キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

CSC-campaign-v2.JPG

 

ASR9K: ACL resequence 後の rollback に失敗する

311
閲覧回数
0
いいね!
0
コメント

概要

ASR9K シリーズのルータにおいて、ACL の resequence コマンド実施時は TCAM リソースを消費しません。
但し、rollback コマンドによる ACL 切戻し実行時には、その処理のために TCAM リソースを消費します。
上記動作により、空き TCAM リソースの状況によっては、resequence 前の状態への rollback に失敗する場合があります。


RP/0/RSP0/CPU0:ASR9K#show access-lists TEST
Sat Jul 15 11:35:04.115 UTC
ipv4 access-list TEST
10 deny tcp any any eq domain
20 deny tcp any any eq 135
30 deny udp any any eq 135
40 deny tcp any any eq 137
60 deny udp any any eq netbios-dgm
70 deny tcp any any eq 139
80 deny udp any any eq netbios-ss
90 deny tcp any any eq 445
100 deny udp any any eq 445
RP/0/RSP0/CPU0:ASR9K#
RP/0/RSP0/CPU0:ASR9K#resequence access-list ipv4 TEST 10 10
Sat Jul 15 11:35:12.580 UTC
RP/0/RSP0/CPU0:Jul 15 11:35:12.978 : ipv4_acl_act_agent[280]: %MGBL-CONFIG-6-DB_COMMIT : Configuration committed by user 'cisco'. Use 'show configuration commit changes 1000000246' to view the changes.
RP/0/RSP0/CPU0:ASR9K#
RP/0/RSP0/CPU0:ASR9K#configure
Sat Jul 15 11:35:16.186 UTC
RP/0/RSP0/CPU0:ASR9K(config)#load rollback changes 1000000246
Building configuration...
Loading.
253 bytes parsed in 1 sec (252)bytes/sec
RP/0/RSP0/CPU0:ASR9K(config)#show configuration
Sat Jul 15 11:35:26.507 UTC
Building configuration...
!! IOS XR Configuration 5.3.3
ipv4 access-list ten
no 50                                                    <<< -2
60 deny udp any any eq netbios-dgm      <<< +2
70 deny tcp any any eq 139                    <<< +2
80 deny udp any any eq netbios-ss          <<< +2
90 deny tcp any any eq 445                    <<< +2
100 deny udp any any eq 445                 <<< +2
RP/0/RSP0/CPU0:ASR9K#
RP/0/RSP0/CPU0:ASR9904b(config)#commit
Sat Jul 15 11:35:34.297 UTC
System configuration operation in progress: Commit database consolidation.
Please wait or use control-c to cancel this operation......
System configuration operation complete, commit proceeding.
LC/0/0/CPU0:Jul 15 11:35:49.485 : pfilter_ea[292]: %PKT_INFRA-FEA_DLL-3-TCAM_ERR : TCAM tcam insert error: 'prm_server' detected the 'resource not available' condition 'TCAM resource exhausted.'

上記例では、rollback 処理のために 8 TCAM の空き容量が必要となります。
空き容量が足りない場合は上記のように commit することができません。

rollback 実施時は、TCAM の空き容量を十分確保下さい。
rollback 不可となった際は以下のログを取得の上、お問い合わせ下さい。

show prm server tcam summary all all all
show access-lists ipv4 <ACL name> hardware ingress resource-usage location <LC>
show pfilter-ea fea ipv4-acl <ACL name> location <LC>
show pfilter-ea fea acl-hash location <LC>