Comprendre et configurer le Switching Database Manager Cisco Catalyst 3550 - Comprendre et configurer le Switching Database Manager ccnp_cch

• Présentation du Switching Database Manager Sommaire • Introduction - Composants utilisés • Présentation du Switching Database Manager • Architecture • Modèles de Switching Database Manager • Epuisement des ressources - Algorithme de fusion • Exemple de configuration de Switching Database Manager • Résolution de problèmes - Je ne peux pas configurer le routage IP en utilisant une image logiciel couche 3. - %FM-3-UNLOADING:unloading label 1 feature ccnp_cch

Introduction Ce document fournit une vue générale du Switching Database Manager (SDM) sur les commutateurs de couche 3 Catalyst 3550. Il fournit également quelques exem- ples de configuration de SDM et des conseils pour la résolution de problèmes basés sur des déploiements courants. Le SDM est implémenté dans toutes les versions d'IOS Cisco pour le Catalyst 3550. Composants utilisés Les informations de ce document sont basées sur la version logicielle Cisco IOS Re- lease 12.1(9)EA1. Présentation générale de Switching Database Manager Le SDM dans les commutateurs de couche 3 Catalyst 3550 gère les informations de commutation de couche 2 et couche 3 qui sont contenues dans la Ternary Content Addressable Memory (TCAM). La TCAM est utilisée pour acheminer les recherches. La TCAM est une partie spécialisée de la mémoire conçue pour des recherches rapi- des dans la table par le moteur des ACLs (Access Control List) sur le commutateur Catalyst 3550. Le moteur des ACLs réalise des recherches basées sur les paquets passant par le commutateur. Le résultat de la recherche par le moteur des ACLs dans la TCAM détermine comment le commutateur gère un paquet. Par exemple, le paquet pourrait être permis ou refusé. La TCAM a un nombre limité d'entrées qui sont remplies avec des valeurs de masque et des valeurs de motifs. Il y a un masque pour huit entrées dans la TCAM. Le problème principal des utilisateurs auquel ils font face quand ils configurent les ACLs sur les commutateurs Catalyst 3550 sont la contention et l'épuisement de res- sources. Comme les commutateurs Catalyst 3550 ont plusieurs types d'ACLs implan- tés dans le matériel plutôt que dans le logiciel, les programmes implémentés dans le matériel du commutateur recherchent dans les tables et les registres matériels du sous-système TCAM. Quand un paquet arrive, le commutateur peut réaliser une re- cherche matérielle dans la table et prendre l'action appropriée. Architecture Le commutateur Catalyst 3550 utilise un sous-système TCAM qui est partagé entre les entrées d'acheminement L2 et L3. Les Router Access Control Lists (RACLs), VLAN Access Control Lists (VACLs) et Quality of Service (QoS) ACLs. Selon le type de com- mutateur Catalyst 3550, il y a un ou trois sous-systèmes TCAM. Le tableau page sui- vante liste les différents types de commutateurs Catalyst 3550 et les sous-systèmes associés. ccnp_cch

Commutateur Nombre de sous-systèmes TCAM par commutateur Notes Catalyst 3550-24 1 Toutes les interfaces utilisent le sous-système TCAM N°1 Catalyst 3550-48 2 Les interfaces FastEthernet 1-36 utilisent le sous-sytème TCAM N°1. Les autres interfaces FastEthernet 37 à 48 et les Gigabit Ethernet 1-2 utilisent le sous-système TCAM N°2. Catalyst 3550-12T 3 Les interfaces 1-4 utilisent le sous- système TCAM N°1, les interfaces 5-8 utilisent le sous-système TCAM N°2 et les interfaces 9-12 utilisent le sous-système TCAM N°3. Catalyst 3550-12G Selon le type d'entrée, seul un ou tous les sous-systèmes TCAM ont une copie de l'entrée. Par exemple, toutes les entrées sécurité (VACLs et RACLs) et les entrées L2 sont stockées dans tous les sous-systèmes TCAM sur le commutateur Catalyst 3550. Toutefois, les QoS ACLs sont uniquement programmées dans le sous-système TCAM auquel l'interface est attachée. Voici le schéma d'affectation de la TCAM. Apprentissage de couche 2 ● La partie apprentissage de couche 2 garde les informations au sujet des politiques d'apprentissage de port. Par exemple les ports d'accès de type normal, sécurisé ou VLAN dynami- que ont chacun une politique d'apprentissage différente. ● La partie Acheminement Couche 2 garde les informations sur les adresses unicast et multicast apprises. ● La partie Routage couche 3 est utilisée pour les recherches de routes unicast et multicast. ● Les tables des ACLs et QoS gardent les informations pour l'identification du trafic selon les ACLs de sécurité et de QoS. Table des ACLs Routage couche 3 Table QoS Acheminement Couche 2 ccnp_cch

Modèles Switch Database Manager Comme le commutateur Catalyst 3550 peut être utilisé dans différentes applications, la flexibilité dans l'allocation de ressource dans les sous-systèmes TCAM est vitale. A cette fin, il y a des modèles Siwtch Database Manager prédéfinis basés sur l'IOS Cisco Release 12.1(8) EA1; il est recommandé que tous les Catalyst 3550 soient mis à niveau avec cette Release ou une plus récente. Ressource Défaut Accès Routage VLAN ACEs QoS 2K 1K ACEs Sécurité 4K MAC Unicast 6K 12K VLANs Groupes IGMP 8K Routes Unicast 24K Routes Multicast SVI 16 Modèles SDM pour Catalyst 3550-12G et Catalyst 3550-12T Ressource Défaut Accès Routage VLAN ACEs QoS 1K 2K 0,5K ACEs Sécurité MAC Unicast 5K 8K VLANs Groupes IGMP Routes Unicast 16K Routes Multicast SVI 8 Modèles SDM pour Catalyst 3550-24 et Catalyst 3550-48 ccnp_cch

Notes: ● Tous les modèles sont prédéfinis. Il n'y a pas moyen d'éditer un modèle. ● Le redémarrage d'un commutateur est requis pour utiliser un nouveau modèle SDM. ● L'algorithme de fusion d'ACL à l'opposé des Access Control Entries (ACE) configu- rées par l'utilisateur génère un nombre d'entrées de TCAM listé pour les ACEs de sécurité et de QoS. ● Le nombre de SVI (Switched Virtual Interface) qui est le nombre d'interfaces rou- tées est le nombre recommandé pour chaque plateforme. Le logiciel ne limite pas le nombre de ports SVI mais si le nombre de ports croit, les ressources disponi- bles diminuent. ● Choisir le modèle VLAN dévalide le routage (Le nombre d'entrées pour les routes unicast et multicast est nul). Un SVI représente un VLAN de ports du commutateur comme une interface pour la fonction de routage ou de pont dans le système. Un seul SVI peut être associé avec un VLAN toutefois vous avez besoin de configurer un SVI pour un VLAN seulement quand vous voulez router entre VLANs, des protocoles non routables entre VLANs et pour fournir une connectivité de type host à un commutateur. Par défaut, une SVI est créée pour le VLAN par défaut (VLAN1) pour permettre la gestion à distance du commutateur. Des SVIs additionnels doivent être configurés explicitement. En mode L2, les SVIs fournissent une connectivité de type host uniquement pour le système. En mode L3 vous pouvez configurer le routage au travers des SVIs. Epuisement des ressources Les différentes ressources dans les sous-système TCAM sont limitées. Selon la confi- guration du réseau et du Catalyst 3550, ces ressources peuvent s'épuiser. Si cela se produit, il peut se passer ceci: ● Pour l'acheminement L2 et l'apprentissage, une nouvelle adresse apprise est diffu- sée à tous les ports dans le VLAN en entrée. Ceci est cohérent avec le fonctionne- ment d'un port quand la table d'acheminement est pleine. Le Catalyst 3550 n'a pas l'option d'un port réseau "drain" pour dévalider l'apprentissage sur des inter- faces spécifiques. ● Pour le routage couche 3, toutes les routes L3 unicast ou multicast sont apprises dans le logiciel et ne sont pas écrites dans la TCAM. Le résultat est un achemine- ment plus lent, basé sur le logiciel, des paquets entre VLANs. Le Catalyst 3550 peut stocker un très grand nombre de routes L3 dans le logiciel par rapport au modèle SDM mais il n'est pas recommandé car les performances diminuent et l'utilisation CPU est intensive. Parce que le Catalyst 3550 autorise une seule recherche ACL en entrée et en sortie, par sécurité les ACLs, les VACLs et RACLs doivent être fusionnées en une seule ACL compilée dans la TCAM. La séquence suivante est exécutée: ● Si la RACL et une VACL sont fusionnées et compilées dans la TCAM, le compila- teur essaie d'en faire entrer une dans la TCAM. ccnp_cch

● Si la fusion échoue, le Catalyst 3550 tente de faire entrer la VACL et une RACL simplifiée dans la TCAM qui transmet essentiellement tous les paquets routés vers la CPU où ils vont être filtrés. ● Si la RACL ou la VACL est compilée dans la TCAM et ne peut pas entrer, la RACL ou la VACL entière est déchargée du hardware. Tout le traitement est fait par le logiciel. Si ni la RACL ni la VACL ne peut entrer dans la TCAM, les deux sont traitées par le logiciel. ● Si une ACL QoS (IP ACL ou MAC ACL) est compilée dans la TCAM et n'entre pas, l'ACL QoS entière est déchargée du matériel. Tout le traitement sera fait par le lo- giciel. Algorithmes de fusion Les entrées de la TCAM sont transformées du type ordre-dépendant des ACEs en li- gne de commande en entrées de type ordre-indépendant qui sont organisées pour retourner un accès avec succès basé sur la correspondance la plus longue avec le premier succès retournant le résultat. Deux algorithmes de fusion sont disponibles: odre-dépendant et ordre-indépendant. L'IOS Cisco releases antérieures à 12.1(9)EA1 utilisent l'algorithme ordre-indépen- dant. L'IOS Cisco release 12.1(9)EA1 est suivantes utilisent l'algorithme de fusion ordre-dépendant. Cet algorithme n'amène pas de grandes différences de fonctionne- ment pour les configurations utilisant l'ancien algorithme qui entre dans le maté- riel. Cependant plusieurs configurations qui ne pouvaient pas entrer dans le maté- riel précédemment entrent maintenant dans celui-ci grâce à un nouvel algorithme de fusion. Cet algorithme est validé par défaut et n'est pas configurable. ccnp_cch

Exemples de configurations de Switching Database Manager Pour vérifier le modèle SDM courant, exécutez la commande show sdm prefer. 3550−12T# sh sdm prefer The current template is default template. The selected template optimizes the resources in the switch to support this level of features for 16 routed interfaces and 1K VLANs. number of unicast mac addresses: 6K number of igmp groups: 6K number of qos aces: 2K number of security aces: 2K number of unicast routes: 12K number of multicast routes: 6K 3550−12T# sh sdm prefer vlan vlan template: number of unicast mac addresses: 12K number of unicast routes: 0 number of multicast routes: 0 Note: Aucun espace n'est réservé pour les entrées multicast et unicast. 3550−12T# conf t Enter configuration commands, one per line. End with CNTL/Z. 3550−12T(config)# sdm prefer vlan Changes to the running SDM preferences have been stored, but cannot take effect until the next reload. Issue show sdm prefer to see what SDM preference is currently active. Note: Faites attention quand vous utilisez la commande sdm prefer vlan car toute configuration courante de couche 3 n'est pas sauvegardée après un redémarrage. 3550−12T# copy running−config startup−config 3550−12T# reload Le modèle SDM VLAN peut facilement être reconnu en utilisant la commande show version et en regardant la sortie après le redémarrage. 3550−12T# show version [Partie omise] Running Layer2 Switching Only Image ccnp_cch

Résolution de problèmes Le nouveau modèle SDM est VLAN. 3550−12T# sh sdm prefer The current template is vlan template. [Partie omise] Résolution de problèmes Je ne peux pas configurer le routage IP en utilisant une image de couche 3 Voici ce qui peut arriver si vous voulez essayer de configurer le routage IP sur un commutateur Catalyst 3550. 3550−12T# Enter configuration commands, one per line. End with CNTL/Z. 3550−12T(config)# ip routing ^ % Invalid input detected at '^' marker. 3550−12T(config)# router ospf 1 Les résultats des sorties des commandes montrés ci-dessus sont peut-être dus au fait que vous utilisez un modèle SDM VLAN lequel n'autorise aucune entrée de rou- tage unicast et multicast. Dans ce cas choisissez un autre modèle SDM et redémar- rez le commutateur. %FM-3-UNLOADING: Unloading ouput label 1 feature La raison probable de ce message est qu'une ACL, après optimisation par l'algorith- me de fusion TCAM, requiert plus de ressources que celles disponibles pour le ma- tériel donné. Pour déterminer le niveau de remplissage d'une région dans un sous-système TCAM particulier, exécutez la commande show tcam [inacl|autacl|qos] cam-number sta- tistics. Pour identifier le numéro de sous-système TCAM utilisé, référez-vous à la première table de ce document. 3550−12T# sh tcam inacl 1 statistics Ingress ACL TCAM#1: Number of active labels: 3 Ingress ACL TCAM#1: Number of masks allocated: 14, available: 810 Ingress ACL TCAM#1: Number of entries allocated: 17, available: 6575 ccnp_cch

Pour trouver le label VLAN ou le label de port utilisé pour la configuration de l'inter- face ou du VLAN, exécutez la commande show fm interface name ou show fm vlan id. 3550−12T# show fm interface gi 0/1 Input VLAN Label: 1 Output VLAN Label: 1 Priority: normal 3550−12T# Pour trouver combien d'espace TCAM est alloué à ce label, exécutez la commande show tcam [inacl | outacl] cam_number [vlan−label | port−label] number. 3550−12T# show tcam inacl 1 vlan−labels 1 Label Value : 8193(vlan label 1) Number of entries : 19 [Partie supprimée] Note: Le mot-clé port-label est utilisé pour déterminer le label PACL (Port-based Access List). Le label VLAN est utilisé pour RACL et VACL. Solution: Si l'ACL utilise trop d'espace, les solutions sont les suivantes 1. Optimisez la liste d'accès comme suit: - Retirez toutes les entrées utilisées uniquement pour syslog. - Retirez toutes les entrées qui pourraient être faites par un deny explicite en fin de liste. 2. Utilisez un modèle SDM qui autorise plus d'entrées pour une région spécifique. 3. Mettre à niveau avec l'IOS Cisco release 12.1(9)EA1 ou suivantes qui utilise un algorithme de fusion plus performant. Si le problème persiste, collectez les informations avec les commandes suivantes et contactez votre support technique Cisco. ● show tech−support ● show sdm prefer ● show fm {interface | vlan} name ● show fm {vlan−label | port−label} number ● show l2tcam ● show l3tcam ● show tcam {inacl | outacl | qos} {tcam number} statistics ccnp_cch