cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 

FWSM Límites y asignación de recursos de ACL

El objetivo del documento es explicar el uso y asignación de recursos de ACL en el FWSM

FWSM en modo múltiple y asignación de recursos

Cuando se tiene un FWSM configurado en modo múltiple, se tiene algo denominado resource acl-particion. Este es usado para asignar límites de recursos de ACL en los contextos.

Contadores de ACL

Se puede utilizar el comando de show resource partition para ver el número de recursos por partición. En el siguiente ejemplo, el número de particiones es 12. Si el FSWM tiene más contextos, algunos de ellos compartirán los recursos.

FWSM/pri/actNoFailover# show resource acl-partition
Total number of configured partitions = 4
Partition #0
    Mode            : non-exclusive
    List of Contexts     : admin, context1
    Number of contexts     : 2(RefCount:2)
    Number of rules     : 61(Max:49971)
Partition #1
    Mode            : non-exclusive
    List of Contexts     : context2
    Number of contexts     : 1(RefCount:1)
    Number of rules     : 16(Max:49971)
Partition #2
    Mode            : non-exclusive
    List of Contexts     : none
    Number of contexts     : 0(RefCount:0)
    Number of rules     : 0(Max:49971)
Partition #3
    Mode            : non-exclusive
    List of Contexts     : none
    Number of contexts     : 0(RefCount:0)
    Number of rules     : 0(Max:49971)

Se tiene 4 ACL partitions, se comienza desde  el número cero, dos particiones son utlizadas y dos no. El FWSM tiene 3 contextos: admin, context1 y context2. En este caso, el context1 y admin están compartiendo la primera partición (Partition #0) y el context2 está usando la segunda partición (Partition #1). En el campo de number of rules, se muestra el número de ACLs asignadas a esta partición.

La salida de show np 3 acl count <number>  permite al usuario ver el uso de ACL en una partición en particular.

La línea de tree_id se refiere al número de partición.

FWSM/pri/actNoFailover# show np 3 acl count ?

  <0-11>  tree_id

En el ejemplo  se tiene 61 ACLs para la partición #0. Estas 61 reglas están compuestas por 48 fixups, 3 reglas de consola y 10 reglas de ACL.

Se tienen en el campo de CLS Rule MAX counts, el número máximo de ACLs que se pueden configurar en la partición.

FWSM/pri/actNoFailover# show np 3 acl count 0
-------------- CLS Rule Current Counts --------------
CLS Filter Rule Count       :             0
CLS Fixup Rule Count        :            48
CLS Est Ctl Rule Count      :             0
CLS AAA Rule Count          :             0
CLS Est Data Rule Count     :             0
CLS Console Rule Count      :             3
CLS Policy NAT Rule Count   :             0
CLS ACL Rule Count          :            10
CLS ACL Uncommitted Add     :             0
CLS ACL Uncommitted Del     :             0

---------------- CLS Rule MAX Counts ----------------
CLS Filter MAX              :          1499
CLS Fixup MAX               :          3997
CLS Est Ctl Rule MAX        :           249
CLS Est Data Rule MAX       :           249
CLS AAA Rule MAX            :          3497
CLS Console Rule MAX        :           999
CLS Policy NAT Rule MAX     :           999
CLS ACL Rule MAX            :         38482

-------------- CLS Rule Counter Ranges --------------
CLS L7 Cnt     Start - End  :             1 -     1499
CLS Est Cnt    Start - End  :          1500 -     1748
CLS AAA Cnt    Start - End  :          1749 -     5245
CLS CP Cnt     Start - End  :          5246 -     6244
CLS Policy Cnt Start - End  :          6245 -     7243
CLS ACL Cnt    Start - End  :          7244 -    45725
CLS DYN Cnt    Start - End  :             0 -        0

----- CLS Rule Memory Management (Global) ----
CLS Rules Allocated         :           129
CLS Rules Deleted           :            52
CLS Rules Flagged           :             0
CLS Rules Reclaimed         :             0
CLS Rules No Memory         :             0

----- CLS Extension Memory Management (Global) ----
CLS Leaf Extensions Alloced :            14
CLS Leaf Extensions Updated :             2
CLS leaf Extensions Deleted :             4
MPC Leaf Extensions Alloced :             0
MPC Leaf Extensions Deleted :             0
MPC Leaf Ext Alloc Errors   :             0
MPC Leaf Ext Free Errors    :             0
-----------------------------------------------------

Optimización de ACL

Se puede modificar el número máximo de reglas con el siguiente comando:

FWSM(config)# resource rule  nat <value1> acl <value2> filter <value3> fixup  <value4> est <value5> aaa <value6> console  <value7>

La suma de las reglas debe ser menor que el máximo de 49971. Si la suma es mayor, se obtendrá el siguiente error:

ERROR: New total max rules <sum> are more than the allowed total max rules 49971

Las reglas afectan todas las particiones. Sin embargo, también se puede realizar configuraciones por partición, como se puede observar en el siguiente ejemplo:

FWSM(config0# resource partition 0 rule nat  <value1> acl <value2>  filter <value3> fixup  <value4> est <value5> aaa  <value6> console  <value7> size <0 to max> *where max is the number identified in show resource acl-partition

Otra solución para obtener más recursos es modificar el número de particiones con el comando de:

FWSM(config)# resource acl-partition <0-12>

Se recomienda tener el mismo número de particiones de ACL que de contextos.

NOTA: Cuando se tiene dos FWSM en failover, ambos tienen que ser reiniciados al mismo tiempo, se debe de revisar que ambos FWSM tengan el mismo número de particiones.

Documento original de Rama Darbha

Comentarios

Hola Izcoatl,

En el caso donde comentas que podemos modificar el numero de particiones lo unico que afectariamos seria al momento de reinicar ambos FWSM o de alguna manera afectaria lo ya configurado en las particiones existentes??

Saludos.

Cisco Employee

Marisol,

Te mando un saludo. Efectivamente, al modificar el número de particiones no afectas lo que ya está configurado en los distintos contextos, solamente se le estaría asignando más o menos recursos a estos.

Espero haya respondido tu pregunta.

Gracias,

Itzcoatl

New Member

Hola Izcoatl,

Muy buena tu explicacion tenes algo para poder evitar cualquier tipo de problema cuando a uno le da el siguiente msg

  "Access Rules Download Complete: Memory Utilization: < 50" se que si el numero sigue subiendo puede incluso hasta corroemper las tablas.

Gracias y Saludos

Cisco Employee

Juraj,

El mensaje aparece en el momento en el que las ACL son compiladas y mandadas a las NP. Es normal que suba  el CPU en este proceso y  su valor  dependerá del número de recursos utlizados hasta ese momento. Es por ello que no se recomienda llegar a los valores máximos de recursos disponibles por contexto.

Gracias,

Itzcoatl

1161
Visitas
0
ÚTIL
4
Comentarios