Catalyst 6500 FWSM上のACL用メモリ領域について

hiroshi.kurokawa1 · ‎2015-10-29

CSMよりDeployを行ったところ、 ERROR: Unable to add, access-list config limit reached ということで、アクセスルール用のメモリ不足のためルール追加できませんでした。ルールのanyを使用するなどでルールの圧縮は行いますが、アクセスルール用のメモリ領域の使用状況がわかる方法はないでしょうか。

Akira Muranaka · ‎2015-11-02

こんばんわ。

以下コマンドで確認できますので、ACL Rule MAXに近づいてないか確認してみてください。

FWSM-TEST/test(config)# show np 3 acl count
-------------- CLS Rule Current Counts --------------
CLS Filter Rule Count : 0
CLS Fixup Rule Count : 17
CLS Est Ctl Rule Count : 0
CLS AAA Rule Count : 0
CLS Est Data Rule Count : 0
CLS Console Rule Count : 0
CLS Policy NAT Rule Count : 0
CLS ACL Rule Count : 1 ←Access Control Entry(ACE)使用状況
CLS ACL Uncommitted Add : 0
CLS ACL Uncommitted Del : 0

---------------- CLS Rule MAX Counts ----------------
CLS Filter MAX : 576
CLS Fixup MAX : 1537
CLS Est Ctl Rule MAX : 96
CLS Est Data Rule MAX : 96
CLS AAA Rule MAX : 1345
CLS Console Rule MAX : 384
CLS Policy NAT Rule MAX : 384
CLS ACL Rule MAX : 14801 ←最大許容数

また、ACLが大きくなればなるほど、以下のノードカウントも消費するため、上限に近くないか確認するといいかもしれません。

FWSM-TEST/test(config)# show np 3 acl stats
----------------------------
ACL Tree Statistics
----------------------------
Rule count : 18
Bit nodes (PSCB's): 15
Leaf nodes : 16
Total nodes : 31 (max 38439) ←ノード上限
Leaf chains : 15
Total stored rules: 24
Max rules in leaf : 2
Node depth : 6
----------------------------

英語ですが、以下のサポートコミュニティの情報が参考になると思います。

https://supportforums.cisco.com/document/33031/fwsm-addressing-multiple-context-acl-limit-reached-issues

上記が参考になれば幸いです。

hiroshi.kurokawa1 · ‎2015-11-04

ありがとうございます。

show np 3 acl count 0

で、内容確認できました。

statsの方がわからないので、教えていただけないでしょうか。

すいませんが、よろしくお願いします。

Akira Muranaka · ‎2015-11-05

クロカワさん、こんにちわ。

以下の Total nodesの値が、括弧内のmax値に近づいてないか確認してみてください。このACLに割当て可能なメモリ領域は、ACLを利用すれば利用するほど増え、圧迫されてきます。その為、どの程度 ACLを追加できるかの確認には、"show np 3 acl count"でルール数と、"show np 3 acl stats"でnode数(≒ACL用のメモリ負荷状況)、の両方が十分余裕あるかの確認が有効です。

FWSM-TEST/test(config)# show np 3 acl stats
----------------------------
ACL Tree Statistics
----------------------------
Rule count : 18
Bit nodes (PSCB's): 15
Leaf nodes : 16
Total nodes : 31 (max 38439) ←ノード上限
Leaf chains : 15
Total stored rules: 24
Max rules in leaf : 2
Node depth : 6
----------------------------

また、FWSMバージョン 3.0以下の場合は、3.1～や、4.xで ACL設定可能数が増えてるので、バージョンアップも、ソリューションの1つになると思います。

詳しくは以下URLの「Q. より多くのアクセス・コントロール・リスト（ACL）を貯えるためにメモリを高めることができますか。」も参考にしてみてください。
http://www.cisco.com/cisco/web/support/JP/100/1004/1004236_fwsm-faq.html

ご参考になれば幸いです。

hiroshi.kurokawa1 · ‎2015-11-05

ありがとうございます。

コマンドを投入してみましたが

「Tree cannot be displayed (invalid or not created).」

というメッセージで表示されません。
準備や他に必要なことがあるのであれば
教えていただけませんでしょうか。

Akira Muranaka · ‎2015-11-05

クロカワさん、こんにちわ

おそらく、マルチコンテキストモードで利用してないでしょうか。

その場合は、ACLを設定しているContextに、chanegto context [context名] コマンドで移動してから、コマンドを実行してみてください。

FWSM-TEST# show mode
Security context mode: multiple
The flash mode is the SAME as the running mode.

FWSM-TEST# show context
Context Name Class Interfaces Mode URL
*admin default Vlan100,Vlan133, Routed disk:/admin.cfg
test default Vlan100,Vlan1029, Routed disk:/20140925-test.cfg
Total active Security Contexts: 2
FWSM-TEST#
FWSM-TEST# changeto context test
FWSM-TEST/test#
FWSM-TEST/test# show np 3 acl stats
----------------------------
ACL Tree Statistics
----------------------------
Rule count : 18
Bit nodes (PSCB's): 15
Leaf nodes : 16
Total nodes : 31 (max 38439)
Leaf chains : 15
Total stored rules: 24
Max rules in leaf : 2
Node depth : 6
----------------------------

hiroshi.kurokawa1 · ‎2015-11-05

CONTEXTに入ることで確認できました。

これでACLの追加できるかの目安がわかりました、削減・圧縮を行いながら状況の確認ができるようになり、助かりました。

ありがとうございました。