Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监管器配置故障排除

丢包计数不完整

问题

Description

在某些情况下,Junos OS 可能会显示入口监管器丢弃的误导性数据包数量。

如果由于入口准入控制而丢弃数据包,监管器统计信息可能不会显示通过计算入口和出口数据包计数之间的差异来预期的丢包次数。如果将入口监管器应用于多个接口,并且这些接口的总入口速率超过公共出口接口的线速,则可能会发生这种情况。在这种情况下,数据包可能会从入口缓冲区丢弃。这些丢弃不包括在监管器丢弃的数据包计数中,这会导致监管器统计信息少报丢弃总数。

解决方案

这是预期行为。

编辑过滤器时的计数器重置

问题

Description

如果编辑防火墙过滤器术语,则与同一过滤器中的任何术语关联的任何计数器的值将设置为 0,包括过滤器引用的任何监管器的隐式计数器。请考虑以下示例:

  • 假设您的过滤器具有 、 和 ,并且每个术语都有一个已经计算匹配数据包的计数器。term1term2term3 如果以任何方式编辑任何术语,则所有术语的计数器将重置为 0。

  • 假设您的过滤器具有 和 。term1term2 还假设 具有操作修饰符,并且监管器的隐式计数器已经计数了 1000 个匹配数据包。term2policer 如果编辑 或 以任何方式,则 引用 的监管器的计数器将重置为 0。term1term2term2

解决方案

这是预期行为。

监管器的统计信息无效

问题

Description

如果在防火墙过滤器中应用超过 128 个术语的单速率双色监管器,则命令输出 将显示不正确的监管器数据。show firewall

解决方案

这是预期行为。

QFX3500设备上的出口监管器可能允许的吞吐量高于配置的吞吐量

问题

Description

如果将监管器配置为对吞吐量进行速率限制,并在出口时将其应用于QFX3500交换机或节点上的多个接口,则测得的总监管速率可能是配置速率的两倍,具体取决于将监管器应用于的接口。如果将监管器应用于多个接口,并且满足以下 两种 情况,则监管速率会加倍:

  • 在 xe-0/0/0 到 xe-0/0/23 范围或 xe-0/1/1 到 xe-0/1/7 范围内至少有一个监管接口。

  • 在 xe-0/0/24 到 xe-0/0/47 或 xe-0/1/8 到 xe-0/1/15 范围内至少有一个监管接口。

例如,如果将监管器配置为将流量速率限制为 1 Gbps,并将监管器(通过使用防火墙过滤器)应用于输出方向上的 xe-0/0/0 和 xe-0/0/24,则每个接口的速率限制为 1 Gbps,允许的总吞吐量为 2 Gbps。如果将监管器应用于 xe-0/1/1 和 xe-0/0/24,则会发生相同的行为 — 每个接口的速率限制为 1 Gbps。

如果在出口端将同一监管器应用于这些组中的多个接口,则每个 组 的速率限制为 1 Gbps。例如,如果将监管器应用于 xe-0/0/0 到 xe-0/0/4(五个接口)和 xe-0/0/24 到 xe-0/0/33(十个接口),则每个组的速率限制为 1 Gbps,允许的总吞吐量为 2 Gbps。

这是另一个示例:如果将监管器应用于 xe-0/0/0 到 xe-0/0/4 和 xe-0/1/1 到 xe-0/1/5(总共 10 个接口),则该组的速率总体限制为 1 Gbps。如果同时将监管器应用于 xe-0/0/24,则一个接口的速率限制为 1 Gbps,而其他 10 个接口的速率总体上仍限制在 1 Gbps。

根据以下方案,接口 xe-0/1/1 到 xe-0/1/15 实际位于 QSFP+ 上行链路端口上:

  • xe-0/1/1 到 xe-0/1/3 在 Q0 上。

  • xe-0/1/4 到 xe-0/1/7 在第 1 季度。

  • xe-0/1/8 到 xe-0/1/11 在第 2 季度。

  • xe-0/1/2 到 xe-0/1/15 在第 3 季度。

仅当在输出方向施加监管器时,才会发生监管速率的加倍。如果如上所述配置监管器,但在输入方向上应用它,则所有接口的总允许吞吐量为 1 Gbps。

解决方案

这是预期行为。

QFX3500设备上特定于过滤器的出口监管器可能允许比配置更高的吞吐量

问题

Description

您可以将监管器配置为特定于过滤器。这意味着,无论引用监管器多少次,Junos OS 都只会创建一个监管器实例。执行此操作时,将聚合应用速率限制,因此,如果将监管器配置为丢弃超过 1 Gbps 的流量并以三个不同的术语引用该监管器,则过滤器允许的总带宽为 1 Gbps。但是,特定于过滤器的监管器的行为受引用监管器的防火墙过滤器术语在三元内容可寻址存储器 (TCAM) 中的存储方式的影响。如果创建特定于过滤器的监管器并以多个防火墙过滤器术语引用该监管器,则当这些术语存储在不同的 TCAM 切片中时,监管器允许的流量多于预期。例如,如果将监管器配置为丢弃超过 1 Gbps 的流量,并以存储在三个单独内存片中的三个不同术语引用该监管器,则过滤器允许的总带宽为 3 Gbps,而不是 1 Gbps。

解决方案

若要防止此意外行为,请使用 规划要创建的防火墙筛选器数中显示的 有关 TCAM 切片的信息来组织配置文件,以便引用给定特定于过滤器的监管器的所有防火墙过滤器术语都存储在同一个 TCAM 切片中。https://www.juniper.net/documentation/en_US/junos/topics/concept/firewall-filters-planning-numbers-map-qfx-series.html

监管器可以限制出口过滤器

问题

Description

在某些交换机上,您配置的出口监管器数量可能会影响允许的出口防火墙过滤器总数。每个监管器都有两个隐式计数器,它们在 1024 条目的 TCAM 中占用两个条目。这些用于计数器,包括在防火墙过滤器术语中配置为操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,另一个用于非绿色数据包,而不考虑监管器类型。如果 TCAM 已满,您将无法再提交任何与计数器有条款的出口防火墙过滤器。例如,如果配置并提交 512 出口监管器(双色、三色或两种监管器类型的组合),计数器的所有内存条目都将用完。如果稍后在配置文件中插入了其他出口防火墙过滤器,其中的术语也包括计数器,则不会提交这些过滤器中的任何 术语,因为 计数器没有可用的内存空间。

以下是一些其他示例:

  • 假设您配置的出口过滤器总共包括 512 个监管器,并且没有计数器。稍后在配置文件中,您将包含另一个包含 10 个术语的出口过滤器,其中 1 个具有计数器操作修饰符。此筛选器中的任何术语均未提交,因为没有足够的 TCAM 空间用于计数器。

  • 假设您配置的出口过滤器总共包含 500 个监管器,因此占用 1000 个 TCAM 条目。稍后在配置文件中,您将包含以下两个出口过滤器:

    • 具有 20 个术语和 20 个计数器的过滤器 A。将提交此筛选器中的所有术语,因为有足够的 TCAM 空间供所有计数器使用。

    • 筛选器 B 位于筛选器 A 之后,具有五个术语和五个计数器。此筛选器中的任何术语均未提交,因为没有足够的内存空间供所有计数器使用。(需要五个 TCAM 条目,但只有四个可用。

解决方案

可以通过确保在配置文件中放置带有计数器操作的出口防火墙过滤器术语比包含监管器的术语更早来防止此问题。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管程序。例如,假设以下情况:

  • 您有 1024 个出口防火墙过滤器术语和计数器操作。

  • 稍后在配置文件中,您将有一个包含 10 个术语的出口过滤器。没有一个术语有计数器,但有一个术语有一个监管器操作修饰符。

即使没有足够的 TCAM 空间用于监管器的隐式计数器,您也可以使用 10 个术语成功提交过滤器。监管器在没有计数器的情况下提交。