Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监管器配置故障排除

数据包丢弃次数不完整

说明

在某些情况下,Junos OS 可能会显示由入口监管器丢弃的令人误解的数据包数量。

如果由于入口接入控制而丢弃数据包,监管器统计信息可能无法显示您期望的数据包丢弃数量,方法是计算入口和出口数据包计数之间的差异。如果将入口监管器应用于多个接口,并且这些接口的总入口速率超过公共出口接口的线速,则可能会发生这种情况。在这种情况下,数据包可能会从入口缓冲区中丢弃。这些丢弃部分不包括在监管器丢弃的数据包计数中,导致监管器统计数据 underreport 总丢弃次数。

解决方案

这是预期的行为。

编辑过滤器时的计数器复位

说明

如果编辑防火墙过滤器术语,与同一过滤器中任何术语相关联的任何计数器的值均设置为0,包括过滤器所引用的任何监管器的隐式计数器。请考虑以下示例:

  • 假设您的过滤器具有term1term2term3,并且每个术语都有一个已盘点匹配数据包的计数器。如果您以任何方式编辑任何条款,则所有术语的计数器都将重置为0。

  • 假设您的过滤器具有term1term2。还假定term2具有policer action 修饰符且监管器的隐性计数器已计算1000匹配数据包。如果您进行term1编辑term2或以任何方式进行, term2则将监管器参考的计数器重置为0。

解决方案

这是预期的行为。

监管器的无效统计信息

Description

如果在一个防火墙过滤器中对128以上的术语应用单速率双色监管器,则该show firewall命令的输出将显示监管器的错误数据。

解决方案

这是预期的行为。

QFX3500 设备上的出口监管器可能允许超出配置的吞吐量

说明

如果将监管器配置为速率限制吞吐量,并将其应用于 QFX3500 交换机或节点上的多个接口,则测量的聚合 policed 速率可能为配置速率的两倍,具体取决于您将监管器应用于哪些接口。如果您将监管器应用于多个接口,并且以下个条件均为真,则 policed 速率翻倍:

  • 在 xe-0/0/0 至 xe-0/0/23 的范围内至少有一个 policed 接口,或者从 xe 0/1/1 到 xe-0/1/7。

  • 在 xe-0/0/24 到 xe-0/0/47 范围内至少有一个 policed 接口,或者从 xe-0/1/8 到 xe-0/1/15。

例如,如果将监管器配置为 1 Gbps 的速率限制流量,并将监管器(通过使用防火墙过滤器)应用于输出方向上的 xe-0/0/0 和 xe-0/0/24,则每个接口都将速率限制为 1 Gbps,总允许吞吐量为 2 Gbps。如果将策略程序应用于 xe-0/1/1 和 xe-0/0/24,则会发生相同的行为 — 每个接口的速率限制为 1 Gbps。

如果您在这些组中的多个接口上应用相同的监管器,则每个的速率受限为 1 Gbps。例如,如果您将监管器应用于 xe-0/0/0 到 xe-0/0/4 (五个接口),xe-0/0/24 到 xe-0/0/33 (十个接口),则每个组的速率受限为 1 Gbps,总允许吞吐量为 2 Gbps。

下面是另一个示例:如果您将监管器应用于 xe-0/0/0 到 xe-0/0/4 以及 xe-0/1/1 到 xe-0/1/5 (总共十个接口),则该组在聚合中的速率受限为 1 Gbps。如果您还将监管器应用于 xe-0/0/24,则表示一个接口的速率受限为 1 Gbps,而另十个在聚合期间仍将速率限制为 1 Gbps。

按以下架构,接口 xe 0/1/1 到 xe-0/1/15 物理位于 QSFP + 上行链路端口上:

  • xe-0/1/1 到 xe-0/1/3 位于 Q0 上。

  • xe-0/1/4 到 xe-0/1/7 已开启 Q1。

  • xe-0/1/8 到 xe-0/1/11 在 Q2 上。

  • xe-0/1/2 到 xe-0/1/15 在 Q3 上。

只有在输出方向上应用监管器时,policed 速率的翻倍才会发生。如果您按上面所述配置监管器,但在输入方向上应用,则所有接口允许的总吞吐量为 1 Gbps。

解决方案

这是预期的行为。

QFX3500 设备上特定于过滤的出口监管器可能允许超过配置的吞吐量

说明

您可以将监管器配置为特定于过滤器。这意味着无论监管器是多少次被引用,Junos OS 都只创建一个监管器实例。这样做时,将综合应用速率限制,因此,如果将策略程序配置为丢弃超过 1 Gbps 的流量,并且以三种不同术语引用该策略程序,则过滤器允许的总带宽为 1 Gbps。但是,过滤特定监管器的行为会受到以下几个方面的影响:如何将引用监管器的防火墙过滤器术语存储在三元内容寻址内存(TCAM)中。如果您创建了特定于过滤器的监管器并在多个防火墙过滤器术语中引用,则当这些术语存储在不同的 TCAM 片中时,监管器允许的流量比预期的多。例如,如果将策略程序配置为丢弃超过 1 Gbps 的信息流,并引用三个单独内存切片中存储的三种不同术语中的策略程序,则过滤器允许的总带宽为 3 Gbps,而非 1 Gbps。

解决方案

要避免这种意外行为,请使用有关计划中显示的 TCAM 片的信息,以便创建用于组织配置文件的防火墙过滤器的数量,以便所有用于引用特定筛选器的防火墙过滤器术语监管器存储在相同的 TCAM 片中。

监管器可限制出口过滤器

说明

在某些交换机上,您配置的出口监管器的数量会影响允许的出口防火墙过滤器的总数。每个监管器都有两个隐性计数器,用于在1024条目 TCAM 中占用两个条目。它们用于计数器,包括配置为防火墙过滤器术语中的操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,而与监管器类型无关,一个用于 nongreen 数据包。)如果 TCAM 变满,您将无法提交带有计数器的术语的任何更多出口防火墙过滤器。例如,如果您配置并提交512出口监管器(双色、三色或两种监管器类型的组合),则计数器的所有内存条目都将被占用。如果稍后在您的配置文件中插入额外的出口防火墙过滤器,其中还包括计数器在内的术语,则不会提交这些过滤器中的任何条款,因为没有用于计数器的可用内存空间。

下面是一些附加示例:

  • 假设您配置的出口过滤器总共包括512监管器和无计数器。稍后在配置文件中包含包含10个术语的其他出口过滤器,其中有一个计数器操作修饰符。由于没有足够的 TCAM 空间用于计数器,此过滤器中的条款均未提交。

  • 假设您配置的出口过滤器总共包括500监管器,因此 1000 TCAM 条目已被占用。稍后在配置文件中包括以下两个出口过滤器:

    • 过滤 A,20个术语和20个计数器。此过滤器中的所有术语均已提交,因为有足够的 TCAM space 用于所有计数器。

    • 过滤器 B 位于过滤器 A 之后,包含五个术语和五个计数器。由于没有足够的内存空间可用于所有计数器,此过滤器中的任何条款均未提交。(需要五个 TCAM 条目,但只有四项可用。)

解决方案

您可以通过确保在您的配置文件中放置带有计数器操作的出口防火墙条款比包含监管器的术语来避免此问题。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管器。例如,假设以下内容:

  • 您有1024出口防火墙过滤器术语和计数器操作。

  • 稍后在您的配置文件中,您有一个包含10个条款的出口过滤器。任何条款都没有计数器,但一个没有监管器操作修饰符。

即使没有足够的 TCAM 空间用于监管器的隐式计数器,也可以使用10个条件成功提交过滤器。监管器在没有计数器的情况下提交。