Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

监管器配置故障排除

丢包计数不完整

问题

Description

在某些情况下,Junos OS 可能会显示入口监管器丢弃的误导性数据包数量。

如果由于入口准入控制而丢弃数据包,监管器统计信息可能不会显示通过计算入口和出口数据包计数之间的差异来预期的丢包次数。如果将入口监管器应用于多个接口,并且这些接口的总入口速率超过公共出口接口的线速,则可能会发生这种情况。在这种情况下,数据包可能会从入口缓冲区丢弃。这些丢弃不包括在监管器丢弃的数据包计数中,这会导致监管器统计信息少报丢弃总数。

解决方案

这是预期行为。

编辑过滤器时的计数器重置

问题

Description

如果编辑防火墙过滤器术语,则与同一过滤器中的任何术语关联的任何计数器的值将设置为 0,包括过滤器引用的任何监管器的隐式计数器。请考虑以下示例:

  • 假设您的过滤器具有 term1term2term3,并且每个术语都有一个已经计算匹配数据包的计数器。如果以任何方式编辑任何术语,则所有术语的计数器将重置为 0。

  • 假设您的过滤器具有 term1term2。还假设 具有term2policer操作修饰符,并且监管器的隐式计数器已经计数了 1000 个匹配数据包。如果编辑 term1term2 以任何方式,则 引用 term2 的监管器的计数器将重置为 0。

解决方案

这是预期行为。

监管器的统计信息无效

问题

Description

如果在防火墙过滤器中应用超过 128 个术语的单速率双色监管器,则命令输出 show firewall 将显示不正确的监管器数据。

解决方案

这是预期行为。

监管器可以限制出口过滤器

问题

Description

在某些交换机上,您配置的出口监管器数量可能会影响允许的出口防火墙过滤器总数。每个监管器都有两个隐式计数器,它们在 1024 条目的 TCAM 中占用两个条目。这些用于计数器,包括在防火墙过滤器术语中配置为操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,另一个用于非绿色数据包,而不考虑监管器类型。如果 TCAM 已满,您将无法再提交任何与计数器有条款的出口防火墙过滤器。例如,如果配置并提交 512 出口监管器(双色、三色或两种监管器类型的组合),计数器的所有内存条目都将用完。如果稍后在配置文件中插入了其他出口防火墙 过滤器,其中 的术语也包括计数器,则不会提交这些过滤器中的任何术语,因为计数器没有可用的内存空间。

以下是一些其他示例:

  • 假设您配置的出口过滤器总共包括 512 个监管器,并且没有计数器。稍后在配置文件中,您将包含另一个包含 10 个术语的出口过滤器,其中 1 个具有计数器操作修饰符。此筛选器中的任何术语均未提交,因为没有足够的 TCAM 空间用于计数器。

  • 假设您配置的出口过滤器总共包含 500 个监管器,因此占用 1000 个 TCAM 条目。稍后在配置文件中,您将包含以下两个出口过滤器:

    • 具有 20 个术语和 20 个计数器的过滤器 A。将提交此筛选器中的所有术语,因为有足够的 TCAM 空间供所有计数器使用。

    • 筛选器 B 位于筛选器 A 之后,具有五个术语和五个计数器。此筛选器中的任何术语均未提交,因为没有足够的内存空间供所有计数器使用。(需要五个 TCAM 条目,但只有四个可用。

解决方案

可以通过确保在配置文件中放置带有计数器操作的出口防火墙过滤器术语比包含监管器的术语更早来防止此问题。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管程序。例如,假设以下情况:

  • 您有 1024 个出口防火墙过滤器术语和计数器操作。

  • 稍后在配置文件中,您将有一个包含 10 个术语的出口过滤器。没有一个术语有计数器,但有一个术语有一个监管器操作修饰符。

即使没有足够的 TCAM 空间用于监管器的隐式计数器,您也可以使用 10 个术语成功提交过滤器。监管器在没有计数器的情况下提交。

另请参阅