sirmax Posted August 2, 2007 Posted August 2, 2007 Добрго времени суток! Где почитать, какой длины могут быть ACL на сабжевом устройстве? В ходе экспересентов выяснил что примерно 3К правил (во всех ACL, которые используются на интерфейсах) - загрузка примерно 40%, при этом при 2K ~15% Траффик на тестовом интерфейсе (куда я вешал заведомо раздутые ACL) не превышает 120Мбит (PPS не считал) Возможно, кто то подскажет, каков предел? т.е. чего ждать от устройства... (мне и 2K ахождений более чем достаточно, вопрос скорее теоретический чем практический, но все же... в плане самообразования... )) Спасибо Вставить ник Quote
SergeiK Posted August 2, 2007 Posted August 2, 2007 Доков по 3550 уже найти сложно, но на 3560 - число ACE - 1024, на 2960 - 512, 2950 - 300. У 3550 думаю, что 512, но не более 1024 точно. Число строк ACL в ACE не всегда однозначно переводятся, но приблизительно можно из этих цифр исходить. Если число превышено - свич позволяет работать правилам, но обрабатывает их процессором, то есть существенно медленне, и ни о каком wirespeed речи быть не может. Вставить ник Quote
sirmax Posted August 2, 2007 Author Posted August 2, 2007 ну в тестах я явно больше 1024 правил создавал. Уточню, правила - 512 (1024) правил на устройство а не на интерфейс ведь? Вставить ник Quote
SergeiK Posted August 2, 2007 Posted August 2, 2007 120мегабит в тесте шло, у вас и вряд ли веером по всему миру. Для процессора может быть приемлемо. По идее, в логам могла быть информация, типа ACE закончились, переходим на процессор. Вставить ник Quote
ingress Posted August 2, 2007 Posted August 2, 2007 покажите лог на пример записей содержащих "TCAM" Вставить ник Quote
sirmax Posted August 2, 2007 Author Posted August 2, 2007 Aug 2 12:56:57 oberon 10580: .Aug 2 11:55:53.926: %FM-3-UNLOADING: Unloading input vlan label 10 feature from all TCAMs Aug 2 12:56:57 oberon 10581: .Aug 2 11:55:53.946: %FM-3-UNLOADING: Unloading input vlan label 10 feature from all TCAMs Aug 2 12:56:58 oberon 10582: .Aug 2 11:55:53.962: %QATM-4-TCAM_LOW: TCAM resource running low for table Input ACL, resource type TCAM masks, on TCAM number 1. Вставить ник Quote
ingress Posted August 2, 2007 Posted August 2, 2007 если грузится проц значит ткам закончилась покажите sh proc cpu so sh sdm prefer sh tcam inacl 1 statistics sh tcam outacl 1 statistics :) Вставить ник Quote
sirmax Posted August 2, 2007 Author Posted August 2, 2007 CPU utilization for five seconds: 98%/90%; one minute: 94%; five minutes: 81% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 77 60663452 113748739 533 1.59% 1.68% 1.69% 0 IP Input 32 10544176 131700758 80 1.43% 1.40% 1.05% 0 Vegas LED Proces 62 7172 2870 2498 1.19% 0.09% 0.02% 1 SSH Process 128 26678652 8070138 3305 0.95% 0.91% 0.87% 0 CEF: IPv4 proces 8 23928556 47127853 507 0.95% 0.94% 0.95% 0 ARP Input 45 57474996 33970313 1691 0.79% 0.99% 1.04% 0 L3MD_STAT 35 127860 85424748 1 0.15% 0.05% 0.05% 0 SW Frame Ager 40 21361348 10534346 2027 0.15% 0.29% 0.34% 0 Vegas Statistics 28 16416 1058449 15 0.07% 0.00% 0.00% 0 Compute load avg 51 207900 5289240 39 0.07% 0.06% 0.06% 0 PI MATM Aging Pr 47 101432 67571236 1 0.07% 0.09% 0.07% 0 VegasPM Oberon#sh sdm prefer The current template is the default template. The selected template optimizes the resources in the switch to support this level of features for 16 routed interfaces and 1K VLANs. number of unicast mac addresses: 6K number of igmp groups: 6K number of qos aces: 2K number of security aces: 2K number of unicast routes: 12K number of multicast routes: 6K Oberon#sh tcam inacl 1 statistics Ingress ACL TCAM#1: Number of active labels: 9 Ingress ACL TCAM#1: Number of masks allocated: 390, available: 26 Ingress ACL TCAM#1: Number of entries allocated: 617, available: 2711 Oberon#sh tcam outacl 1 statistics Egress ACL TCAM#1: Number of active labels: 7 Egress ACL TCAM#1: Number of masks allocated: 95, available: 321 Egress ACL TCAM#1: Number of entries allocated: 255, available: 3073 Хм... наводит на мысли )) Причем судя по графикам, рост нагрузки явно коррелирует с ростом траффика на интерфесе на который навешен длинный ACL .... Подскажите плз, в какую стоорну копать... И если несложно - что показывают эти комманды (кроме первой:)) ) Вставить ник Quote
ingress Posted August 2, 2007 Posted August 2, 2007 (edited) это у вас наверно 12T или 12G - самые жирные по хар-кам из 3550 а что кажет sh sdm prefer access ? на 24Т в данном префёре максимальное кол-во ACEs правда сильно режется количество unicast mac addresses т.к. аксес если будет больше, поставьте его т.е. conf t sdm prefer access copy run start reboot по командам: sdm prefer - грубо говоря это настройка в виде задания пресета распределения этой самой ткам на задачи т.е. в зависимости от задач которые выполняет свич можно поставить пресет, как его ресурсы будут распределяться. последние две - эти команды показывают насколько загружен свич(ткам) по ACL если available:0 - то полный песец :) Edited August 2, 2007 by ingress Вставить ник Quote
sirmax Posted August 3, 2007 Author Posted August 3, 2007 (edited) >это у вас наверно 12T или 12G - самые жирные по хар-кам из 3550 Cisco WS-C3550-12T (PowerPC) processor (revision N0) with 65526K/8192K bytes of memory. >>а что кажет >>sh sdm prefer access ? Oberon#sh sdm prefer access access template: The selected template optimizes the resources in the switch to support this level of features for 16 routed interfaces and 1K VLANs. number of unicast mac addresses: 2K number of igmp groups: 8K number of qos aces: 2K number of security aces: 4K number of unicast routes: 4K number of multicast routes: 8K Свич маршрутизирует трафик мехжду пользовательскими сегментами.... Если есть дока где почитать - ткните плз носом... а то я вас достану ламерскими вопросами.. upd Звгрузка процессора сейчас не превышает 10%... кол-во правил во всех ACL - 487 Edited August 3, 2007 by sirmax Вставить ник Quote
ingress Posted August 3, 2007 Posted August 3, 2007 поставьте sdm prefer access, если юзерей не больше 2к то будет работать с 4K ACL http://www.cisco.com/en/US/products/hw/swi...080094bc6.shtml Вставить ник Quote
sirmax Posted August 4, 2007 Author Posted August 4, 2007 Более чем исчерпывающий ответ, спасибо! осталось уточнить всего одну деталь Oberon(config)#sdm prefer access extended-match не понятно (в документации не нашел) на что влияет "extended-match" Вставить ник Quote
Susanin Posted August 5, 2007 Posted August 5, 2007 Доков по 3550 уже найти сложно, но на 3560 - число ACE - 1024, на 2960 - 512, 2950 - 300. У 3550 думаю, что 512, но не более 1024 точно. Число строк ACL в ACE не всегда однозначно переводятся, но приблизительно можно из этих цифр исходить. Чуть подправлю - 3560 держит 2k ACE - Коммутаторы Cisco Catalyst. Сравнительная таблица характеристик. Вставить ник Quote
ingress Posted August 8, 2007 Posted August 8, 2007 вот суки, в последнем софте для 3550 убрали Vlan ACL ну какой чёрт их просил трогать то что служило верой и правдой столько лет да ещё какую то ветку подняли древнюю, и фичи не нужные и VLAN ACL нет :( за то для 3560 в последнем софте есть пер-порт пер-влан qos алилуйя братья!!! Вставить ник Quote
sirmax Posted August 9, 2007 Author Posted August 9, 2007 You must use the extended-match keyword to support 144-bit Layer 3 TCAM when WCCP or multi-VRF CE is enabled on the switch. This keyword is not supported on the VLAN template. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.