Jump to content

TCAM limit exceeded

alexwin
 Share

Recommended Posts

alexwin

alexwin

Posted
Posted

ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX.  Use SW TCAM instead".

Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить?

drovorub

drovorub

Posted
Posted

использование TCAM смотрите так

 

sh platform hardware qfp active tcam resource-manager usage 

 

и погуглите на предмет ACL template. если у вас абонентский концентратор, то одинаковые ACL группируются в template и едят меньше tcam

ShyLion

ShyLion

Posted
Posted
On 1/19/2018 at 8:03 AM, alexwin said:

ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX.  Use SW TCAM instead".

Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить?

А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой.

alexwin

alexwin

Posted
  • Author
Posted (edited)
23 часа назад, ShyLion сказал:

А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой.

Общий принцип конфигурации роутера,батенька,такой,что мопед не мой его владелец фильтрует на нем список РКН. Сейчас в ACL вижу 70К записей,которые загружаются туда из списка.

Edited by alexwin
v_r

v_r

Posted
Posted
В 19.01.2018 в 05:03, alexwin сказал:

Как лечить?

Можно поставить цепочкой второй ASR на котором настраивать в ACL записи не помещающиеся на первый ASR :)

alexwin

alexwin

Posted
  • Author
Posted
6 часов назад, myth сказал:

фильтр по ip всего реестра? Жесть... Фильтровать по ip в 2к18...

Я же говорю,мопед не мой. Ну вот так они фильтруют.

ShyLion

ShyLion

Posted
Posted

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

alexwin

alexwin

Posted
  • Author
Posted
1 час назад, ShyLion сказал:

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Сколько записей?

alexwin

alexwin

Posted
  • Author
Posted (edited)
2 часа назад, UglyAdmin сказал:

В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда.

Тогда хватит :)).

 

5 часов назад, ShyLion сказал:

У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю.

Переделать может и 15 минут,но нужно учесть следующие моменты:

1) как убрать устаревшие записи (записи в реестре добавляются и убавляются).

2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю.

С acl проще,его можно вынести через no и пересоздать.

 

А вы кстати как заливаете записи в ASR?

Edited by alexwin
ShyLion

ShyLion

Posted
Posted
18 hours ago, alexwin said:

Тогда хватит :)).

 

Переделать может и 15 минут,но нужно учесть следующие моменты:

1) как убрать устаревшие записи (записи в реестре добавляются и убавляются).

2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю.

С acl проще,его можно вынести через no и пересоздать.

 

А вы кстати как заливаете записи в ASR?

 

Скрипт на входе имеет список актуальных сетей для блокировки.

Делает через ssh "show run | inc ^ip route .* name zapret"

Создает файл на TFTP:

Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret".

Далее "copy tftp://path/blacklist running-config"

Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения.

 

Скрипт на перловке, использует Net::SSH2.

 

Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами.

alexwin

alexwin

Posted
  • Author
Posted
34 минуты назад, ShyLion сказал:

Скрипт на входе имеет список актуальных сетей для блокировки.

Делает через ssh "show run | inc ^ip route .* name zapret"

Создает файл на TFTP:

Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret".

Далее "copy tftp://path/blacklist running-config"

Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения.

 

Скрипт на перловке, использует Net::SSH2.

 

Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами.

Спс,я примерно так и думал.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.