ACLの設定しすぎでAcl Tcam Fullとなる

 18, 2009 18:42
既に900行程度ACLを設定済のCatalystに、数行ACLを追加したところ
下記のようなログが出力されました。

%ACLMGR-3-ACLTCAMFULL: Acl Tcam Full! Sofware Forwarding packets on Output label 10 on L3

ACLが多すぎてハードウェア処理できないのでソフトウェア処理しますよ、という意味なのだろうなと
思いググったらCiscoのシステムメッセージガイドのページに似たような記述を発見。

http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sw/cat37/ssmg1/chapter02/8551_01_2.shtml
エラー メッセージ ACLMGR-3-ACLTCAMFULL: Acl Tcam Full. Drop packets on Output Acl label [dec] on [chars] [chars].

このメッセージは、Catalyst 3750、3560、2970、および 2960 スイッチに適用されます。

説明 プラットフォーム固有の ACL TCAM テーブルに設定されている ACL が多すぎて処理できません。[dec] はラベル番号、[chars] はレイヤを表します。最初の [chars] はレイヤ 3 用で、2 番めはレイヤ 2 用です。TCAM の 1 つのレイヤのみが満杯の場合は、1 つの文字列のみが表示され、他方はヌルになります。

推奨処置 インターフェイスに適用する IP または MAC(メディア アクセス制御)アクセス リストの数を減らします。


そこでACLを精査して不要なACLを削り、スリムしたら下記のログを出力し問題は解決しました。

%ACLMGR-3-RELOADED: Reloading ACL asic 15 output label 10 feature


根本的に解決するには Switch Database Management(SDM)のテンプレートを変更し
メモリ割り当ての比率を変更するのが一番なんでしょうけれど、
稼働中の機器で実施するのは勇気がいりますね。

COMMENT 0


WHAT'S NEW?