01 业务网或者子网开启准入管控失败

创建或者修订业务网，关联设备，开启准入管控，下发失败；或者是业务网子网下开启准入管控失败

1. 开启准入管控的设备上对应接口下的配置与准入管控配置存在冲突；

2. 硬件表项不足；

3. 业务网关联的设备未在线。

4. 没有关联“业务网关”或者“业务接入”设备

需要检查接入设备全局和端口下的配置，是否存在与端口安全冲突的配置，如果有接入终端的全局MAC绑定配置、静态arp绑定配置、镜像目的口、非上联接口配置DHCP trust 口等等配置，则需要将它们删除。

开启准入管控后，ONC下发的流表配置会占用1个FP资源，如果现网设备FP应用达到满容量，则设备端会提示硬件表项不足，可以通过删除某个FP应用类型来释放空间规避解决。

需要优化交换机的配置主要包括以下配置优化：

1、优化ACL：特别是全局调用的ACL、在SVI口调用的ACL、在SVI口调用的pbr、直通vlan（免认证vlan）

全局调用的ACL：包括安全通道和防病毒ACL，这类ACL会作用在所有物理接口上，如果这些ACL里面的条目太多，则需要想办法对ACL进行汇总，例如去掉没用的ACE条目，增大ACE的反掩码，将多条ACE合并成一条

在SVI口调用的ACL和pbr：该类ACL会作用在所有可以通过该VLAN的物理接口上，如果某些接口不需要通过SVI对应的VLAN，可以将其裁剪掉

直通vlan（免认证vlan）：去掉不需要的免认证vlan

2、以上操作完成之后，如果交换机还是报TCAM不足，可能是交换机底层表项没有刷新，这时候需要重启交换机来进行刷新。

3、替换硬件表项容量更大的线卡或者交换机。