シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Nexus 7000 における ACL 設定時の TCAM リソース不足について

はじめに

このドキュメントでは、ACL を設定する際に発生する TCAM のリソース不足のトラブルシューティングを提供します。

問題の説明

Nexus 7000 シリーズは、初期状態では機能によって使用する TCAM バンクが異なり、ACL ベースの各機能においては 1 モジュールで 1 TCAM バンクを使用します。よって各機能は初期状態では 16,000 エントリが上限となります。

By default, each ACL-based feature can use one TCAM bank on an I/O module. This default behavior limits each feature to 16,000 TCAM entries. If you have very large security ACLs, you may encounter this limit. The command allows you to make more than 16,000 TCAM entries available to ACL-based features.
(Cisco Nexus 7000 Series NX-OS Security Command Reference より)

また atomic update の実装によりシステムで使用可能な TCAM 領域の半分が予約されており、各 TCAM バンクで使用可能なエントリは初期状態で 8,000 となります。

atomic update の制約により TCAM エントリが 8000 を超えた場合、以下のような TCAM リソース不足のメッセージと共に ACL の設定が失敗します。

2013 Jan 11 16:15:35 Switch %ACLMGR-3-ACLMGR_VERIFY_FAIL: Verify failed: Module 1, 9, 10 returned status: Tcam will be over used, please turn off atomic update 

また、事前に ACL が設定されたインターフェースをアップさせた際、TCAM の容量が足りない場合、以下のメッセージが出力されインターフェースがアップしない事があります。

2012 Mar 22 01:56:50 Switch %ETHPORT-5-IF_SEQ_ERROR: Error ("Tcam will be over used, please enable bank chaining and/or turn off atomic update") communicating with MTS_SAP_IPQOS_MGR for opcode MTS_OPC_ETHPM_PORT_BRINGUP (RID_PORT: Ethernet1/1) 

ソリューション

実際に ACL 設定時に TCAM リソース不足が発生した場合の問題の解決方法には2つのアプローチがあります。

a. atomic update の無効化

まず、atomic update はパケットをドロップすることなく ACL を書き換えるための機能となります。atomic update は NX-OS ではACL を変更した際、atomic update はリザーブされた領域に新たな ACL を構築し、インタフェースや VLAN に適応します。ACL の適応が完了した後、元々使用されていた領域は開放され、次回の ACL 変更時に使用されます。atomic upodate を無効にする場合には以下のコマンドを実行します。

N7010(config)# no hardware access-list update atomic

atomic update を無効とした場合、初期状態では ACL のアップデート中はすべてのパケットをドロップします。すべてのパケットを通過させてたい場合は以下のコマンドを実行してください。

N7010(config)# hardware access-list update default-result permit

b. TCAM Bank Chain

TCAM Bank Chain はバンクを跨がない制約を取りのぞき、16,000 を超えるエントリを可能とします。

N7010(config)# hardware access-list resource pooling module all
N7010(config)# hardware access-list resource pooling module 1-10

なおTCAM Bank Chain を有効とした場合、ISSU によるダウングレードが行えない、1つの TCAM バンクの上限を超えている状況下では TCAM Bank Chain を無効にできない等の制約があることをご理解ください。

これらのコマンドはすべてデフォルト VDC のみで実行可能となります。

このドキュメントの情報は、特定のラボ環境に置かれたデバイスに基づいて作成されました。本書で使用するすべてのデバイスは、初期(デフォルト)設定で作業を開始しています。ネットワークが稼働中の場合、コマンドが及ぼす可能性のある影響について十分に理解した上で作業してください。

関連情報

 

1593
閲覧回数
0
いいね!
0
コメント