Jump to content
Калькуляторы

TCAM limit exceeded

ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX.  Use SW TCAM instead".

Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить?

Share this post


Link to post
Share on other sites
44 минуты назад, zhenya` сказал:

уплотнять лист. 

А сколько предел вообще записей для 1-ого ACL на этой платформе,не подскажите?

Share this post


Link to post
Share on other sites

использование TCAM смотрите так

 

sh platform hardware qfp active tcam resource-manager usage 

 

и погуглите на предмет ACL template. если у вас абонентский концентратор, то одинаковые ACL группируются в template и едят меньше tcam

Share this post


Link to post
Share on other sites
On 1/19/2018 at 8:03 AM, alexwin said:

ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX.  Use SW TCAM instead".

Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить?

А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой.

Share this post


Link to post
Share on other sites
23 часа назад, ShyLion сказал:

А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой.

Общий принцип конфигурации роутера,батенька,такой,что мопед не мой его владелец фильтрует на нем список РКН. Сейчас в ACL вижу 70К записей,которые загружаются туда из списка.

Edited by alexwin

Share this post


Link to post
Share on other sites

фильтр по ip всего реестра? Жесть... Фильтровать по ip в 2к18...

Share this post


Link to post
Share on other sites
В 19.01.2018 в 05:03, alexwin сказал:

Как лечить?

Можно поставить цепочкой второй ASR на котором настраивать в ACL записи не помещающиеся на первый ASR :)

Share this post


Link to post
Share on other sites

А зачем это в ACL? Нарисуйте маршруты в Null, например. Маршрутов-то он сильно больше может. :) 

Share this post


Link to post
Share on other sites
6 часов назад, myth сказал:

фильтр по ip всего реестра? Жесть... Фильтровать по ip в 2к18...

Я же говорю,мопед не мой. Ну вот так они фильтруют.

Share this post


Link to post
Share on other sites

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Share this post


Link to post
Share on other sites
1 час назад, ShyLion сказал:

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Сколько записей?

Share this post


Link to post
Share on other sites

В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда.

Share this post


Link to post
Share on other sites
2 часа назад, UglyAdmin сказал:

В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда.

Тогда хватит :)).

 

5 часов назад, ShyLion сказал:

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Переделать может и 15 минут,но нужно учесть следующие моменты:

1) как убрать устаревшие записи (записи в реестре добавляются и убавляются).

2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю.

С acl проще,его можно вынести через no и пересоздать.

 

А вы кстати как заливаете записи в ASR?

Edited by alexwin

Share this post


Link to post
Share on other sites
18 hours ago, alexwin said:

Тогда хватит :)).

 

Переделать может и 15 минут,но нужно учесть следующие моменты:

1) как убрать устаревшие записи (записи в реестре добавляются и убавляются).

2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю.

С acl проще,его можно вынести через no и пересоздать.

 

А вы кстати как заливаете записи в ASR?

 

Скрипт на входе имеет список актуальных сетей для блокировки.

Делает через ssh "show run | inc ^ip route .* name zapret"

Создает файл на TFTP:

Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret".

Далее "copy tftp://path/blacklist running-config"

Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения.

 

Скрипт на перловке, использует Net::SSH2.

 

Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами.

Share this post


Link to post
Share on other sites
34 минуты назад, ShyLion сказал:

Скрипт на входе имеет список актуальных сетей для блокировки.

Делает через ssh "show run | inc ^ip route .* name zapret"

Создает файл на TFTP:

Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret".

Далее "copy tftp://path/blacklist running-config"

Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения.

 

Скрипт на перловке, использует Net::SSH2.

 

Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами.

Спс,я примерно так и думал.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this