Перейти к содержимому
Калькуляторы

TCAM limit exceeded

ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX.  Use SW TCAM instead".

Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

44 минуты назад, zhenya` сказал:

уплотнять лист. 

А сколько предел вообще записей для 1-ого ACL на этой платформе,не подскажите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

использование TCAM смотрите так

 

sh platform hardware qfp active tcam resource-manager usage 

 

и погуглите на предмет ACL template. если у вас абонентский концентратор, то одинаковые ACL группируются в template и едят меньше tcam

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 1/19/2018 at 8:03 AM, alexwin said:

ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX.  Use SW TCAM instead".

Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить?

А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 часа назад, ShyLion сказал:

А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой.

Общий принцип конфигурации роутера,батенька,такой,что мопед не мой его владелец фильтрует на нем список РКН. Сейчас в ACL вижу 70К записей,которые загружаются туда из списка.

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

фильтр по ip всего реестра? Жесть... Фильтровать по ip в 2к18...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 19.01.2018 в 05:03, alexwin сказал:

Как лечить?

Можно поставить цепочкой второй ASR на котором настраивать в ACL записи не помещающиеся на первый ASR :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем это в ACL? Нарисуйте маршруты в Null, например. Маршрутов-то он сильно больше может. :) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, myth сказал:

фильтр по ip всего реестра? Жесть... Фильтровать по ip в 2к18...

Я же говорю,мопед не мой. Ну вот так они фильтруют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, ShyLion сказал:

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Сколько записей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, UglyAdmin сказал:

В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда.

Тогда хватит :)).

 

5 часов назад, ShyLion сказал:

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Переделать может и 15 минут,но нужно учесть следующие моменты:

1) как убрать устаревшие записи (записи в реестре добавляются и убавляются).

2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю.

С acl проще,его можно вынести через no и пересоздать.

 

А вы кстати как заливаете записи в ASR?

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 hours ago, alexwin said:

Тогда хватит :)).

 

Переделать может и 15 минут,но нужно учесть следующие моменты:

1) как убрать устаревшие записи (записи в реестре добавляются и убавляются).

2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю.

С acl проще,его можно вынести через no и пересоздать.

 

А вы кстати как заливаете записи в ASR?

 

Скрипт на входе имеет список актуальных сетей для блокировки.

Делает через ssh "show run | inc ^ip route .* name zapret"

Создает файл на TFTP:

Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret".

Далее "copy tftp://path/blacklist running-config"

Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения.

 

Скрипт на перловке, использует Net::SSH2.

 

Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

34 минуты назад, ShyLion сказал:

Скрипт на входе имеет список актуальных сетей для блокировки.

Делает через ssh "show run | inc ^ip route .* name zapret"

Создает файл на TFTP:

Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret".

Далее "copy tftp://path/blacklist running-config"

Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения.

 

Скрипт на перловке, использует Net::SSH2.

 

Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами.

Спс,я примерно так и думал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.