思科Nexus 9300 TCAM雕刻
我有Cisco Nexus C9396PX L3交换机,我在它上配置了一堆ACL (入站),以拒绝/允许通信。现在,如果我试图添加更多的ACL,那么就会得到TCAM表已满的错误。这是tcam的输出
如果您注意到行Ingress IPv4 RACL 259 253 50.59,它是为L3 ACL和达到50%的利用率,但我仍然有50%免费,所以为什么我不能添加更多的规则?有一件事,我注意到了它的母线,所以可能是有可能的,我用尽了所有的进入条目,现在,无论是什么,是为了出口。我说的对吗?
假设我没有在开关上使用任何L2函数,并且希望将VACL摄像头的大小给RACL,这可能吗?
swt-c9396PX# show hardware access-list resource utilization
slot 1
=======
INSTANCE 0x0
-------------
ACL Hardware Resource Utilization (Mod 1)
----------------------------------------------------------
Used Free Percent
Utilization
-------------------------------------------------------------------
Ingress IPv4 PACL 3 509 0.59
Ingress IPv4 Port QoS 4 252 1.56
Ingress IPv4 VACL 2 510 0.39
Ingress IPv4 RACL 259 253 50.59
Egress IPv4 VACL 3 509 0.59
Egress IPv4 RACL 3 253 1.17
SUP COPP 205 51 80.08
SUP COPP Reason Code TCAM 6 122 4.69
Redirect 2 510 0.39
VPC Convergence 1 255 0.39
sFlow Northstar ACL 0 256 0.00
LOU 2 22 8.33
Both LOU Operands 2
Single LOU Operands 0
LOU L4 src port: 1
LOU L4 dst port: 1
LOU L3 packet len: 0
LOU IP tos: 0
LOU IP dscp: 0
LOU ip precedence: 0
LOU ip TTL: 0
TCP Flags 0 16 0.00
Protocol CAM 2 244 0.81
Mac Etype/Proto CAM 0 14 0.00
L4 op labels, Tcam 0 0 1023 0.00
L4 op labels, Tcam 2 1 62 1.58
L4 op labels, Tcam 6 0 2047 0.00
Ingress Dest info table 0 512 0.00
Egress Dest info table 0 512 0.00
INSTANCE 0x1
-------------
ACL Hardware Resource Utilization (Mod 1)
----------------------------------------------------------
Used Free Percent
Utilization
-------------------------------------------------------------------
Ingress NS IPv4 Port QoS 1 255 0.39
Ingress NS IPv4 L3 QoS 1 255 0.39
Ingress NS IPv4 VLAN QoS 1 255 0.39
LOU 0 24 0.00
Both LOU Operands 0
Single LOU Operands 0
LOU L4 src port: 0
LOU L4 dst port: 0
LOU L3 packet len: 0
LOU IP tos: 0
LOU IP dscp: 0
LOU ip precedence: 0
LOU ip TTL: 0
TCP Flags 0 16 0.00
Protocol CAM 0 246 0.00
Mac Etype/Proto CAM 0 14 0.00回答 1
Network Engineering用户
发布于 2019-10-31 01:34:30
(引用文档)原子ACL更新
默认情况下,当Cisco Nexus 9000系列设备的监控程序模块对I/O模块进行ACL更改时,它将执行原子ACL更新。原子更新不会中断已更新的ACL应用到的通信;但是,原子更新要求接收ACL更新的I/O模块除了在受影响的ACL中存储所有预先存在的条目之外,还有足够的可用资源来存储每个更新的ACL条目。更新发生后,将释放用于更新的其他资源。如果I/O模块缺少所需的资源,则设备生成错误消息,而对I/O模块的ACL更新失败。如果I/O模块缺乏原子更新所需的资源,则可以使用无硬件访问列表更新原子命令禁用原子更新;但是,在设备删除现有ACL并实现更新ACL所需的短暂时间内,默认情况下将删除ACL应用到的通信量。如果要允许ACL接收非原子更新时应用到的所有通信量,请使用硬件访问列表更新默认结果允许命令。
释义:如果在Nexus上有一个ACL,它使用了51%的TCAMS,您就不能在不关闭原子更新的情况下更新它,因为这需要102%的TCAMS。
https://networkengineering.stackexchange.com/questions/63269
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号