Resolução de problemas da configuração do policial

Descrição

Em certas circunstâncias, o Junos OS pode exibir um número enganoso de pacotes descartados por um policial de entrada.

Se os pacotes forem descartados por causa do controle de admissão de entrada, as estatísticas do policial podem não mostrar o número de quedas de pacotes que você esperaria calculando a diferença entre a entrada e a contagem de pacotes de saída. Isso pode acontecer se você aplicar um policiador de entrada em várias interfaces, e a taxa de entrada agregada dessas interfaces excede a taxa de linha de uma interface de saída comum. Neste caso, os pacotes podem ser retirados do buffer de entrada. Essas quedas não estão incluídas na contagem de pacotes descartados pelo policial, o que faz com que as estatísticas dos policiais subnotificaçãom o número total de quedas.

Descrição

Se você editar um termo de filtro de firewall, o valor de qualquer contador associado a qualquer termo no mesmo filtro é definido para 0, incluindo o contador implícito para qualquer policiador mencionado pelo filtro. Considere os seguintes exemplos:

• Suponha que seu filtro tenha , e , e cada termo tem um contador que já contou pacotes correspondentes.term1term2term3 Se você editar algum dos termos de alguma forma, os contadores para todos os termos serão redefinidos para 0.

• Suponha que o seu filtro tenha e .term1term2 Suponha também que tenha um modificador de ação e o contador implícito do policial já contabilizou 1000 pacotes correspondentes.term2policer Se você editar ou de alguma forma, o contador para o policiador mencionado é redefinido para 0.term1term2term2

Descrição

Se você aplicar um policiador de duas cores de taxa única em mais de 128 termos em um filtro de firewall, a saída do comando exibe dados incorretos para o policiador.show firewall

Descrição

Se você configurar um policiador para limitar a taxa de transferência e a aplicar na saída em várias interfaces em um switch de QFX3500 ou nó, a taxa policiada agregada medida pode ser o dobro da taxa configurada, dependendo de quais interfaces você aplica o policiador. A duplicação da taxa policiada ocorre se você aplicar um policiador a várias interfaces e ambas as seguintes são verdadeiras:

• Há pelo menos uma interface policiada no intervalo xe-0/0/0 a xe-0/0/23 ou no intervalo xe-0/1/1 a xe-0/1/7.

• Há pelo menos uma interface policiada no intervalo xe-0/0/24 a xe-0/0/47 ou no intervalo xe-0/1/8 a xe-0/1/15.

Por exemplo, se você configurar um policial para limitar o tráfego em 1 Gbps e aplicar o policiador (usando um filtro de firewall) para xe-0/0/0 e xe-0/0/24 na direção de saída, cada interface é limitada a taxa de 1 Gbps, para uma taxa de transferência total permitida de 2 Gbps. O mesmo comportamento ocorre se você aplicar o policiador a xe-0/1/1 e xe-0/0/24 — cada interface é limitada a taxa em 1 Gbps.

Se você aplicar o mesmo policial na saída a várias interfaces nesses grupos, cada grupo será limitado a 1 Gbps. Por exemplo, se você aplicar o policial a xe-0/0/0 a xe-0/0/4 (cinco interfaces) e xe-0/24 a xe-0/0/33 (dez interfaces), cada grupo é limitado a taxa de 1 Gbps, para uma taxa de transferência total permitida de 2 Gbps.

Aqui está outro exemplo: Se você aplicar o policial a xe-0/0/0 a xe-0/0/4 e xe-0/1/1 a xe-0/1/5 (um total de dez interfaces), esse grupo é limitado a 1 Gbps no total. Se você também aplicar o policial ao xe-0/0/24, essa interface é limitada a taxa em 1 Gbps, enquanto as outras dez ainda estão limitadas a 1 Gbps no agregado.

As interfaces xe-0/1/1 a xe-0/1/15 estão fisicamente localizadas nas portas de uplink QSFP+ de acordo com o seguinte esquema:

• xe-0/1/1 a xe-0/1/3 estão no Q0.

• xe-0/1/4 a xe-0/1/7 estão no 1º trimestre.

• xe-0/1/8 a xe-0/1/11 estão no 2º trimestre.

• xe-0/1/2 a xe-0/1/15 estão no terceiro trimestre.

A duplicação da taxa policiada ocorre apenas se o policiador for aplicado na direção de saída. Se você configurar um policiador conforme descrito acima, mas aplicá-lo na direção de entrada, a taxa de transferência total permitida para todas as interfaces é de 1 Gbps.

Descrição

Você pode configurar os policiais para serem específicos do filtro. Isso significa que o Junos OS cria apenas uma instância policial, não importa quantas vezes o policial seja mencionado. Quando você faz isso, a limitação de taxa é aplicada no agregado, por isso, se você configurar um policial para descartar o tráfego que excede 1 Gbps e fazer referência ao policiador em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policiador específico do filtro é afetado pela forma como os termos do filtro de firewall que fazem referência ao policiador são armazenados em memória endereçada de conteúdo ternário (TCAM). Se você criar um policiador específico do filtro e fazer referência a ele em vários termos de filtro de firewall, o policiador permite mais tráfego do que o esperado se os termos forem armazenados em diferentes fatias de TCAM. Por exemplo, se você configurar um policial para descartar o tráfego que excede 1 Gbps e fazer referência ao policiador em três termos diferentes que são armazenados em três fatias de memória separadas, a largura de banda total permitida pelo filtro é de 3 Gbps, não 1 Gbps.

Descrição

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que aceitam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo de policiador.) Se o TCAM ficar completo, você não poderá comprometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e confirmar 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores serão usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é cometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos adicionais:

• Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço de TCAM suficiente para o contador.

• Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os seguintes dois filtros de saída:

  • Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

  • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é cometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)