Jump to content
Калькуляторы

TCAM limit exceeded

ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX.  Use SW TCAM instead".

Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить?

Share this post


Link to post
Share on other sites

44 минуты назад, zhenya` сказал:

уплотнять лист. 

А сколько предел вообще записей для 1-ого ACL на этой платформе,не подскажите?

Share this post


Link to post
Share on other sites

использование TCAM смотрите так

 

sh platform hardware qfp active tcam resource-manager usage 

 

и погуглите на предмет ACL template. если у вас абонентский концентратор, то одинаковые ACL группируются в template и едят меньше tcam

Share this post


Link to post
Share on other sites

On 1/19/2018 at 8:03 AM, alexwin said:

ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX.  Use SW TCAM instead".

Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить?

А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой.

Share this post


Link to post
Share on other sites

23 часа назад, ShyLion сказал:

А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой.

Общий принцип конфигурации роутера,батенька,такой,что мопед не мой его владелец фильтрует на нем список РКН. Сейчас в ACL вижу 70К записей,которые загружаются туда из списка.

Edited by alexwin

Share this post


Link to post
Share on other sites

В 19.01.2018 в 05:03, alexwin сказал:

Как лечить?

Можно поставить цепочкой второй ASR на котором настраивать в ACL записи не помещающиеся на первый ASR :)

Share this post


Link to post
Share on other sites

А зачем это в ACL? Нарисуйте маршруты в Null, например. Маршрутов-то он сильно больше может. :) 

Share this post


Link to post
Share on other sites

6 часов назад, myth сказал:

фильтр по ip всего реестра? Жесть... Фильтровать по ip в 2к18...

Я же говорю,мопед не мой. Ну вот так они фильтруют.

Share this post


Link to post
Share on other sites

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Share this post


Link to post
Share on other sites

1 час назад, ShyLion сказал:

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Сколько записей?

Share this post


Link to post
Share on other sites

В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда.

Share this post


Link to post
Share on other sites

2 часа назад, UglyAdmin сказал:

В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда.

Тогда хватит :)).

 

5 часов назад, ShyLion сказал:

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Переделать может и 15 минут,но нужно учесть следующие моменты:

1) как убрать устаревшие записи (записи в реестре добавляются и убавляются).

2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю.

С acl проще,его можно вынести через no и пересоздать.

 

А вы кстати как заливаете записи в ASR?

Edited by alexwin

Share this post


Link to post
Share on other sites

18 hours ago, alexwin said:

Тогда хватит :)).

 

Переделать может и 15 минут,но нужно учесть следующие моменты:

1) как убрать устаревшие записи (записи в реестре добавляются и убавляются).

2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю.

С acl проще,его можно вынести через no и пересоздать.

 

А вы кстати как заливаете записи в ASR?

 

Скрипт на входе имеет список актуальных сетей для блокировки.

Делает через ssh "show run | inc ^ip route .* name zapret"

Создает файл на TFTP:

Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret".

Далее "copy tftp://path/blacklist running-config"

Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения.

 

Скрипт на перловке, использует Net::SSH2.

 

Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами.

Share this post


Link to post
Share on other sites

34 минуты назад, ShyLion сказал:

Скрипт на входе имеет список актуальных сетей для блокировки.

Делает через ssh "show run | inc ^ip route .* name zapret"

Создает файл на TFTP:

Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret".

Далее "copy tftp://path/blacklist running-config"

Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения.

 

Скрипт на перловке, использует Net::SSH2.

 

Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами.

Спс,я примерно так и думал.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.