
NS IPV4 VLAN QoS [ns-vqos]( 48) 50 0 0 1
NS IPV6 VLAN QoS [ns-ipv6-vqos]( 49) 51 0 0 2
NS MAC VLAN QoS [ns-mac-vqos]( 50) 52 0 0 1
NS IPV4 L3 QoS [ns-l3qos]( 51) 53 0 0 1
NS IPV6 L3 QoS [ns-ipv6-l3qos]( 52) 54 0 0 2
NS MAC L3 QoS [ns-mac-l3qos]( 53) 55 0 0 1
VPC Convergence [vpc-convergence]( 54) 57 4096 256 1
IPSG SMAC-IP bind table [ipsg]( 55) 59 0 0 1
Ingress ARP-Ether ACL [arp-ether]( 56) 62 0 0 1
----------------------------------------------------------------------
* - allocated 512 entry slice due to unavailability of 256 entry slices
----------------------------------------------------------------
Total: 4096
----------------------------------------------------------------
Egress
----------
Region GID Base Size Width
----------------------------------------------------------------
Egress IPV4 QoS [e-qos]( 25) 28 0 0 2
Egress IPV6 QoS [e-ipv6-qos]( 26) 29 0 0 2
Egress MAC QoS [e-mac-qos]( 27) 30 0 0 2
Egress IPV4 VACL [vacl]( 28) 31 4352 512 1
Egress IPV6 VACL [ipv6-vacl]( 29) 32 0 0 2
Egress MAC VACL [mac-vacl]( 30) 33 0 0 2
Egress IPV4 RACL [e-racl]( 31) 34 4864 256 1
Egress IPV6 RACL [e-ipv6-racl]( 32) 35 0 0 2
Egress IPV4 QoS Lite [e-qos-lite]( 33) 36 0 0 1
Egress System( 38) 24 3840 256 1
Egress Flow Counters [e-flow]( 42) 44 0 0 1
----------------------------------------------------------------------
Total: 1024
----------------------------------------------------------------
磁碟片段1 (512):IPv4 PACL
切片2 (512):VACL
切片3 (512):RACL
切片4 (512):重定向
磁碟片段5 (256):連線埠QOS
磁碟片段6 (256):連線埠QOS
磁碟片段7 (256):SPAN
第8片(256):VPC融合
切片9 (256):入口CoPP
切片10 (256):入口CoPP
切片11 (256):入口系統
切片12 (256):入口系統
入口利用率概念化:
組態
要重新配置TCAM區域,請在配置終端中使用hardware access-list tcam region
命令。一旦將區域更改為預期大小,就必須重新載入裝置。
範例案例
您擁有Nexus 9300,並希望分配TCAM空間以最佳滿足您的需求。您需要釋放512位元組的TCAM。這可讓您新增更多到IPv4 PACL。
但是,您決定不需要512 VACL或512 RACL,但需要兩者中的某些值,因此您決定從VACL和RACL中取消分配256位元組。這可以釋放出512空間,如以下命令所示:
Nexus9300(config)# hardware access-list tcam region vacl 256
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 256
Warning: Please save config and reload the system for the configuration to take effect
在512位元組可用的情況下,您嘗試將額外的512分配給IPv4 PACL,但看到以下輸出:
Nexus9300(config)# hardware access-list tcam region ifacl 1024
ERROR: Aggregate TCAM region configuration exceeded the available Ingress TCAM slices.
Please re-configure.
即使釋放了512個位元組,VACL和RACL空間(從中提取了256個位元組)的大小也是512個塊。 因此,上述命令未分配空間,但並未取消分配任何切片。 要將IPv4 PACL大小增加到1024,需要從單個功能中取出512個位元組,以釋放切片和空間:
Nexus9300(config)# hardware access-list tcam region vacl 512
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region racl 0
Warning: Please save config and reload the system for the configuration to take effect
Nexus9300(config)# hardware access-list tcam region ifacl 1024
Warning: Please save config and reload the system for the configuration to take effect
驗證命令
show hardware access-list tcam region- 驗證當前軟體配置。show system internal access-list globals- 驗證當前硬體配置。show system internal access-list input entries detail -顯示為每個例項配置的特定ACL。show hardware access-list resource utilization- 顯示每個配置的TCAM區域的當前利用率。show hardware access-list resource entries- 顯示為每個例項配置的ACL條目數
錯誤和解決方案
以下是在TCAM配置期間出現的常見錯誤:
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM slices. Please re-configure.
當您嘗試配置與4k限制有關的有效TCAM空間量時,會發生此錯誤,但您的分配消耗的分片數量超過了可用數量。
此錯誤的唯一解決方法是修改整體TCAM設計,以釋放切片。
當您嘗試設定新的雙寬度功能時,此錯誤更為常見,因為它們需要至少兩個分片256或512。
ERROR: Aggregate TCAM region configuration exceeded the available
Ingress TCAM space. Please re-configure.
與切片錯誤類似,解決方案是重新配置分配的空間,使其不超過總限制。只有在已配置所有TCAM磁碟片段,且您嘗試配置更多空間時,才會出現此錯誤訊息。
ERROR: TCAM regions with size more than 256, ... have size
in multiple of 512 entries
由於硬體限制,超過256的TCAM大小不能以任何結合奇數的256塊和512塊的方式組合。因此,當您配置大於512的TCAM區域時,唯一有效的大小是512的倍數。
設計準則和限制
TCAM空間有限。最適合您的選擇完全取決於具體的使用情形。預設情況下,已分配所有TCAM空間,因此您需要決定要在何處分配TCAM空間以便將其分配到其他位置。
- 在入口的情況下,八個可用大小為256的切片中的四個不能取消分配(由CoPP和入口系統使用)。
- SPAN使用一個256磁碟片段。如果藉由以上說明,將會完全取消使用SPAN和Packet Tracer功能的功能(不建議出於故障排除目的而刪除)。
- Nexus 9300和9500平台上的vPC分別使用256或512大小的磁碟片段。重新分配消除了使用vPC的能力
- 在Nexus 9300和9500平台上,分別使用大小512或256的分片進行重定向。如果您借用了此功能,它將取消使用DHCPv4、DHCPv6或BFD的功能。
- 如果啟用了原子更新,並且某個TCAM功能的使用率超過50%,則由於空間不足,您無法從任何ACL中刪除行。
- 預設情況下,應用於多個介面的QoS策略不共用標籤,因為預設情況下已啟用統計資訊。為了共用在多個介面上應用的相同QoS策略的標籤,您必須使用no-stats選項配置QoS策略,如以下示例所示:
(config-if)# service-policy type qos input my-policy no-stats
- 在可能的情況下,使用功能的基本版本。在基本版本中,交換機使用該功能的TCAM空間的一半。這會使雙寬度特徵成為單寬度。其代價是,該功能不跟蹤違反的監察器統計資訊;它只跟蹤符合的監察器統計資訊。這通常是較佳的選擇,因為它可以節省TCAM空間。
- 使用者無法減少入口系統和CoPP TCAM的預設數量。這些已經是最小值,不能減少。
- 所有QoS功能均為雙寬度。
- 不支援SVI策略對映。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
5.0 |
06-Nov-2024 |
已更新標題、機器翻譯及格式設定。 |
4.0 |
05-Mar-2024 |
已更新以回應收到的註解。 |
3.0 |
11-Sep-2023 |
重新認證 |
1.0 |
11-Aug-2015 |
初始版本 |
意見