gigacampus » start page » ipv6_access_list_problem

IPv6 access-lister og høy CPU på Cisco 6509 (med SUP720)

Takk til NTNU for hjelp til dokumentering av dette problemet.

Problemet vårt var relatert til L4 access-lister hvor vi bruker UDP eller TCP port. SUP720 har kun støtte i TCAM for 128bit til ipv6 adresse og port. Siden ipv6-adressen bruker 128bit så er det ikke plass til portdata.

Det fins en løsning for dette ved hjelp av “compress ipv6 address”.

Det gjøres ved å kjøre:

mls ipv6 acl compress address unicast

Det som skjer er at en fjerner 16bit av IPv6 adressen og i flere tilfeller så er det mulig uten å ødelegge adressen.

* EUI-64 based on MAC address


This address is compressed by removing 16 bits from bit locations [39:24]. No information is lost when the hardware compresses these addresses.

* Embedded IPv4 address


This address is compressed by removing the upper 16 bits. No information is lost when the hardware compresses these addresses.

* Link Local


These addresses are compressed by removing the zeros in bits [95:80] and are identified using the same packet type as the embedded IPv4 address. No information is lost when the hardware compresses these addresses.

* Others


If the IPv6 address does not fall into any of the above categories, it is classified as other. If the IPv6 address is classified as other, the following occurs:

•If the compress mode is on, the IPv6 address is compressed similarly to the EUI-64 compression method (removal of bits [39:24]) to allow for the Layer 4 port information to be used as part of the key used to look up the QoS TCAM, but Layer 3 information is lost.

•If the global compression mode is off, the entire 128 bits of the IPv6 address are used. The Layer 4 port information cannot be included in the key to look up the QoS TCAM because of the size constraints on the IPv6 lookup key.

En kan disable denne funksjonen igjen med kommandoen:

no mls ipv6 acl compress address unicast

En nyttig show kommando for å se access-listen i tcam er:

show tcam interface vlan 23 acl out ipv6

Siden det hender at vi har host basert access-liste hvor bit 24-39 er i bruk så har vi ikke bestemt oss for om vi skal implementere denne løsningen eller ikke.

Det vi heller ikke har kartlagt enda er om SUP2T og N7k har de samme problemene med for små tcam felt for ip-adresse og port.

 
 
gigacampus/ipv6_access_list_problem.txt · Last modified: 2012/09/12 09:39 by gunnarb@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups