korso Posted September 9, 2020 Posted September 9, 2020 В логах сообщение C4K_HWACLMAN-4-ACLHWPROGERR: Input Security: abonents -hardware TCAM limit, some packet processing will be software switched. Временно решил проблему удалением некоторых правил из аксес листа. Вопрос как правильно решить эту проблему? Может можно настроить TCAM и как правильно исправить access-list? show platform hardware acl statistics utilization brief CAM Utilization Statistics -------------------------- Used Free Total -------------------------------- Input Security (160) 23516 (95 %) 1060 (5 %) 24576 Input Security (320) 34 (1 %) 2014 (99 %) 2048 Input Forwarding (160) 2714 (66 %) 1382 (34 %) 4096 Input Forwarding (320) 24 (1 %) 2024 (99 %) 2048 Output RoleBased (160) 9 (0 %) 2039 (100%) 2048 Output Security (160) 9 (0 %) 2039 (100%) 2048 Output Security (320) 12 (0 %) 2036 (100%) 2048 Output Qos (160) 20 (0 %) 2028 (100%) 2048 Output Qos (320) 2 (0 %) 2046 (100%) 2048 Output Forwarding (160) 1 (0 %) 2047 (100%) 2048 Output Forwarding (320) 6 (0 %) 2042 (100%) 2048 Output Unallocated (160) 0 (0 %) 18432 (100%) 18432 Input Profiles (logical) : used 1 / 32 Input Profiles (physical): used 4 / 32 Output Profiles (logical) : used 1 / 32 Output Profiles (physical): used 3 / 32 ================ ip access-list extended abonents deny 41 any any deny ip any 172.23.0.0 0.0.0.255 deny ip any 10.0.0.0 0.0.0.255 deny ip any 172.15.0.0 0.0.3.255 deny ip any 10.4.0.0 0.3.255.255 deny ip any 172.23.2.0 0.0.1.255 deny ip any 172.23.4.0 0.0.0.255 deny ip any 192.168.0.0 0.0.255.255 deny tcp any any eq 445 deny tcp any any eq 135 deny ip any host 239.255.255.250 deny ip 192.168.0.0 0.0.255.255 any deny tcp any any range 137 139 permit igmp any 238.1.1.0 0.0.0.255 6 permit igmp any 238.1.1.0 0.0.0.255 7 deny igmp any any deny ip any 224.0.0.0 15.255.255.255 permit ip any any Вставить ник Quote
zhenya` Posted September 9, 2020 Posted September 9, 2020 192.168/16 и 10.0.0.0/8 замените на нулроуты. sdm template на 4948e нет. Путь один - оптимизировать ацл Вставить ник Quote
nemo_lynx Posted September 10, 2020 Posted September 10, 2020 (edited) У вас же этот свич не на доступе стоит? Всякий мусор типа нетбиоса, ипв6 надо бы на портах доступа резать. Если возможно, то и igmp туда же. deny ip any host 239.255.255.250 - лишнее, т.к. дальше есть deny ip any 224.0.0.0 15.255.255.255 Edited September 10, 2020 by nemo_lynx Вставить ник Quote
korso Posted September 11, 2020 Author Posted September 11, 2020 Спасибо, за помощь. Значит только манипуляции с access-list. По поводу вешать на порту, оборудование разношерстное на коммутаторах доступа не везде это будет возможно. Но мысль понял ) Вставить ник Quote
korso Posted September 11, 2020 Author Posted September 11, 2020 а можно изменить правила так чтобы они попадали в Output Security? Input Security (160) 23516 (95 %) 1060 (5 %) 24576 Output Security (160) 9 (0 %) 2039 (100%) 2048 Output Unallocated (160) 0 (0 %) 18432 (100%) 18432 Вставить ник Quote
nemo_lynx Posted September 11, 2020 Posted September 11, 2020 Вы на интерфейсе как ацл навешиваете? ip access-group XXX in ip access-group XXX out Первое попадёт в инпут-секурити, второе - в оутпут. Вставить ник Quote
korso Posted September 11, 2020 Author Posted September 11, 2020 in. Cпасибо понял Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.