Subscribe via RSS Feed Connect on Google Plus Connect on LinkedIn
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...Loading...

Aumentando recursos de TCAM para ACL no N7K

3 de março de 2016 1 Comment
ShareTweet about this on TwitterShare on TumblrShare on LinkedInShare on Google+Share on FacebookPin on PinterestEmail this to someonePrint this page

Façam com cuidado e de acordo com ambiente de vocês!

 

Resource Pooling

Por default, ACLs não são programadas em todos os bancos de TCAM (TCAM Bank). Isso significa que quando é configurado ACL no equipamento, ele utiliza apenas uma TCAM Bank naquele SoC (switch-on-a-chip). Para quem precisa usar muitas linhas de ACL, isso é um grande problema!

Por exemplo, para um módulo F3 (o mais novo da série F da Cisco), cada SoC tem 4 tcam Banks de 4096 entries, totalizando 16k por SoC. Neste caso, as ACLs seriam configuradas apenas em um banco de tcam limitando as ACEs em 4096. Como proteção dos recursos, outras features como ARP, MAC, QOS, DHCP ficam restritas em outros bancos de tcam.

Para podermos usar mais ACEs (access control entries) e consequentemente mais ACLs, precisamos usar o recurso dos outros bancos de tcam no SoC. O comando que habilita essa feature é:

 

 

Atomic Programming

Se isso ainda não for suficiente há uma outra feature que podemos desabilitar para liberar mais ACEs para o equipamento, mas esse é mais drástico.

Atomic Programming está habilitado por default. Essa feature permite que seja aplicada ACL (ACEs na TCAM) sem impactar no tráfego pois reserva 50% de cada banco de tcam. Isso é necessário para que não haja impacto. Por exemplo, quando há um update de ACL, o NXOS aplica as ACEs nos 50% que estão reservados para que não haja impacto, depois os outros 50% no qual tinha ACEs é liberado. Portanto, em um banco de tcam de 4096, não poderíamos ter 2049 ACEs (se tivermos o NXOS avisa com um erro).

Desabilitando a feature com o comando “no hardware access-list update atomic” podemos usar todo o banco de tcam porém há impacto no tráfego. Sem a feature, as ACLs são removidas e depois adicionadas novamente na tcam. Nesse meio tempo de remover e adicionar na tcam, todo o tráfego é bloqueado por default. Esse comportamento pode ser mudado com o comando “hardware access-list update default-result permit”.

 

Comandos de Verificação

 

show hardware access-list resource pooling
show system internal access-list status

Exemplos de erros e saída de comandos para verificação de TCAM

Erro quando há limite de TCAM:

 

Um exemplo da saída do comando “sh hardware access-list resource utilization”

 

 

 

Referências

Apresentação arquitetura de módulos Cisco:
https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=5&cad=rja&uact=8&ved=0ahUKEwjZwcOb8vzKAhWES5AKHeYZCxYQFgg-MAQ&url=https%3A%2F%2Findico.fnal.gov%2FgetFile.py%2Faccess%3FsessionId%3D9%26resId%3D0%26materialId%3D0%26confId%3D6433&usg=AFQjCNFt9qpY7BdwwrXi-USATwDn7cqY0g&sig2=Zn3H06DTaATT9ygBbkgHyg&bvm=bv.114195076,d.Y2I

Resource Pooling

http://www.cisco.com/c/en/us/support/docs/routers/7000-series-routers/116151-problemsolution-product-00.html~
http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/best_practices/cli_mgmt_guide/cli_mgmt_bp/hw_resources.html#wp1053722
Atomic Programming

http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/6_x/nx-os/security/configuration/guide/b_Cisco_Nexus_7000_NX-OS_Security_Configuration_Guide__Release_6-x/b_Cisco_Nexus_7000_NX-OS_Security_Configuration_Guide__Release_6-x_chapter_01110.html#concept_945210FB9986499285C6A00065105AC9

+ TAC da Cisco 😉

 

Imagem de: http://certbros.com/wp-content/uploads/2015/11/ACL-checklist2.png?f79964
😉

 

 

 

 

 

 

 

 

 

 

 

 

Seu ip é:
54.158.245.157

ShareTweet about this on TwitterShare on TumblrShare on LinkedInShare on Google+Share on FacebookPin on PinterestEmail this to someonePrint this page
Filed in: CCIE, CCNP, Cisco, Segurança • Tags: , , ,

About the Author:

O autor trabalha com tecnologia de redes há 13 anos, participa de congressos no Brasil e no mundo, e contribui para melhoria de protocolos e sistemas com fabricantes de equipamentos de rede.
  • Cledir Justo

    Parabéns Lobo,
    Tópico super interessante.