在有次割接的过程中大规模的配置acl的时候,发现acl怎么没办法配置了,看log打印提示TCAM空间不足,当时也是第一次碰到该问题进查询手册后发现
根据日志信息,当前设备的e-acl空间不足:
2021 May 19 18:21:17 XXPT-core-N9372-01 %ACLQOS-SLOT1-4-ACLQOS_OVER_THRESHOLD: Inst 0 Tcam 5 Bank 0's (Egress IPV4 RACL [e-racl]) usage has reached its threshold
2021 May 19 18:28:09 XXPT-core-N9372-01 %ACLQOS-SLOT1-2-ACLQOS_OOTR: Tcam resource exhausted: Egress IPV4 RACL [e-racl]检查TCAM使用情况,racl的空间使用率以接近98%,因此无法新配置e-racl。
core-N9372-01# show hardware access-list resource utilization
slot 1
=======
INSTANCE 0x0
-------------
-------------------------------------------------------------------
Ingress IPv4 PACL 3 509 0.59
Ingress IPv4 Port QoS 3 253 1.17
Ingress IPv4 VACL 2 510 0.39
Ingress IPv4 RACL 9 503 1.76
Egress IPv4 VACL 3 509 0.59
Egress IPv4 RACL 250 6 97.66 <<<<<<<<<<<<<<
如果需要更改TCAM分配,可以减少VACL空间,释放的空间供e-racl使用。
N9K# conf t
N9K(config)# hardware access-list tcam region vacl 256 <<<<<<< reduce the TCAM space allocated to IPv4 VACLs from 512 to 256
N9K(config)# hardware access-list tcam region e-racl 512 <<<<<<< increase the TCAM space allocated to e-rACL from 256 to 512.
N9K(config)# copy run start
N9K(config)# reload
没错,修改TCAM空间需要重启设备。
N9K# conf t
N9K(config)# hardware access-list
tcam region vacl 256 <<<<<<< reduce
the TCAM space allocated to IPv4 VACLs from 512 to 256
N9K(config)# hardware access-list
tcam region e-racl 512 <<<<<<<
increase the TCAM space allocated to e-rACL from 256 to 512.
N9K(config)# copy run start
N9K(config)# reload
在修改acl时,默认为512字节,当其中一个要增大范围,其他的功能得相应的减小。
修改TCAM空间需要重启设备。
XXPT-core-N9372-01#
show hardware access-list resource utilization 检查TCAM使用情况关于TCAM的介绍:
Cisco TCAM(Ternary Content Addressable Memory)是思科系统公司开发的一种高性能硬件内存技术。TCAM主要用于网络设备中的路由器和交换机,用于快速查找和匹配网络流量的路由信息。
TCAM以其快速的查询速度和灵活的匹配能力而闻名。它可以在非常短的时间内执行对大规模路由表的快速查找和匹配操作。相比于传统的软件查找算法,TCAM可以在纳秒级别完成查询,大大提高了网络设备的性能和转发速度。
TCAM的工作原理是根据输入的查找键(lookup key),在存储器中进行并行比较和查找。它可以支持三态比较(Ternary Compare),即可以进行精确匹配、不匹配和模糊匹配(通配符匹配)。这使得TCAM能够对复杂的路由规则进行高效的匹配,支持多种匹配条件和操作。
在网络设备中,TCAM广泛应用于路由表的快速查找、访问控制列表(ACL)的匹配、流量分类和负载均衡等功能。它为网络设备提供了高速的路由和转发能力,有助于提高网络的性能和可扩展性。
ACL TCAM区域
您可以在硬件中更改ACL TCAM区域的大小。出口TCAM大小为1K,分为四个256个条目。入口TCAM大小为4K,分为八个256切片和四个512切片。
IPv4 TCAM区域为单宽。IPv6、服务质量(QoS)、MAC、控制平面策略(CoPP)和系统TCAM区域宽度为双倍,消耗双倍物理TCAM条目。
例如,256个条目的逻辑区域大小实际上会消耗512个物理TCAM条目。
您可以创建IPv6、端口ACL(PACL)、VLAN ACL(VACL)和路由器ACL(RACL),并且可以匹配QoS的IPv6和MAC地址。但是,Cisco NX-OS无法同时支持所有操作系统。
必须删除或减小当前TCAM区域的大小才能启用IPv6和MAC TCAM区域。对于每个TCAM区域配置命令,系统评估新更改是否适用于TCAM。
如果不是,则报告错误,命令被拒绝。您必须移除或减小当前TCAM区域的大小,以便为新要求留出空间。
ACL TCAM区域大小有以下准则和限制:
- 在Cisco Nexus 9500系列交换机上,默认入口TCAM区域配置在Cisco NX-OS版本6.1(2)I1(1)中有一个免费的256条目分片。
此扇区分配给Cisco NX-OS版本6.1(2)I2(1)中的交换机端口分析器(SPAN)区域。 同样,在Cisco NX-OS版本6.1(2)I2(1)中,RACL区域从2K减少到1.5K,以便为具有512个条目的虚拟端口通道(vPC)融合区域腾出空间。
- 在Cisco Nexus 9300系列交换机上,使用以应用为中心的基础设施(ACI)枝叶线卡来实施应用于40G端口的QoS分类策略。它具有768个TCAM条目,可在256条目粒度内进行刻划。这些区域名称的前缀为“ns — ”。
- 对于Cisco Nexus 9300系列交换机上的ACI枝叶线卡,只有IPv6 TCAM区域会使用双宽度条目。其他TCAM区域使用单宽度条目。
- 配置VACL区域时,其入口和出口方向的大小相同。如果区域大小不能适应任一方向,配置将被拒绝。
默认设置
Nexus 9300和9500系列交换机都有四个大小为512字节的片以及八个大小为256字节的片。 默认情况下,使用所有切片和所有空间,尽管Nexus 9300系列和9500系列之间的默认分配不同。
slot 1
=======
INSTANCE 0x0
-------------
ACL Hardware Resource Utilization (Mod 1)
----------------------------------------------------------
Used Free Percent
Utilization
-------------------------------------------------------------------
Ingress IPv4 PACL(端口acl)
Ingress IPv4 Port QoS
Ingress IPv4 VACL (vlan acl)
Ingress IPv4 RACL (三层acl)
Egress IPv4 VACL
Egress IPv4 RACL
SUP COPP
SUP COPP Reason Code TCAM
Redirect
SPAN
VPC Convergence
NAT