互联网服务中心 田幼杨

媒介

各位读者在部署数据中心项目时，是否也遇到过类似情况：

在部署数据中心互换机的ACL有关业务时，ACL条款仅部署几条，但互换机还是提醒TCAM资源不及配置无法生效；

数据中心互换机的TCAM模式有好多种，不明显到底应该使用哪种模式，才适合当前的部署环境；

在规划设备业务时，不明显应该思考哪些成分，能力保险不会出现TCAM资源不及的情况。

本文但愿可能援手各位解决以上问题，同时也但愿助力各位深刻理解设备在给ACl分配TCAM资源时的底层逻辑，从而规划好自己数据中心网络的业务，预防出现TCAM资源不及的情况。

TCAM简介

TCAM是数据中心互换机产品上用于存在ACL表项的存储器。凭据ACL利用的地位分歧通常将TCAM资源分VFP ACL TCAM资源、IFP ACL TCAM资源、EFP ACL TCAM资源三种。TCAM上存放ACL表项的最幼单元是Slice，每个Slice凭据容量存放若干的ACL条款。

Single Slice(单宽)与Double Slice(双宽)

一台数据中心互换机每个Slice的位宽长度是固定的（分歧型号互换机Slice位宽略有差距，好比S6510-48VS8CQ每个Slice位宽为160bit）。若是一个业务的位宽没有超过单宽Slice的位宽，那么该业务使用一个Slice进行存储即可，即说该业务使用Single Slice（单宽）；若是一个业务的位宽超过Slice的位宽，那么该业务必要通过将两个相邻Slice（偶数起头）拼接形成位宽更大的Double Slice（双宽）使用，即说该业务使用Double Slice（双宽）。

业务的位宽凭据ACL中ACE涉及到匹配域之和进行推算，所有ACE中涉及的匹配域之和与Slice的位宽进行比力，若是该业务的位宽没有超过单宽Slice的位宽，则该业务使用Single Slice（单宽），反之则使用Double Slice（双宽）。

其中Etype、Port、PortGroup匹配域凭据业务利用必要下发，ACL没有显示感知。

盒式互换机和框式互换机TCAM特点介绍

分歧型号数据中心互换机TCAM资源个性略有分歧，大体分为两类：

盒式互换机TCAM资源分为VFP ACL TCAM资源、IFP ACL TCAM资源、EFP ACL TCAM资源三种，这三种资源是独立分配的不能共享使用。在盒式互换的IFP ACL TCAM资源中，Slice从使用上分歧分为通常Slice和预留Slice两种。通常Slice能够通过两个相邻Slice（偶数起头）拼接形成Double Slice使用，满足更长匹配域的业务；预留Slice不支吃齑接，只能以Single Slice方式存在，并且只能提供给部门业务或部门TCAM模式下有进行规划的业务使用，使用预留Slice的业务只能支持Single Slice（单宽）。对于盒式互换机通常前N个Slice为预留Slice，N蹬宗Slice总数除以3（例如盒式互换机RG-S6510-48VS8CQ互换机的IFP ACL一共12个Slice，预留Slice则一共4个，Slice0-Slice3）。VFP ACL TCAM资源和EFP ACL TCAM资源当前没有预留Slice，全数为通常Slice。

框式互换机TCAM资源分为IFP ACL TCAM资源、EFP ACL TCAM资源两种，与盒式互换机存在分歧的是框式互换机的IFP ACL TCAM资源、EFP ACL TCAM资源两种资源是共享分配的。在框式互换机中，存在两个幼Slice（前两个Slice）为预留Slice，与盒式互换机分歧，该预留Slice能够进行拼接，即该预留Slice能够支持Single Slice（单宽）和Double Slice（双宽）业务，但同样存在使用限度，该预留Slice只能给特定的业务使用。

使用TCAM资源的业务介绍

数据中心互换机支持很多使用ACL的业务，这些使用ACL的业务并不是都使用TCAM资源，好比VTY下挪用的ACL实现设备登录节造职能就不会使用TCAM资源，下表列出了使用TCAM资源的常用业务供各位读者参考。

分歧的业务在使用TCAM资源时是以Slice为维度的。一样业务能够使用统一Slice资源，大部门分歧业务不成使用统一Slice资源，即大无数情况下统一个Slice只能存放一个类型的业务，好比一个Slice已经存放SECURITY业务（接口下使用ACL）的资源，那么它就不能在存放PBR业务（战术路由业务）的资源，PBR业务必须存放在另一个Slice之中，即便存放SECURITY业务的Slice还有空余空间。(部门业务在特定的TCAM模式下进行了整合，整合后的业务能够占用一样的Slice资源，但业务上存在肯定的优先级限度)

以上业务除了CPP业务表其余都是在配置该业务后才会使用TCAM资源。CPP业务通过尺度的QOS差分服务模型实现设备CPU的；，在设备启动后默认开启且不支持关关。故在空配置情况下设备启动后，默认CPP业务已使用TCAM资源。

TCAM运维步骤

数据中心互换机TCAM使用情况查看与分析

在数据中心互换机上能够通过“show acl res”号令查看Slice资源使用情况汇总，蕴含Slice的数量，每个Slice的容量，每个Slice的使用情况及渣滓情况等；通过“show acl res detail”号令可查看Slice资源的具体使用情况，蕴含每个Slice资源是哪个业务使用的、使用的是Single Slice还是Double Slice、业务优先级等信息。

举例：查看盒式互换机(RG-S6510-48VS8CQ)TCAM资源使用情况

通过“show acl res”号令查看盒式互换机RG-S6510-48VS8CQ TCAM资源情况如下：其中VFP ACL TCAM资源上共蕴含4个Slice（Slice 0-Slice 3），每个Slice共256容量，总容量1024；IFP ACL TCAM资源上共蕴含12个Slice（Slice 0-Slice 11），其中4个预留Slice（Slice 0-Slice 3）和8个通常Slice（Slice 4-Slice 11），每个Slice共768容量，总容量共9216；EFP ACL TCAM资源上共蕴含4个Slice（Slice 0-Slice 3），每个Slice共512容量，总容量2048。

通过“show acl res detail”号令查看盒式互换机RG-S6510-48VS8CQ TCAM资源具体使用情况如下：其中IFP ACL TCAM资源上，CPP业务占用一个Double Slice资源，使用Slice 10和Slice 11，SECURITY业务占用一个Single资源，使用Slice 4；在EFP ACL TCAM资源上，SECURITY业务占用一个Single资源，使用Slice 0。

举例：查看框式互换机(RG-N18000-X)TCAM情况

通过“show acl res”号令查看框式互换机RG-N18000-X TCAM资源情况如下：每板卡IFP ACL TCAM和EFP ACL TCAM资源共用，共蕴含14个Slice（Slice 0-Slice 13），其中2个预留Slice（Slice 0-Slice 1），每个Slice共128容量，12个通常Slice（Slice 2-Slice 13），每个Slice共2048容量，总容量共24832。

通过“show acl res detail”号令查看框式互换机RG-N18000-X TCAM资源具体使用情况如下：CPP业务占用一个Double Slice资源，使用预留Slice空间Slice 0和Slice 1，CPP(v6)业务占用一个Double Slice资源，使用Slice 10和Slice 11，SECURITY(v6)业务占用一个Double Slice资源，使用Slice 12和Slice 13。

数据中心互换机TCAM模式查看与调整

上文中提到大部门分歧业务不成使用统一Slice资源，数据中心互换机出厂TCAM模式为默认模式，在该模式下TCAM业务通常不会进行整合，分歧业务不成使用在统一Slice资源，该模式下一个业务至少使用1个到2个Slice资源。TCAM模式提供了一种机造能够凭据分歧场景选择相应的TCAM工作模式来让该场景下的部门业务能够使用统一Slice资源或者使用预留Slice资源，削减部门职能的Slice使用，从而增长可用的Slice资源。好比部门型号互换机ACL-MAX模式下，SECURITY业务和SECURITY-COUNT业务进行了整合，可使用统一Slice资源。

在数据中心互换机上能够通过“show tcam-mode status”号令查看设备运行的TCAM工作模式，查看蕴含当前设备运行的TCAM模式及设备沉启后下一次运行时TCAM模式。若是必要调整设备的TCAM模式，能够通过“tcam-mode acl-max/acl-slices-all/vxlan/vxlan-hash/acl-default-vxlan-hash”号令调整，必要把稳调整TCAM模式后必要保留配置整机沉启后才会生效。

TCAM利用与实际

TCAM资源评估建议

数据中心互换机TCAM资源评估成分：

Slice资源评估：在评估Slice资源时，除了必要评估Slice容量是否满足ACL条款，更必要关注的是Slice的数量能否满足业务的数量。上文提到大无数情况下统一个Slice只能存放一个类型的业务，现实使用过程中Slice容量还有空余但没有新的齐全的Slice给新的业务使用，这种情况是最容易造成TCAM资源不及的情况，请各位读者沉点关注。

KEY资源评估：KEY是设备内部的一个处置引擎，用于给必要TCAM资源的业务分配TCAM资源。盒式互换机无需单独评估KEY资源，只必要评估Slice资源即可，Slice资源满足KEY资源也满足？蚴交セ换谄拦繱lice资源后，必要单独评估KEY资源。（DUNE系列芯片的互换机必要评估KEY资源，12.X存在DUNE系列芯片的盒式互换机)

数据中心互换机TCAM资源评估步骤：

评估Slice容量是否满足ACL条款数：

因ACL中ACE配置的多样性，分歧ACE所使用的Slice容量分歧，无法通过推算得出，若是使用的ACL的ACE数量较多，建议将部署的业务配置到现实使用的数据中心互换机型号中进行验证，判断Slice容量是否满足ACL条款数。

评估Slice的数量能否满足业务所需的数量：

首先通过上幼节所述业务的位宽与Slice的位宽进行对比的步骤，评估使用的每项业务必要使用Single Slice还是Double Slice；其次将所有业务使用的Slice相加得到“业务必要使用的Slice总数量”；最后依照如下表格评估Slice的数量能否满足业务所需的数量。

在推算“业务必要使用的总Slice数量”时必要把稳，IPv4场景下设备默认CPP业务使用Slice资源必要推算进去；IPv4和IPv6双栈场景下，设备默认CPP业务和CPP(v6)业务使用Slice资源必要推算进去。

评估KEY资源是否满足需要：

盒式互换机无需单独评估KEY资源，只必要评估Slice资源即可。本幼节只针对框式互换机，在评估KEY资源时，参照下表KEY资源数量，将一个KEY资源当作一个Slice依照上幼节“评估Slice的数量能否满足业务所需的数量”的步骤进行评估。通常在IPv4/IPv6双栈的场景，若是出现KEY资源不及的情况，可调整TCAM模式为ACL-MAX模式，ACL-MAX模式下IPv4 KEY资源和IPv6 KEY资源单独分配，可增大可用KEY资源。

TCAM资源不及案例分享

本幼节将结合以上的内容给各人分享两个“TCAM资源不及的真实案例”援手各人更好的理解设备在给ACL分配TCAM资源时的底层逻辑。在出现TCAM资源不实时，建议读者先凭据业务场景尝试调整TCAM模式，调整TCAM模式后设备将自动整合该场景下常用业务的TCAM资源，调整后观察能否满足新业务TCAM资源的需要。若是调整TCAM模式后依然存在TCAM资源不及的情况，建议整合目前使用的TCAM业务，进行肯定的调整或者删除。

举例：盒式互换机(RG-S6510-48VS8CQ)Slice资源不及案例

在IPv4场景下的一台RG-S6510-48VS8CQ上部署了如下图所示的TCAM业务：

业务部署实现后在设备上查看TCAM资源的使用情况如下，IFP ACL TCAM资源共12个Slice蕴含4个预留Slice和8个通常Slice，目前已使用1个预留Slice和6个通常Slice。EFP ACL TCAM资源共4个Slice，目前已使用3个Slice。

业务使用Slice具体情况如下图所示，对于IFP ACL TCAM资源：QOS业务、PBR业务、PBM业务、SECURITY-COUNT业务均为Single Slice别离使用一个Slice；SECURITY业务和SECURITY-GBL业务共用一个Slice一共使用一个Slice；CPP业务为Double Slice使用两个Slice。对于EFP ACL TCAM资源：SECURITY业务、SECURITY-COUNT业务、QOS-CAR业务均为Single Slice别离使用一个Slice。

在以上业务基础上，因业务必要该设备必要开启IPv6职能并部署IPv6的接口ACL职能，具体部署职能如下：

在开启IPv6职能后默认CPP(v6)业务将使用Double Slice IFP ACL TCAM资源，预计将使用通常Slice 8和Slice 9，接下来配置IPv6接口ACL业务，在接口下挪用IN方向和OUT方向的ACL时，设备都将出现TCAM资源不及情况。由于此时IFP ACL TCAM还渣滓3个预留Slice资源，SECURITY(v6)业务为Double Slice无法使用预留Slice资源；EFP ACL TCAM目前渣滓1个Slice资源，SECURITY(v6)业务为Double Slice必要使用2个Slice资源，所以IFP ACL TCAM和EFP ACL TCAM都将Slice资源不及。

本设备正本使用IPv4单栈，在开启IPv6职能部署双栈后出现TCAM资源不及的情况，查看上文中整顿的各场景推荐部署的TCAM模式，在IPv4/IPv6双栈场景下推荐使用ACL-MAX模式，批改设备TCAM模式后进行沉启。沉启后设备已运行在ACL-MAX模式下，此时再次开启IPv6职能并部署IPv6的接口ACL职能，未在出现TCAM资源不及的情况，此时查看设备的TCAM资源情况如图所示，CPP(v6)业务和SECURITY(v6)业务已正常使用TCAM资源。

此时业务使用Slice具体情况如下图所示，对于IFP ACL TCAM资源：QOS业务、CPP(v6)业务、PBM业务、PBR业务均为Single Slice别离使用一个Slice；SECURITY业务、SECURITY-GBL业务和SECURITY-COUNT业务共用一个Slice一共使用一个Slice；SECURITY(v6)业务和CPP业务为Double Slice别离使用两个Slice。对于EFP ACL TCAM资源：QOS-CAR业务为Single Slice使用一个Slice；SECURITY业务和SECURITY-COUNT业务共用一个Slice一共使用一个Slice；SECURITY(v6)业务为Double Slice使用两个Slice。

举例：框式互换机(RG-N18000-X)KEY资源不及案例

在IPv4/IPv6双栈场景下的一台RG-N18000-X上部署了如下TCAM业务：

业务部署实现后在设备上查看TCAM资源的使用情况如下，IFP ACL TCAM和EFP ACL TCAM资源共用14个Slice资源，蕴含2个预留Slice和12个通常Slice，目前已使用2个预留Slice和5个通常Slice？蚴交セ换似拦繱lice资源还必要评估KEY资源使用情况，此时IFP ACL TCAM KEY资源共7个，已使用7个；EFP ACL TCAM KEY资源共2个，已使用0个。

在以上业务基础上，该设备新增IPv4的ERSPAN的职能，具体部署职能如下：

在配置IPv4的ERSPAN的职能时，设备将出现TCAM资源不及的情况。由于此时设备的Slice资源是充足的，但在DEFAULT模式下IFP ACL TCAM的KEY一共7个，在新增ERSPAN配置时无有余的KEY资源可用，所以IFP ACL TCAM出现KEY资源不及的情况。

通常在IPv4/IPv6双栈的场景，若是出现KEY资源不及的情况，可调整TCAM模式为ACL-MAX模式，ACL-MAX模式下IFP ACL TCAM的KEY资源IPv4 和IPv6是单独分配，可增大可用KEY资源。批改TCAM模式并沉启后设备已运行在ACL-MAX模式下，此时在开启IPv4的ERSPAN的业务后，未在出现TCAM不及的情况，此时查看设备的TCAM资源情况如下图所示，PBM业务已正常使用TCAM资源。

总结

本文共三篇章七个幼节，从TCAM简介、TCAM运维步骤和TCAM利用与实际三个方面为读者介绍了iSlot官方网站数据中心互换机ACL业务TCAM资源的评估步骤。本文介绍理论合用于大部门数据中心互换机，分歧型号设备存在肯定差距，因篇幅原因不能八面玲珑请各位读者原谅。故在评估TCAM资源使用情况时，作者强烈建议肯定要将部署的业务配置到现实使用的数据中心互换机型号中进行验证，以最终验证了局为准。