Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

了解 FIP 侦听、FBF 和 MVR 过滤器的可扩展性

VLAN 过滤器处理器 (VFP) 三元内容可寻址内存 (TCAM) 存储三种类型的 VLAN 过滤器配置:

  • 以太网光纤通道 (FCoE) 初始化协议 (FIP) 侦听 — FIP 侦听过滤器可防止 FCoE 设备在未经授权的情况下访问光纤通道 (FC) 存储设备或其他 FCoE 设备。

    • VN2VF_Port FIP 侦听过滤器可防止 FCoE 设备在未经授权的情况下访问 FC 网络上的设备。

    • VN2VN_Port FIP 侦听过滤器可防止 FCoE 设备通过独立交换机或 QFabric 系统直接在未经授权的情况下访问其他 FCoE 设备,而无需遍历 FC 网络。

    VFP TCAM 存储VN2VF_Port和VN2VN_Port FIP 侦听过滤器,当您在传输 FCoE 流量的 VLAN 上启用 FIP 侦听时,交换机会自动创建这些过滤器。有关更多信息,请参阅 了解VN_Port在 FCoE 中继交换机上VF_Port FIP 侦听了解VN_Port在 FCoE 中继交换机上VN_Port FIP 侦听

  • 基于过滤器的转发 (FBF) — FBF 使您能够使用防火墙过滤器将数据包定向到虚拟路由实例。然后,交换机会根据路由实例的配置转发匹配的数据包。VFP TCAM 存储为 FBF 过滤器配置的术语。有关更多信息 ,请参阅了解基于过滤器的转发

  • 组播 VLAN 注册 (MVR) — MVR 使您能够配置跨第 2 层网络共享的组播源 VLAN (MVLAN)。MVLAN 跨不同的 VLAN 分配 IPTV 组播流,而无需为每个 VLAN 创建单独的组播流,也不会影响不同 VLAN 中的安全性和流量分离。VFP TCAM 存储您为 MVLAN 配置的 MVR 规则。有关更多信息 ,请参阅了解组播 VLAN 注册

FIP 侦听过滤器、FBF 过滤器和 MVR 规则共享 VFP TCAM 内存空间。在大多数用例中,VFP TCAM 内存足以存储所有三个应用程序的过滤条件和信息。

VFP TCAM 架构和分配

当数据包到达入口接口时,VFP TCAM 是数据包管道中的第一个 TCAM。VFP TCAM 总共存储 1024 个条目。1024 个条目被划分为四个等量 切片, 共 256 个条目。

VFP TCAM 将条目分配给 256 个条目切片中的三种过滤器类型(FIP 侦听过滤器、FBF 过滤条件和 MVR 规则)。VFP TCAM 会根据需要动态分配存储特定过滤器类型的过滤器所需的最小内存切片数量。

TCAM 不会将部分切片分配给过滤器类型,也不能在过滤器类型之间共享切片。在任何给定时间,每个切片都包含一个且仅一个过滤器类型的条目。

例如,如果配置一个 MVR 规则,则系统将整个切片分配给 MVR 规则,即使 MVR 规则仅使用一个 TCAM 条目也是如此。分配给 MVR 规则的切片中剩余 256 个条目可以存储后续配置的 MVR 规则,但不能存储 FIP 侦听或 FBF 过滤器。同样,如果 FIP 侦听过滤器占用 256 个条目的切片中的 50 个条目,则 FIP 侦听切片中的剩余 206 个条目仅可用于存储更多 FIP 侦听过滤器,而不是用于存储 FBF 过滤条件或 MVR 规则。

只有当该过滤器类型至少配置了一个过滤器或规则时,VFP TCAM 才会将切片分配给过滤器类型。如果某个过滤器类型不存在过滤器,则 VFP TCAM 不会为该过滤器类型分配切片。

注意:

VFP TCAM 拒绝部分过滤器。例如,如果 FBF 过滤器包含六个术语,但 TCAM 中只有四个术语的空间,则不会提交整个过滤器。

每种过滤器类型都可以从零个切片使用到 VFP TCAM 空间的所有四个切片。但是,如果一个过滤器类型使用三个切片,则只保留一个切片,因此只有另一个过滤器类型可以使用剩余的切片。在这种情况下,如果为所有三种过滤器类型配置过滤器,则配置的最后一个过滤器类型不会为其过滤器条目接收任何 TCAM 空间。未接收 TCAM 入口空间的过滤器不会实施。

VFP TCAM 入口消耗

用于VN2VF_Port和VN2VN_Port FIP 侦听、FBF 过滤器和 MVR 规则的过滤器会以不同方式占用 VFP TCAM 入口空间。

注意:

一个 FCoE VLAN 无法同时支持VN2VF_Port流量和VN2VN_Port流量。为VN2VF_Port流量和VN2VN_Port流量配置单独的 FCoE VLAN。

VN2VF_Port FIP 侦听过滤器 VFP TCAM 消耗

交换机使用一种算法,允许 VFP TCAM 的一个 256 个条目切片存储最大可能数量的 VN2VF_Port FIP 侦听过滤器(2500 个过滤器)。VN2VF_Port FIP 侦听过滤器不会占用多个 VFP TCAM 切片。

无论存在一个VN2VF_Port FIP 侦听会话,还是有 2500 个VN2VF_Port FIP 侦听会话,VN2VF_Port FIP 侦听过滤器都占用一个 VFP TCAM 切片。(如果没有VN2VF_Port或VN2VN_Port FIP 侦听会话,则 TCAM 不会为 FIP 侦听过滤器分配切片。)

VN2VN_Port FIP 侦听过滤器 VFP TCAM 消耗

VN2VN_Port FIP 侦听过滤器为每个VN2VN_Port会话占用一个 VFP TCAM 条目。每台交换机的最大 VN2VN_Port FIP 侦听会话数为 376 个会话。(如果配置将VN2VN_Port FIP 侦听流量作为可信接口的接口,交换机不会对可信接口应用过滤器。)

由于交换机最多可同时运行 376 个VN2VN_Port会话,每个会话占用一个条目,因此VN2VN_Port FIP 侦听过滤器会占用 VFP TCAM 空间,如下所示:

  • 1–256 个过滤器占用一个切片

  • 257–376 个过滤器占用两个切片

FBF 过滤器 VFP TCAM 消耗

每个 FBF 过滤器术语都是双宽的,因此每个 FBF 过滤术语在 VFP TCAM 中占用两个条目。一个 256 条目的切片最多可包含 128 个 FBF 过滤条件。FBF 过滤器占用 VFP TCAM 空间,如下所示:

  • 1–128 个条目占用一个切片

  • 129–256 个条目占用两个切片

  • 257–384 个条目占用三个切片

  • 385–512 个条目占用四个切片

    注意:

    实际上,FBF 过滤器只能占用三个 VFP TCAM 切片,因为 FBF 过滤器也会同时存储在入口过滤器处理器 (IFP) TCAM 中,而且 IFP TCAM 只能存储 384 个 FBF 过滤条件(768 个条目或 3 个 TCAM 切片)。

例如,如果您配置了包含 200 个术语的 FBF 过滤器,则 FBF 过滤器需要 400 个 VFP TCAM 条目,并使用 2 个切片。

FBF 过滤器条目同时存储在 VFP TCAM 和 IFP TCAM 中。IFP TCAM 最多只能包含 768 个条目,比 VFP TCAM 少 256 个条目(1 个切片)。与 VFP TCAM 一样,FBF 过滤器每个过滤器会占用两个 IFP TCAM 条目。除了 FBF 过滤条件外,IFP TCAM 还存储防火墙过滤器的过滤器条目。

谨慎:

VFP TCAM IFP TCAM 中必须有足够的空间用于 FBF 过滤器条目。如果两个 TCAM 都没有足够的空间来容纳 FBF 过滤器,交换机会拒绝它无法存储的配置部分,并发送一条系统日志消息来通知您。

例如,如果您配置了具有 400 个术语的 FBF 过滤器,即使 VFP TCAM 有足够的空间来存储产生的 800 个条目,交换机也会拒绝部分配置,因为 IFP TCAM 最多只能存储 768 个条目。如果 IFP TCAM 未存储其他过滤器条目,交换机将拒绝 32 个 FBF 过滤器条目。

在另一个示例中,如果配置的防火墙过滤器共包含 200 个术语,从而占用 IFP TCAM 中的 200 个条目,然后配置总共有 300 个术语的 FBF 过滤器,交换机将拒绝部分配置,因为 FBF 过滤器需要 600 个条目。加上防火墙过滤器所需的 200 个条目,800 个条目的总数量超过了 IFP TCAM 可以存储的最多 768 个条目。在这种情况下,交换机接受前 768 个条目并拒绝其余过滤器条目。交换机会按提交顺序安装过滤器条目;被拒绝的条目是交换机在 TCAM 空间耗尽后尝试提交的最后一个条目。

IFP TCAM 的 768 个条目限制意味着 FBF 过滤条件的真正最大数量为 384 个术语,即使 VFP TCAM 最多可存储 512 个 FBF 术语。

注意:

对于 EX4400,FBF 过滤器会占用 VFP TCAM 空间,如下所示:

  • FBF 的 VFP TCAM 有 4 个切片。

  • FBF 的 VFP TCAM 单维规模限制为 1024 个条目。

  • FBF 的 VFP TCAM 单维规模限制由以下方程表示,该方程最多可容纳 1024 个条目:

    过滤器× L3 接口绑定所需的 TCAM 条目总数 = 最多 1024 个条目

MVR 过滤器 VFP TCAM 消耗

每个 MVR 规则都会占用 VFP TCAM 中的一个条目,因此 MVR 规则会占用 VFP TCAM 空间,如下所示:

  • 1–256 个规则使用一个切片

  • 257–512 规则占用两个切片

  • 513–758 规则占用三个切片

  • 759–1024 规则使用四个切片

VFP TCAM 消耗汇总表

表 1 汇总了 VFP TCAM 消耗。

注意:

FBF 过滤器同时存储在 VFP TCAM 和 IFP TCAM 中。由于 IFP TCAM 限制为 768 个条目(384 个 FBF 过滤器),比 VFP TCAM 少 256 个条目,因此 FBF 过滤器的有效 VFP TCAM 消耗限制低于 VFP TCAM 入口空间总量,即使没有其他过滤器占用 VFP TCAM 空间。

表 1:VFP TCAM 条目消耗摘要

过滤器类型

VPF TCAM 入口消耗

消耗的最大 VFP TCAM 切片数

其他限制

VN2VF_Port FIP 侦听过滤器

从不占用多个切片

一个切片(无论会话数量如何)

最大 2500 个会话

VN2VN_Port FIP 侦听过滤器

每个会话一个条目

最大 376 个会话

FBF 过滤器

每个过滤器两个条目

三个(由于 IFP TCAM 限制)

384 个过滤器(由于 IFP TCAM 限制)

MVR 规则

每个规则一个条目

最大 1024 规则

被拒绝的过滤器配置(无可用的 VFP TCAM 空间)

如果 VFP TCAM 中没有足够空间来存储 FIP 侦听过滤器、配置的 FBF 过滤器和 MVR 规则,交换机只会拒绝其无法存储的配置部分。TCAM 可以存储过滤器配置的任何部分。在大多数情况下,即使交换机拒绝部分配置,也会存储部分配置。

如果交换机拒绝配置的任何部分,交换机会发送一条 syslog 消息,以通知您出现故障。交换机不会生成提交错误,并且被拒绝的配置仍保留在交换机上,即使被拒绝的配置不起作用。(配置功能的接受部分如预期。)syslog 消息会显示交换机拒绝的过滤器配置。

我们强烈建议您始终从交换机中删除被拒绝的过滤器配置。删除被拒绝的过滤器配置非常重要,因为:

  • 即使交换机上保留被拒绝的配置,它也不起作用。

  • 重新启动后,无法保证会拒绝相同的过滤器。以前拒绝的过滤器可能会被接受,而先前已接受的其他过滤器可能会被拒绝。因此,正常运行的过滤器配置可能会无意间发生更改。

  • 即使 VFP TCAM 切片可用,交换机也不会自动将可用切片分配给被拒绝的配置。要使用可用切片,必须删除并重新配置被拒绝的配置。

    例如,您可以在交换机上配置 FBF 过滤器和 MVR 规则,并且该交换机还会在 FCoE 接入接口上启用VN2VF_Port FIP 侦听(从不占用多个切片)来传输 FCoE 流量。提交配置后,检查系统日志。您会发现,VN2VF_Port FIP 侦听和 FBF 过滤器会占用 VFP TCAM 的所有四个切片,并且 MVR 配置被拒绝。您不必删除 MVR 配置,而是将其保留在交换机上。随后,所有VN2VF_PORT FIP 侦听会话都将结束,FIP 侦听过滤器超时,并从 VFP TCAM 中移除,因此分配给VN2VF_PORT FIP 侦听过滤器的切片变得免费。但是,MVR 规则 不会 自动接收免费切片。

    要强制交换机将可用切片分配给 MVR 规则,应从配置中删除 MVR 规则,然后重新配置 MVR 规则。提交新配置时,请检查系统日志消息,以确保 MVR 规则配置被接受。

    在此示例中,您还可以选择通过删除某些 FBF 过滤器来释放 VFP TCAM 切片,用于 MVR 规则存储。为此,请删除不需要的 FBF 过滤器和 MVR 规则配置。然后,重新配置 MVR 规则并检查系统日志,以确保配置成功。

VFP TCAM 分配和消费(扩展)示例

以下示例说明了 FIP 侦听条目、FBF 过滤器条目和 MVR 规则条目如何使用 VFP TCAM 切片:

示例 1:三种过滤器类型占用三个切片

按以下顺序配置过滤器和规则:

  • 100 个VN2VN_Port FIP 侦听过滤器(1 个切片)

  • 2 个 MVR 规则(1 个切片,2 个条目)

  • 60 个 FBF 过滤条件(1 个切片,120 个条目)

一个切片保持免费。分配给 FIP 侦听过滤器VN2VN_Port的切片可在需要其他切片之前再存储 156 个过滤器。分配给 MVR 规则的切片可以在需要其他切片之前再存储 254 个规则。分配给 FBF 过滤器的切片可以在需要其他切片之前再存储 68 个过滤条件(136 个条目)。如果 IFP TCAM 有用于 FBF 过滤条件的空间,交换机将接受此配置,不会拒绝任何过滤器。

示例 2:三种过滤器类型占用四个切片

按以下顺序配置过滤器和规则:

  • 2000 VN2VF_Port FIP 侦听过滤器(始终 1 个切片)

  • 18 个 MVR 规则(1 个切片,18 个条目)

  • 150 个 FBF 过滤条件(2 个切片,300 个条目)

所有四个切片均分配给过滤器类型。分配给 MVR 规则的切片在规则完成之前可以再存储 238 个规则。分配给 FBF 过滤器的切片可以在它充满之前存储 106 个更多的过滤条件(212 个条目)。如果 IFP TCAM 有用于 FBF 过滤条件的空间,交换机将接受此配置,不会拒绝任何过滤器。

注意:

如果配置的 MVR 规则或 FBF 过滤器比切片中剩余的入口空间更多,交换机将拒绝这些规则和过滤器,因为没有可用的切片。交换机会按配置过滤器的顺序安装过滤器,因此,如果拒绝过滤器,则最后配置的过滤器将被拒绝。

示例 3:两种过滤器类型占用四个切片

按以下顺序配置过滤器和规则:

  • 50 个 VN2VF_Port FIP 侦听过滤器(始终 1 个切片)

  • 300 个 FBF 过滤条件(3 个切片,600 个条目)

所有四个切片均分配给过滤器类型。没有切片可用于 MVR 规则。分配给 FBF 过滤器的第三个切片可以在占用其所有入口空间之前再存储 84 个过滤条件(168 个条目)。如果 IFP TCAM 有用于 FBF 过滤条件的空间,交换机将接受此配置,不会拒绝任何过滤器。

注意:

如果配置 MVR 规则或者配置了超过 84 个 FBF 过滤器,交换机会拒绝这些规则和过滤器,因为没有切片可用于 MVR 规则,并且 FBF 过滤器切片的入口空间仅包含 84 个以上的过滤条件。

示例 4:三种过滤器类型超额订阅 VFP TCAM

按以下顺序配置过滤器和规则:

  • 1750 VN2VF_Port FIP 侦听过滤器(始终 1 个切片)

  • 10 个 MVR 规则(1 个切片,10 个条目)

  • 275 个 FBF 过滤条件(2 个切片,512 个接受条目,38 个拒绝的条目)

所有四个切片均分配给过滤器类型。分配给 MVR 规则的切片在规则完成之前可以再存储 246 个规则,但 FBF 过滤条件的数量超过了可用 VFP TCAM 存储空间量。(275 FBF 过滤条件消耗 550 个 VFP TCAM 条目。但是,只有两个可用切片,总共有 512 个可用入口空间,因此只能存储 256 个 FBF 过滤术语,留下 19 个被拒绝的 FBF 过滤条件。)

交换机接受 VN2VF_Port FIP 侦听过滤器、MVR 规则和 256 个 FBF 过滤条件。交换机会保留配置中多余的 FBF 过滤器,但不将这些过滤器安装在 VFP TCAM 中。在这种情况下,您可以从配置中删除被拒绝的 FBF 过滤术语。或者,您也可以从配置中删除 MVR 规则以释放 TCAM 的切片,然后删除并重新配置被拒绝的 FBF 过滤器,以便系统将释放的切片分配给 FBF 过滤器。

注意:

配置顺序会有所不同:如果给定过滤器类型没有足够的 VFP TCAM 空间,交换机将安装符合其配置顺序的过滤器。例如,如果在配置 MVR 规则之前配置 FBF 过滤器,VFP TCAM 会将一个切片分配给 FIP 侦听过滤器,将三个切片分配给 FBF 过滤器(假设 IFP TCAM 有可用空间),并且不会为 MVR 规则分配任何切片,因为所有四个切片均在交换机尝试在 VFP TCAM 中安装 MVR 规则之前分配。

过滤器配置建议

要最有效地利用 VFP TCAM 空间:

配置和维护所需的最少数量的过滤器

为了节省 VFP TCAM 入口空间,并且由于 FBF 过滤器存储也取决于 IFP TCAM 空间的可用性,建议您尽可能少配置 FBF 过滤器和 MVR 规则,以满足您的网络需求。配置过滤器越多,超过 TCAM 存储容量的可能性就越大。

几个因素决定了 VFP TCAM 消耗:

  • 配置的过滤器类型 — 不同的过滤器类型占用的 VFP TCAM 空间量不同。VN2VF_Port FIP 侦听过滤器不会占用多个切片。MVR 规则和VN2VN_Port FIP 侦听过滤器以每个 MVR 规则或VN2VN_Port会话一个条目的速率使用切片中的条目。FBF 过滤条件以每个 FBF 过滤术语两个条目的速率使用切片中的条目。

  • 配置的过滤器数 — 尽管过滤器数量不会影响分配给VN2VF_Port FIP 侦听过滤器类型的切片数量(对于一 VN2VF_Port个或多个 FIP 侦听过滤器,始终是一个切片,对于没有 FIP 侦听过滤器,则没有切片),但 VN2VN_Port FIP 侦听过滤器、MVR 规则、 和 FBF 过滤器术语决定了每种过滤器类型需要多少个 VFP TCAM 切片。

    例如,如果配置 257 个 MVR 规则,则 MVR 规则条目会占用 2 个切片。一个切片存储 256 个 MVR 规则(条目),一个切片存储 1 个 MVR 规则(条目)。在这种情况下,如果可以消除一个 MVR 规则,则可以释放一个切片以分配给其他过滤器类型。

  • 过滤器配置序列 — 如果配置了要存储的 VFP TCAM 过滤器太多,则配置的最后一个过滤器不会存储在 TCAM 中。

    配置 FBF 过滤器或 MVR 规则后,请始终检查系统日志,以确保配置不会被拒绝。如果在接入端口上启用 FIP 侦听,请检查系统日志,确保配置不会因为缺少 VFP TCAM 空间而被拒绝。

    如果检查系统日志并拒绝了过滤器配置,请删除配置中拒绝的过滤器。

提示:

如果不再需要 FBF 过滤器或 MVR 规则,请将其从配置中删除,以节省 VFP TCAM 空间。仅在交换机端口直接连接到 FCoE 设备时,在接入端口上启用 VN2VF_Port 或 VN2VN_Port FIP 侦听。(FIP 侦听应在接入边缘执行。不应对已在接入边缘被侦听和过滤的流量执行 FIP 侦听。如果传输交换机(或 QFabric 系统)与 FCoE 设备之间有另一台物理交换机已执行 FIP 侦听,则不必在中继交换机或 QFabric 系统上启用 FIP 侦听,但您可以。)

始终删除被拒绝的过滤器配置

如果交换机拒绝配置的任何部分,则不会返回提交错误。相反,交换机会发送系统日志消息,以报告配置中被拒绝的部分。配置被拒的部分保留在交换机上,但不起作用。

配置 FBF 过滤器或 MVR 规则或启用 FIP 侦听后,检查系统日志消息以确保交换机接受配置。如果交换机拒绝了配置的任何部分,请删除该配置部分。(您不需要删除已接受的配置部分,除非您想要重新配置这些过滤器或规则。)

谨慎:

如果不删除被拒绝的过滤器配置,并且重新启动系统,则无法预测系统重新启动后会安装哪些过滤器。例如,具有以下配置的交换机的过滤器配置得比 VFP TCAM 所能支持的过滤器更多:

  • VN2VF_Port FIP 侦听会话(始终占用一个切片)

  • 20 个 MVR 规则(使用一个切片)

  • 300 个 FBF 过滤器(尝试使用三个切片,但由于只有两个切片可用,因此 256 个过滤器会占用两个切片,其余 44 个过滤器将被拒绝)

如果不删除 44 个被拒绝的 FBF 过滤器,如果交换机重新启动,则被拒绝的 44 个 FBF 过滤器可能会被接受,44 个不同的 FBF 过滤器可能会被拒绝。这种不可预知的行为是配置过滤器后应检查系统日志消息的原因,如果拒绝了任何过滤器,应始终从配置中删除已拒绝的过滤器。

相关文档