Überwachung und Fehlerbehebung
SUMMARY In diesem Abschnitt werden die Netzwerküberwachungs- und Fehlerbehebungsfunktionen von Junos OS beschrieben.
Ping-Hosts
Zweck
Verwenden Sie den CLI-Befehl , um zu überprüfen, ob ein Host über das Netzwerk erreichbar ist.ping
Dieser Befehl ist nützlich für die Diagnose von Host- und Netzwerkverbindungsproblemen. Das Gerät sendet eine Reihe von ICMP-Echoanforderungen (Internet Control Message Protocol) an einen angegebenen Host und empfängt ICMP-Echoantworten.
Was
So verwenden Sie den Befehl, um vier Anfragen (Ping-Anzahl) an host3 zu senden:ping
ping host count number
Beispielausgabe
Befehlsname
ping host3 count 4 user@switch> ping host3 count 4 PING host3.site.net (192.0.2.111): 56 data bytes 64 bytes from 192.0.2.111: icmp_seq=0 ttl=122 time=0.661 ms 64 bytes from 192.0.2.111: icmp_seq=1 ttl=122 time=0.619 ms 64 bytes from 192.0.2.111: icmp_seq=2 ttl=122 time=0.621 ms 64 bytes from 192.0.2.111: icmp_seq=3 ttl=122 time=0.634 ms --- host3.site.net ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.619/0.634/0.661/0.017 ms
Bedeutung
Die Ergebnisse zeigen die folgenden Informationen:
ping
Größe des Ping-Antwortpakets (in Bytes).
IP-Adresse des Hosts, von dem die Antwort gesendet wurde.
Sequenznummer des Ping-Antwortpakets. Sie können diesen Wert verwenden, um die Ping-Antwort mit der entsprechenden Ping-Anforderung abzugleichen.
Hop-Count-Wert für die Gültigkeitsdauer (TTL) des Ping-Antwortpakets.
Gesamtzeit zwischen dem Senden des Ping-Anforderungspakets und dem Empfang des Ping-Antwortpakets in Millisekunden. Dieser Wert wird auch als Round-Trip-Zeit bezeichnet.
Anzahl der Ping-Anfragen (Probe), die an den Host gesendet wurden.
Anzahl der vom Host erhaltenen Ping-Antworten.
Prozentualer Paketverlust.
Statistiken zur Round-Trip-Zeit: Minimum, Durchschnitt, Maximum und Standardabweichung der Umlaufzeit.
Überwachen des Datenverkehrs über den Router oder Switch
Um ein Problem zu diagnostizieren, zeigen Sie Echtzeitstatistiken über den Datenverkehr an, der durch physische Schnittstellen auf dem Router oder Switch geleitet wird.
Um Echtzeitstatistiken zu physischen Schnittstellen anzuzeigen, führen Sie die folgenden Aufgaben aus:
- Anzeige von Echtzeitstatistiken über alle Schnittstellen auf dem Router oder Switch
- Anzeige von Echtzeitstatistiken über eine Schnittstelle auf dem Router oder Switch
Anzeige von Echtzeitstatistiken über alle Schnittstellen auf dem Router oder Switch
Zweck
Zeigen Sie Echtzeitstatistiken über den Datenverkehr an, der über alle Schnittstellen des Routers oder Switches geleitet wird.
Was
So zeigen Sie Echtzeitstatistiken über den Datenverkehr an, der durch alle Schnittstellen auf dem Router oder Switch geleitet wird:
user@host> monitor interface traffic
Beispielausgabe
Befehlsname
user@host> monitor interface traffic host name Seconds: 15 Time: 12:31:09 Interface Link Input packets (pps) Output packets (pps) so-1/0/0 Down 0 (0) 0 (0) so-1/1/0 Down 0 (0) 0 (0) so-1/1/1 Down 0 (0) 0 (0) so-1/1/2 Down 0 (0) 0 (0) so-1/1/3 Down 0 (0) 0 (0) t3-1/2/0 Down 0 (0) 0 (0) t3-1/2/1 Down 0 (0) 0 (0) t3-1/2/2 Down 0 (0) 0 (0) t3-1/2/3 Down 0 (0) 0 (0) so-2/0/0 Up 211035 (1) 36778 (0) so-2/0/1 Up 192753 (1) 36782 (0) so-2/0/2 Up 211020 (1) 36779 (0) so-2/0/3 Up 211029 (1) 36776 (0) so-2/1/0 Up 189378 (1) 36349 (0) so-2/1/1 Down 0 (0) 18747 (0) so-2/1/2 Down 0 (0) 16078 (0) so-2/1/3 Up 0 (0) 80338 (0) at-2/3/0 Up 0 (0) 0 (0) at-2/3/1 Down 0 (0) 0 (0) Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D
Bedeutung
Die Beispielausgabe zeigt Datenverkehrsdaten für aktive Schnittstellen und den Betrag an, um den sich die einzelnen Felder seit dem Start des Befehls oder seit dem Löschen der Zähler mithilfe des Schlüssels geändert haben.C
In diesem Beispiel wird der Befehl seit 15 Sekunden ausgeführt, seit der Befehl ausgegeben wurde oder seit die Zähler zuletzt auf Null zurückgesetzt wurden.monitor interface
Anzeige von Echtzeitstatistiken über eine Schnittstelle auf dem Router oder Switch
Zweck
Zeigen Sie Echtzeitstatistiken über den Datenverkehr an, der durch eine Schnittstelle auf dem Router oder Switch geleitet wird.
Was
Verwenden Sie den folgenden Junos OS CLI-Betriebsmodusbefehl, um den Datenverkehr anzuzeigen, der über eine Schnittstelle auf dem Router oder Switch geleitet wird:
user@host> monitor interface interface-name
Beispielausgabe
Befehlsname
user@host> monitor interface so-0/0/1 Next='n', Quit='q' or ESC, Freeze='f', Thaw='t', Clear='c', Interface='i' R1 Interface: so-0/0/1, Enabled, Link is Up Encapsulation: PPP, Keepalives, Speed: OC3 Traffic statistics: Input bytes: 5856541 (88 bps) Output bytes: 6271468 (96 bps) Input packets: 157629 (0 pps) Output packets: 157024 (0 pps) Encapsulation statistics: Input keepalives: 42353 Output keepalives: 42320 LCP state: Opened Error statistics: Input errors: 0 Input drops: 0 Input framing errors: 0 Input runts: 0 Input giants: 0 Policed discards: 0 L3 incompletes: 0 L2 channel errors: 0 L2 mismatch timeouts: 0 Carrier transitions: 1 Output errors: 0 Output drops: 0 Aged packets: 0 Active alarms : None Active defects: None SONET error counts/seconds: LOS count 1 LOF count 1 SEF count 1 ES-S 77 SES-S 77 SONET statistics: BIP-B1 0 BIP-B2 0 REI-L 0 BIP-B3 0 REI-P 0 Received SONET overhead: F1 : 0x00 J0 : 0xZ
Bedeutung
Die Beispielausgabe zeigt die Ein- und Ausgabepakete für eine bestimmte SONET-Schnittstelle ().so-0/0/1
Die Informationen können häufige Schnittstellenfehler wie SONET/SDH- und T3-Alarme, erkannte Loopbacks und eine Zunahme von Framing-Fehlern umfassen. Weitere Informationen finden Sie unter Prüfliste für Tracking Error-Bedingungen.Checkliste für Tracking-Error-Bedingungen
Um die Ausgabe des Befehls zu steuern, während er ausgeführt wird, verwenden Sie die in .Tabelle 1
Was |
Schlüssel |
---|---|
Zeigt Informationen über die nächste Schnittstelle an. Der Befehl durchläuft die physischen oder logischen Schnittstellen in der Reihenfolge, in der sie vom Befehl angezeigt werden. |
|
Zeigen Sie Informationen zu einer anderen Schnittstelle an. Der Befehl fordert Sie zur Eingabe des Namens einer bestimmten Schnittstelle auf. |
|
Frieren Sie die Anzeige ein und stoppen Sie die Anzeige der aktualisierten Statistiken. |
|
Tauen Sie die Anzeige auf und setzen Sie die Anzeige der aktualisierten Statistiken fort. |
|
Löschen Sie (Null) die aktuellen Delta-Zähler seit dem Start. |
|
Beenden Sie den Befehl. |
|
Weitere Informationen zur Verwendung von Übereinstimmungsbedingungen mit dem Befehl finden Sie im CLI-Explorer.https://www.juniper.net/documentation/content-applications/cli-explorer/junos/monitor traffic
Übersicht über dynamische, ternäre Inhalte und adressierbaren Speicher
In Routern der ACX-Serie wird Ternary Content Addressable Memory (TCAM) von verschiedenen Anwendungen wie Firewall, Konnektivitätsfehlerverwaltung, PTPoE, RFC 2544 usw. verwendet. Die Packet Forwarding Engine (PFE) in Routern der ACX-Serie verwendet TCAM mit definierten TCAM-Speicherplatzbeschränkungen. Die Zuweisung von TCAM-Ressourcen für verschiedene Filteranwendungen ist statisch verteilt. Diese statische Zuordnung führt zu einer ineffizienten Nutzung von TCAM-Ressourcen, wenn nicht alle Filteranwendungen diese TCAM-Ressource gleichzeitig verwenden.
Die dynamische Zuweisung von TCAM-Speicherplatz in ACX-Routern weist die verfügbaren TCAM-Ressourcen effizient für verschiedene Filteranwendungen zu. Im dynamischen TCAM-Modell können verschiedene Filterapplikationen (z.B. inet-Firewall, Bridge-Firewall, cfm-Filter, etc.) die verfügbaren TCAM-Ressourcen je nach Bedarf optimal nutzen. Die dynamische TCAM-Ressourcenzuweisung ist nutzungsgesteuert und wird Filteranwendungen je nach Bedarf dynamisch zugewiesen. Wenn eine Filteranwendung den TCAM-Speicherplatz nicht mehr verwendet, wird die Ressource freigegeben und steht anderen Anwendungen zur Verfügung. Dieses dynamische TCAM-Modell ermöglicht eine höhere Skalierung der TCAM-Ressourcenauslastung basierend auf dem Bedarf der Anwendung.
- Anwendungen mit dynamischer TCAM-Infrastruktur
- Funktionen mit TCAM-Ressource
- Überwachen der TCAM-Ressourcennutzung
- Beispiel: Überwachung und Fehlerbehebung der TCAM-Ressource
- Überwachung und Fehlerbehebung von TCAM-Ressourcen in Routern der ACX-Serie
- Serviceskalierung auf ACX5048- und ACX5096-Routern
Anwendungen mit dynamischer TCAM-Infrastruktur
Die folgenden Filteranwendungskategorien verwenden die dynamische TCAM-Infrastruktur:
Firewall-Filter: Alle Firewall-Konfigurationen
Impliziter Filter: Die Routing-Engine (RE) verwendet Filter, um ihre Funktionalität zu erreichen. Zum Beispiel Konnektivitätsfehlermanagement, IP-MAC-Validierung usw.
Dynamische Filter: Anwendungen, die Filter verwenden, um die Funktionalität auf PFE-Ebene zu erreichen. Zum Beispiel fester Klassifikator auf logischer Schnittstellenebene, RFC 2544 usw. RE-Dämonen werden nichts von diesen Filtern wissen.
System-init-Filter - Filter, die Einträge auf Systemebene oder einen festen Satz von Einträgen in der Boot-Sequenz des Routers erfordern. Zum Beispiel Layer-2- und Layer-3-Kontrollprotokoll-Trap, Standard-ARP-Policer usw.
HINWEIS:Der System-init-Filter, der die Anwendungen für Layer-2- und Layer-3-Steuerprotokolle abfangen lässt, ist für die Gesamtsystemfunktionalität unerlässlich. Die Anwendungen in dieser Kontrollgruppe verbrauchen einen festen und minimalen TCAM-Speicherplatz des gesamten TCAM-Speicherplatzes. Der system-init-Filter verwendet nicht die dynamische TCAM-Infrastruktur und wird erstellt, wenn der Router während der Boot-Sequenz initialisiert wird.
Funktionen mit TCAM-Ressource
Anwendungen, die die TCAM-Ressource verwenden, werden in diesem Dokument als tcam-app bezeichnet. Zum Beispiel sind inet-firewall, bridge-firewall, Konnektivitätsfehlermanagement, Linkfehlermanagement usw. alles verschiedene tcam-Apps.
Tabelle 2 beschreibt die Liste der TCAM-Apps, die TCAM-Ressourcen verwenden.
TCAM-Apps/TCAM-Benutzer |
Merkmal/Funktionalität |
TCAM-Bühne |
---|---|---|
bd-dtag-validate |
Validierung der Bridge-Domäne mit zwei Tags HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Ausstieg |
bd-tpid-swap |
Überbrücken Sie die VLAN-Zuordnung der Domäne mit TPID-Swap-Vorgang |
Ausstieg |
cfm-bd-filter |
Verwaltung von Konnektivitätsfehlern: implizite Bridge-Domain-Filter |
Eindringen |
cfm-filter |
Implizite Filter für die Verwaltung von Konnektivitätsfehlern |
Eindringen |
cfm-vpls-filter |
Verwaltung von Konnektivitätsfehlern Implizite VPLS-Filter HINWEIS:
Diese Funktion wird nur auf ACX5048- und ACX5096-Routern unterstützt. |
Eindringen |
cfm-vpls-ifl-filter |
Verwaltung von Konnektivitätsfehlern, implizite VPLS-Filter für logische Schnittstellen HINWEIS:
Diese Funktion wird nur auf ACX5048- und ACX5096-Routern unterstützt. |
Eindringen |
cos-fc |
Fester Klassifikator auf logischer Schnittstellenebene |
Vor dem Eindringen |
fw-ccc-in |
Eingangs-Firewall der Circuit-Cross-Connect-Familie |
Eindringen |
fw-family-out |
Ausgangs-Firewall auf Familienebene |
Ausstieg |
fw-fbf |
Firewall-Filter-basierte Weiterleitung |
Vor dem Eindringen |
fw-fbf-inet6 |
Firewall-Filter-basierte Weiterleitung für die inet6-Familie |
Vor dem Eindringen |
fw-ifl-in |
Eingangsfirewall auf logischer Schnittstellenebene |
Eindringen |
fw-ifl-out |
Ausgangs-Firewall auf logischer Schnittstellenebene |
Ausstieg |
fw-inet-ftf |
Inet-Familie Ingress Firewall auf einer Weiterleitungstabelle |
Eindringen |
fw-inet6-ftf |
Inet6-Familie Ingress-Firewall auf einer Weiterleitungstabelle |
Eindringen |
fw-inet-in |
Eingangs-Firewall der Inet-Familie |
Eindringen |
fw-inet-rpf |
Inet-Familie Ingress-Firewall bei RPF-Fehlerprüfung |
Eindringen |
fw-inet6-in |
Inet6-Produktfamilie Ingress-Firewall |
Eindringen |
fw-inet6-family-out |
Ausgangs-Firewall auf Familienebene von Inet6 |
Ausstieg |
fw-inet6-rpf |
Ingress-Firewall der Inet6-Familie bei einer RPF-Fehlerprüfung |
Eindringen |
fw-inet-pm |
Firewall der Inet-Familie mit Port-Mirror-Funktion HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Eindringen |
fw-l2-in |
Eingangs-Firewall der Bridge-Familie auf Layer-2-Schnittstelle |
Eindringen |
fw-mpls-in |
Eingangs-Firewall der MPLS-Familie |
Eindringen |
fw-semantics |
Firewall-Freigabesemantik für CLI-konfigurierte Firewall |
Vor dem Eindringen |
fw-vpls-in |
Eingangs-Firewall der VPLS-Familie auf der VPLS-Schnittstelle |
Eindringen |
ifd-src-mac-fil |
Quell-MAC-Filter auf physischer Schnittstellenebene |
Vor dem Eindringen |
ifl-statistics-in |
Schnittstellenstatistiken auf logischer Ebene beim Eingang |
Eindringen |
ifl-statistics-out |
Schnittstellenstatistiken auf logischer Ebene am Ausgang |
Ausstieg |
ing-out-iff |
Ingress-Anwendung im Auftrag der Ausgangsfamilie, Filter für Log und Syslog |
Eindringen |
ip-mac-val |
IP-MAC-Validierung |
Vor dem Eindringen |
ip-mac-val-bcast |
IP-MAC-Validierung für Broadcast |
Vor dem Eindringen |
ipsec-reverse-fil |
Reverse-Filter für den IPsec-Dienst HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Eindringen |
irb-cos-rw |
IRB CoS neu schreiben |
Ausstieg |
lfm-802.3ah-in |
Link-Fehler-Management (IEEE 802.3ah) am Eingang HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Eindringen |
lfm-802.3ah-out |
Link-Fehlermanagement (IEEE 802.3ah) am Ausgang |
Ausstieg |
lo0-inet-fil |
Looback-Schnittstelle inet-Filter |
Eindringen |
lo0-inet6-fil |
Looback-Schnittstelle inet6 filter |
Eindringen |
mac-drop-cnt |
Statistiken für Drops nach MAC-Validierungs- und Quell-MAC-Filtern |
Eindringen |
mrouter-port-in |
Multicast-Router-Port für Snooping |
Eindringen |
napt-reverse-fil |
Rückwärtsfilter für den NAPT-Dienst (Network Address Port Translation) HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Eindringen |
no-local-switching |
Überbrücken Sie no-local-switching |
Eindringen |
ptpoe |
Punkt-zu-Punkt-über-dem-Ethernet-Traps HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Eindringen |
ptpoe-cos-rw |
CoS-Rewrite für PTPoE HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Ausstieg |
rfc2544-layer2-in |
RFC2544 für Layer-2-Service am Eingang |
Vor dem Eindringen |
rfc2544-layer2-out |
RFC2544 für Layer-2-Service am Ausgang HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Ausstieg |
service-filter-in |
Servicefilter am Eingang HINWEIS:
Diese Funktion wird auf ACX5048- und ACX5096-Routern nicht unterstützt. |
Eindringen |
Überwachen der TCAM-Ressourcennutzung
Sie können die Befehle show und clear verwenden, um die dynamische TCAM-Ressourcennutzung zu überwachen und Fehler zu beheben.
Tabelle 3 fasst die CLI-Befehle (Command-Line Interface) zusammen, mit denen Sie die dynamische TCAM-Ressourcennutzung überwachen und Fehler beheben können.
Aufgabe |
Befehl |
---|---|
Zeigen Sie die freigegebenen und die zugehörigen Anwendungen für eine bestimmte Anwendung an |
|
Anzeigen der TCAM-Ressourcennutzung für eine Anwendung und Phasen (ausgehend, eingehend und vor eingehendem Datenverkehr) |
(ACX5448) PFE-Filter anzeigen HW-Zusammenfassunghttps://www.juniper.net/documentation/us/en/software/junos/routing-policy/topics/ref/command/show-pfe-filter.html |
Anzeige der TCAM-Ressourcennutzungsfehler für Anwendungen und Phasen (Ausgang, Eingang und Pre-Ingress) |
|
Löscht die TCAM-Ressourcennutzungsfehlerstatistiken für Anwendungen und Phasen (ausgehend, eingehend und vor dem Eingang) |
Beispiel: Überwachung und Fehlerbehebung der TCAM-Ressource
In diesem Abschnitt wird ein Anwendungsfall beschrieben, in dem Sie TCAM-Ressourcen mithilfe von show-Befehlen überwachen und Fehler beheben können. In diesem Anwendungsszenario haben Sie Layer-2-Services konfiguriert und die Layer-2-Service-bezogenen Anwendungen verwenden TCAM-Ressourcen. Der dynamische Ansatz, wie in diesem Beispiel gezeigt, bietet Ihnen die vollständige Flexibilität, TCAM-Ressourcen bedarfsgerecht zu verwalten.
Die Serviceanforderung ist wie folgt:
Jede Bridge-Domäne verfügt über eine UNI- und eine NNI-Schnittstelle
Jede UNI-Schnittstelle verfügt über:
Ein logischer Policer auf Schnittstellenebene zur Überwachung des Datenverkehrs bei 10 Mbit/s.
Mehrfeld-Klassifikator mit vier Begriffen zum Zuweisen von Weiterleitungsklasse und Verlustpriorität.
Jede UNI-Schnittstelle konfiguriert CFM UP MEP auf Ebene 4.
Jede NNI-Schnittstelle konfiguriert CFM DOWN MEP auf Ebene 2
Betrachten wir ein Szenario, in dem 100 Dienste auf dem Router konfiguriert sind. Bei dieser Skalierung sind alle Anwendungen erfolgreich konfiguriert und der Status zeigt den Status an .OK
-
Anzeigen der TCAM-Ressourcennutzung für alle Phasen.
Verwenden Sie den Befehl, um die TCAM-Ressourcennutzung für alle Phasen (Ausgang, Eingang und Pre-Ingress) anzuzeigen.
show pfe tcam usage all-tcam-stages detail
Verwenden Sie auf ACX5448 Routern den Befehl, um die TCAM-Ressource usgae anzuzeigen.show pfe filter hw summary
user@host> show pfe tcam usage all-tcam-stages detail Slot 0 Tcam Resource Stage: Pre-Ingress -------------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage Tcam Resource Stage: Ingress ---------------------------- Free [hw-grps: 2 out of 8] Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2 Used Allocated Available Errors Tcam-Entries 800 1024 224 0 Counters 800 1024 224 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- cfm-filter 500 500 0 3 OK cfm-bd-filter 300 300 0 2 OK Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 500 512 12 0 Counters 500 1024 524 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-l2-in 500 500 0 2 OK fw-semantics 0 X X 1 OK Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 200 512 312 0 Counters 200 512 312 0 Policers 100 512 412 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-ifl-in 200 200 100 1 OK Tcam Resource Stage: Egress --------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage
Konfigurieren Sie zusätzliche Layer-2-Services auf dem Router.
Fügen Sie beispielsweise 20 weitere Dienste auf dem Router hinzu, wodurch sich die Gesamtzahl der Dienste auf 120 erhöht. Nachdem Sie weitere Dienste hinzugefügt haben, können Sie den Status der Konfiguration überprüfen, indem Sie entweder die Syslog-Meldung mit dem Befehl überprüfen oder den Befehl ausführen.
show log messages
show pfe tcam errors
Im Folgenden finden Sie ein Beispiel für eine Syslog-Meldung, die den TCAM-Ressourcenmangel für Ethernet-Switching-Familienfilter für neuere Konfigurationen durch Ausführen des CLI-Befehls anzeigt.
show log messages
[Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_check_phy_slice_availability :Insufficient phy slices to accomodate grp:13/IN_IFF_BRIDGE mode:1/DOUBLE [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_check_resource_availability :Could not write filter: f-bridge-ge-0/0/0.103-i, insufficient TCAM resources [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_update_filter_in_hw :acx_dfw_check_resource_availability failed for filter:f-bridge-ge-0/0/0.103-i [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_create_hw_instance :Status:1005 Could not program dfw(f-bridge-ge-0/0/0.103-i) type(IN_IFF_BRIDGE)! [1005] [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_bind_shim :[1005] Could not create dfw(f-bridge-ge-0/0/0.103-i) type(IN_IFF_BRIDGE) [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_bind :[1000] bind failed for filter f-bridge-ge-0/0/0.103-i
Wenn Sie den CLI-Befehl verwenden, um den Status der Konfiguration zu überprüfen, sieht die Ausgabe wie folgt aus:
show pfe tcam errors all-tcam-stages detail
user@host> show pfe tcam errors all-tcam-stages detail Slot 0 Tcam Resource Stage: Pre-Ingress -------------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage Tcam Resource Stage: Ingress ---------------------------- Free [hw-grps: 2 out of 8] Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2 Used Allocated Available Errors Tcam-Entries 960 1024 64 0 Counters 960 1024 64 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- cfm-filter 600 600 0 3 OK cfm-bd-filter 360 360 0 2 OK Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 510 512 2 18 Counters 510 1024 514 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-l2-in 510 510 0 2 FAILED fw-semantics 0 X X 1 OK App error statistics: ---------------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-l2-in 18 0 0 2 FAILED fw-semantics 0 X X 1 OK Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 240 512 272 0 Counters 240 512 272 0 Policers 120 512 392 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-ifl-in 240 240 120 1 OK Tcam Resource Stage: Egress --------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage
Die Ausgabe gibt an, dass der Anwendung die TCAM-Ressourcen ausgehen und sie in den Zustand FAILED wechselt.fw-l2-in Obwohl in der Eingangsphase zwei TCAM-Slices verfügbar sind, kann die Anwendung aufgrund ihres Modus (DOUBLE) den verfügbaren TCAM-Speicherplatz nicht nutzen, was zu einem Ausfall von Ressourcenknappheit führt.fw-l2-in
-
Behebung der Anwendungen, die aufgrund des Mangels an TCAM-Ressourcen fehlgeschlagen sind.
Die Anwendung schlug fehl, weil mehr Dienste auf den Routern hinzugefügt wurden, was zu einem Mangel an TCAM-Ressourcen führte.fw-l2-in Obwohl andere Anwendungen gut zu funktionieren scheinen, wird empfohlen, die neu hinzugefügten Dienste zu deaktivieren oder zu entfernen, damit die Anwendung in einen OK-Zustand versetzt wird.fw-l2-in Nachdem Sie die neu hinzugefügten Dienste entfernt oder deaktiviert haben, müssen Sie die Befehle and ausführen, um sicherzustellen, dass sich keine Anwendungen mehr im Status "Fehler" befinden.
show pfe tcam usage
show pfe tcam error
Verwenden Sie den Befehl, um die TCAM-Ressourcennutzung für alle Phasen (Ausgang, Eingang und Pre-Ingress) anzuzeigen.
show pfe tcam usage all-tcam-stages detail
Verwenden Sie für ACX5448 Router den Befehl to, um die TCAM-Ressourcennutzung anzuzeigen.show pfe filter hw summary
user@host> show pfe tcam usage all-tcam-stages detail Slot 0 Tcam Resource Stage: Pre-Ingress -------------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage Tcam Resource Stage: Ingress ---------------------------- Free [hw-grps: 2 out of 8] Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2 Used Allocated Available Errors Tcam-Entries 800 1024 224 0 Counters 800 1024 224 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- cfm-filter 500 500 0 3 OK cfm-bd-filter 300 300 0 2 OK Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 500 512 12 18 Counters 500 1024 524 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-l2-in 500 500 0 2 OK fw-semantics 0 X X 1 OK Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 200 512 312 0 Counters 200 512 312 0 Policers 100 512 412 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-ifl-in 200 200 100 1 OK Tcam Resource Stage: Egress --------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage
Verwenden Sie den Befehl, um TCAM-Ressourcenverwendungsfehler für alle Phasen (ausgehend, eingehend und vor dem eingehenden Eingang) anzuzeigen.
show pfe tcam errors all-tcam-stages
user@host> show pfe tcam errors all-tcam-stages detail Slot 0 Tcam Resource Stage: Pre-Ingress -------------------------------- No tcam usage Tcam Resource Stage: Ingress ---------------------------- Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2 Errors Resource-Shortage Tcam-Entries 0 0 Counters 0 0 Policers 0 0 Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1 Errors Resource-Shortage Tcam-Entries 18 0 Counters 0 0 Policers 0 0 Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1 Errors Resource-Shortage Tcam-Entries 0 0 Counters 0 0 Policers 0 0 Tcam Resource Stage: Egress --------------------------- No tcam usage
Sie können sehen, dass sich alle Anwendungen, die die TCAM-Ressourcen verwenden, im Status befinden, und zeigt an, dass die Hardware erfolgreich konfiguriert wurde.OK
Wie im Beispiel gezeigt, müssen Sie die Befehle and bei jedem Schritt ausführen, um sicherzustellen, dass Ihre Konfigurationen gültig sind und dass sich die Anwendungen, die die TCAM-Ressource verwenden, im Status OK befinden.show pfe tcam errors
show pfe tcam usage
Verwenden Sie für ACX5448 Router den Befehl, um die TCAM-Ressourcennutzung anzuzeigen.show pfe filter hw summary
Überwachung und Fehlerbehebung von TCAM-Ressourcen in Routern der ACX-Serie
Durch die dynamische Zuweisung von TCAM-Speicherplatz (Ternary Content Addressable Memory) in der ACX-Serie werden die verfügbaren TCAM-Ressourcen effizient für verschiedene Filteranwendungen zugewiesen. Im dynamischen TCAM-Modell können verschiedene Filterapplikationen (z.B. inet-Firewall, Bridge-Firewall, cfm-Filter, etc.) die verfügbaren TCAM-Ressourcen je nach Bedarf optimal nutzen. Die dynamische TCAM-Ressourcenzuweisung ist nutzungsgesteuert und wird Filteranwendungen je nach Bedarf dynamisch zugewiesen. Wenn eine Filteranwendung den TCAM-Speicherplatz nicht mehr verwendet, wird die Ressource freigegeben und steht anderen Anwendungen zur Verfügung. Dieses dynamische TCAM-Modell ermöglicht eine höhere Skalierung der TCAM-Ressourcenauslastung basierend auf dem Bedarf der Anwendung. Sie können die Befehle show und clear verwenden, um die dynamische TCAM-Ressourcennutzung in Routern der ACX-Serie zu überwachen und Fehler zu beheben.
Anwendungen, die die TCAM-Ressource verwenden, werden in diesem Dokument als tcam-app bezeichnet.
Übersicht über dynamische, ternäre Inhalte und adressierbaren Speicher zeigt die Aufgabe und die Befehle zur Überwachung und Fehlerbehebung von TCAM-Ressourcen in Routern der ACX-Serie
So wird es gemacht |
Befehl |
---|---|
Zeigen Sie die freigegebenen und die zugehörigen Anwendungen für eine bestimmte Anwendung an. |
|
Zeigen Sie die Anzahl der Bewerbungen über alle tcam-Stufen hinweg an. |
|
Zeigen Sie die Anzahl der Anwendungen an, die die TCAM-Ressource in einer bestimmten Phase verwenden. |
|
Zeigen Sie die TCAM-Ressource, die von einer Anwendung verwendet wird, im Detail an. |
|
Zeigen Sie die TCAM-Ressource an, die von einer Anwendung in einer bestimmten Phase verwendet wird. |
|
Ermitteln Sie die Anzahl der TCAM-Ressourcen, die von einer tcam-App verbraucht werden |
|
Zeigen Sie die TCAM-Ressourcenverwendungsfehler für alle Phasen an. |
|
Anzeigen der TCAM-Ressourcenverwendungsfehler für eine Phase |
|
Zeigen Sie die TCAM-Ressourcenverwendungsfehler für eine Anwendung an. |
|
Zeigen Sie die TCAM-Ressourcenverwendungsfehler für eine Anwendung zusammen mit der anderen freigegebenen Anwendung an. |
|
Löschen Sie die Fehlerstatistik für die TCAM-Ressourcennutzung für alle Phasen. |
|
Löschen Sie die TCAM-Ressourcenverwendungsfehlerstatistik für eine bestimmte Phase |
|
Löschen Sie die Fehlerstatistik für die TCAM-Ressourcennutzung für eine Anwendung. |
|
Weitere Informationen zu dynamischem TCAM in der ACX-Serie finden Sie unter Übersicht über dynamischen ternären Content Addressable Memory.Übersicht über dynamische, ternäre Inhalte und adressierbaren Speicher
Serviceskalierung auf ACX5048- und ACX5096-Routern
Auf ACX5048- und ACX5096-Routern kann ein typischer Dienst (z. B. ELINE, ELAN und IP-VPN), der bereitgestellt wird, Anwendungen (z. B. Policer, Firewall-Filter, Konnektivitätsfehlermanagement, IEEE 802.1ag RFC2544) erfordern, die die dynamische TCAM-Infrastruktur verwenden.
Dienstanwendungen, die TCAM-Ressourcen verwenden, sind durch die Verfügbarkeit von TCAM-Ressourcen begrenzt. Daher hängt die Skalierung des Diensts von der Nutzung der TCAM-Ressource durch solche Anwendungen ab.
Ein Beispiel für einen Anwendungsfall für die Überwachung und Fehlerbehebung der Serviceskalierung in ACX5048- und ACX5096-Routern finden Sie im Abschnitt Übersicht über den dynamischen ternären Inhalt .Übersicht über dynamische, ternäre Inhalte und adressierbaren Speicher
Fehlerbehebung bei der DNS-Namensauflösung in Sicherheitsrichtlinien logischer Systeme (nur primäre Administratoren)
Problem
Beschreibung
Die Adresse eines Hostnamens in einem Adressbucheintrag, der in einer Sicherheitsrichtlinie verwendet wird, kann möglicherweise nicht ordnungsgemäß aufgelöst werden.
Ursache
Normalerweise werden Adressbucheinträge, die dynamische Hostnamen enthalten, für Firewalls der SRX-Serie automatisch aktualisiert. Das TTL-Feld, das einem DNS-Eintrag zugeordnet ist, gibt die Zeit an, nach der der Eintrag im Richtliniencache aktualisiert werden soll. Sobald der TTL-Wert abläuft, aktualisiert die Firewall der SRX-Serie automatisch den DNS-Eintrag für einen Adressbucheintrag.
Wenn die Firewall der SRX-Serie jedoch keine Antwort vom DNS-Server erhalten kann (z. B. weil die DNS-Anforderung oder das DNS-Antwortpaket im Netzwerk verloren geht oder der DNS-Server keine Antwort senden kann), kann die Adresse eines Hostnamens in einem Adressbucheintrag möglicherweise nicht korrekt aufgelöst werden. Dies kann dazu führen, dass der Datenverkehr zurückgeht, da keine Übereinstimmung mit der Sicherheitsrichtlinie oder -sitzung gefunden wird.
Lösung
Der primäre Administrator kann den Befehl verwenden, um DNS-Cache-Informationen auf der Firewall der SRX-Serie anzuzeigen.show security dns-cache
Wenn die DNS-Cache-Informationen aktualisiert werden müssen, kann der primäre Administrator den Befehl verwenden.clear security dns-cache
Diese Befehle stehen nur dem primären Administrator auf Geräten zur Verfügung, die für logische Systeme konfiguriert sind. Dieser Befehl ist in logischen Benutzersystemen oder auf Geräten, die nicht für logische Systeme konfiguriert sind, nicht verfügbar.
Siehe auch
Fehlerbehebung bei der Link Services-Schnittstelle
So lösen Sie Konfigurationsprobleme auf einer Link Services-Schnittstelle:
- Bestimmen Sie, welche CoS-Komponenten auf die konstituierenden Links angewendet werden
- Ermitteln der Ursachen von Jitter und Latenz beim Multilink-Bundle
- Bestimmen Sie, ob LFI und Load Balancing ordnungsgemäß funktionieren
- Ermitteln, warum Pakete auf einem PVC zwischen einem Gerät von Juniper Networks und einem Gerät eines Drittanbieters verworfen werden
Bestimmen Sie, welche CoS-Komponenten auf die konstituierenden Links angewendet werden
Problem
Beschreibung
Sie konfigurieren ein Multilink-Bundle, haben aber auch Datenverkehr ohne MLPPP-Kapselung, der über die einzelnen Links des Multilink-Bundles geleitet wird. Wenden Sie alle CoS-Komponenten auf die konstituierenden Links an, oder reicht es aus, sie auf das Multilink-Bündel anzuwenden?
Lösung
Sie können eine Scheduler-Zuordnung auf das Multilink-Bundle und seine zugehörigen Links anwenden. Sie können zwar mehrere CoS-Komponenten mit der Scheduler-Zuordnung anwenden, konfigurieren Sie jedoch nur die erforderlichen. Es wird empfohlen, die Konfiguration der einzelnen Links einfach zu halten, um unnötige Verzögerungen bei der Übertragung zu vermeiden.
Tabelle 5 zeigt die CoS-Komponenten, die auf ein Multilink-Bündel angewendet werden sollen, und die darin enthaltenen Links.
Cos-Komponente |
Multilink-Bundle |
Konstituierende Links |
Erklärung |
---|---|---|---|
Klassifizierung |
Ja |
Nein |
Die CoS-Klassifizierung erfolgt auf der eingehenden Seite der Schnittstelle, nicht auf der sendenden Seite, sodass keine Klassifikatoren für die konstituierenden Links erforderlich sind. |
Weiterleitungsklasse |
Ja |
Nein |
Die Weiterleitungsklasse ist einer Warteschlange zugeordnet, und die Warteschlange wird durch eine Scheduler-Zuordnung auf die Schnittstelle angewendet. Die Warteschlangenzuweisung ist für die konstituierenden Links vorgegeben. Alle Pakete aus Q2 des Multilink-Bundles werden Q2 der konstituierenden Verbindung zugewiesen, und Pakete aus allen anderen Warteschlangen werden Q0 der konstituierenden Verbindung in die Warteschlange eingereiht. |
Scheduler-Karte |
Ja |
Ja |
Wenden Sie Scheduler-Maps wie folgt auf das Multilink-Bundle und den zugehörigen Link an:
|
Shaping-Rate für einen Scheduler pro Einheit oder einen Scheduler auf Schnittstellenebene |
Nein |
Ja |
Da die Planung pro Einheit nur am Endpunkt angewendet wird, wenden Sie diese Shaping-Rate nur auf die konstituierenden Links an. Jede zuvor angewendete Konfiguration wird durch die konstituierende Linkkonfiguration überschrieben. |
Exaktes Shaping mit Übertragungsrate oder auf Warteschlangenebene |
Ja |
Nein |
Die Formgebung auf Schnittstellenebene, die auf die konstituierenden Verknüpfungen angewendet wird, überschreibt jede Formgebung in der Warteschlange. Wenden Sie daher die exakte Formgebung der Übertragungsrate nur auf das Multilink-Bündel an. |
Rewrite-Regeln |
Ja |
Nein |
Rewrite-Bits werden während der Fragmentierung automatisch aus dem Paket in die Fragmente kopiert. Daher wird das, was Sie auf dem Multilink-Bundle konfigurieren, über die Fragmente zu den konstituierenden Links übertragen. |
Virtuelle Channelgruppe |
Ja |
Nein |
Virtuelle Kanalgruppen werden durch Firewall-Filterregeln identifiziert, die nur auf Pakete vor dem Multilink-Bundle angewendet werden. Daher müssen Sie die Konfiguration der virtuellen Kanalgruppe nicht auf die zugehörigen Links anwenden. |
Siehe auch
Ermitteln der Ursachen von Jitter und Latenz beim Multilink-Bundle
Problem
Beschreibung
Um Jitter und Latenz zu testen, senden Sie drei Streams von IP-Paketen. Alle Pakete haben die gleichen Einstellungen für die IP-Rangfolge. Nach der Konfiguration von LFI und CRTP erhöhte sich die Latenz sogar über eine nicht überlastete Verbindung. Wie können Sie Jitter und Latenz reduzieren?
Lösung
Gehen Sie wie folgt vor, um Jitter und Latenz zu reduzieren:
Stellen Sie sicher, dass Sie für jede konstituierende Verknüpfung eine Shaping-Rate konfiguriert haben.
Stellen Sie sicher, dass Sie auf der Link-Services-Schnittstelle keine Shaping-Rate konfiguriert haben.
Stellen Sie sicher, dass der konfigurierte Wert für die Shaping-Rate mit der Bandbreite der physischen Schnittstelle übereinstimmt.
Wenn die Shaping-Raten korrekt konfiguriert sind und der Jitter weiterhin besteht, wenden Sie sich an das Juniper Networks Technical Assistance Center (JTAC).
Bestimmen Sie, ob LFI und Load Balancing ordnungsgemäß funktionieren
Problem
Beschreibung
In diesem Fall verfügen Sie über ein einziges Netzwerk, das mehrere Dienste unterstützt. Das Netzwerk überträgt daten- und verzögerungsempfindlichen Sprachverkehr. Stellen Sie nach der Konfiguration von MLPPP und LFI sicher, dass Sprachpakete mit sehr geringer Verzögerung und geringem Jitter über das Netzwerk übertragen werden. Wie können Sie herausfinden, ob Sprachpakete als LFI-Pakete behandelt werden und der Lastenausgleich korrekt durchgeführt wird?
Lösung
Wenn LFI aktiviert ist, werden Datenpakete (Nicht-LFI-Pakete) mit einem MLPPP-Header gekapselt und in Pakete einer bestimmten Größe fragmentiert. Die verzögerungssensitiven Sprachpakete (LFI) sind PPP-gekapselt und zwischen Datenpaketfragmenten verschachtelt. Warteschlangen und Lastenausgleich werden für LFI- und Nicht-LFI-Pakete unterschiedlich ausgeführt.
Um zu überprüfen, ob LFI korrekt ausgeführt wird, stellen Sie fest, dass die Pakete fragmentiert und wie konfiguriert gekapselt sind. Nachdem Sie wissen, ob ein Paket als LFI-Paket oder als Nicht-LFI-Paket behandelt wird, können Sie überprüfen, ob der Lastenausgleich ordnungsgemäß durchgeführt wird.
– Angenommen, zwei Juniper Networks-Geräte, R0 und R1, sind durch ein Multilink-Bündel verbunden, das zwei serielle Verbindungen aggregiert, und .Solution Scenario
lsq-0/0/0.0
se-1/0/0
se-1/0/1
Auf R0 und R1 sind MLPPP und LFI auf der Link Services-Schnittstelle aktiviert, und der Fragmentierungsschwellenwert ist auf 128 Byte festgelegt.
In diesem Beispiel haben wir einen Paketgenerator verwendet, um Sprach- und Datenströme zu generieren. Sie können die Paketerfassungsfunktion verwenden, um die Pakete auf der eingehenden Schnittstelle zu erfassen und zu analysieren.
Die folgenden zwei Datenströme wurden über das Multilink-Bundle gesendet:
100 Datenpakete à 200 Byte (größer als die Fragmentierungsschwelle)
500 Datenpakete à 60 Byte (kleiner als die Fragmentierungsschwelle)
Die folgenden zwei Sprachstreams wurden über das Multilink-Bundle gesendet:
100 Sprachpakete à 200 Byte von Quellport 100
300 Sprachpakete à 200 Byte von Quellport 200
So überprüfen Sie, ob LFI und Load Balancing korrekt durchgeführt werden:
In diesem Beispiel werden nur die wesentlichen Teile der Befehlsausgabe angezeigt und beschrieben.
Überprüfen Sie die Paketfragmentierung. Geben Sie im Betriebsmodus den Befehl ein, um zu überprüfen, ob große Pakete korrekt fragmentiert sind.
show interfaces lsq-0/0/0
user@R0#> show interfaces lsq-0/0/0 Physical interface: lsq-0/0/0, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 29 Link-level type: LinkService, MTU: 1504 Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Last flapped : 2006-08-01 10:45:13 PDT (2w0d 06:06 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface lsq-0/0/0.0 (Index 69) (SNMP ifIndex 42) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Multilink-PPP Bandwidth: 16mbps Statistics Frames fps Bytes bps Bundle: Fragments: Input : 0 0 0 0 Output: 1100 0 118800 0 Packets: Input : 0 0 0 0 Output: 1000 0 112000 0 ... Protocol inet, MTU: 1500 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 9.9.9/24, Local: 9.9.9.10
Meaning
—Die Ausgabe zeigt eine Zusammenfassung der Pakete, die das Gerät im Multilink-Bundle durchlaufen. Überprüfen Sie die folgenden Informationen auf dem Multilink-Bundle:Die Gesamtzahl der Transitpakete = 1000
Die Gesamtzahl der transitierenden Fragmente = 1100
Die Anzahl der Datenpakete, die fragmentiert wurden =100
Die Gesamtzahl der im Multilink-Bundle gesendeten Pakete (600 + 400) stimmt mit der Anzahl der Transitpakete (1000) überein, was darauf hinweist, dass keine Pakete verworfen wurden.
Die Anzahl der transitierenden Fragmente übersteigt die Anzahl der transitierenden Pakete um 100, was darauf hinweist, dass 100 große Datenpakete korrekt fragmentiert wurden.
Corrective Action
—Wenn die Pakete nicht korrekt fragmentiert sind, überprüfen Sie die Konfiguration des Fragmentierungsschwellenwerts. Pakete, die kleiner als der angegebene Fragmentierungsschwellenwert sind, werden nicht fragmentiert.Überprüfen Sie die Paketkapselung. Um herauszufinden, ob ein Paket als LFI- oder Nicht-LFI-Paket behandelt wird, bestimmen Sie seinen Kapselungstyp. LFI-Pakete sind PPP-gekapselt, Nicht-LFI-Pakete werden sowohl mit PPP als auch mit MLPPP gekapselt. PPP- und MLPPP-Kapselungen haben unterschiedliche Overheads, was zu unterschiedlich großen Paketen führt. Sie können Paketgrößen vergleichen, um den Verkapselungstyp zu bestimmen.
Ein kleines, unfragmentiertes Datenpaket enthält einen PPP-Header und einen einzelnen MLPPP-Header. In einem großen fragmentierten Datenpaket enthält das erste Fragment einen PPP-Header und einen MLPPP-Header, die nachfolgenden Fragmente jedoch nur einen MLPPP-Header.
PPP- und MLPPP-Kapselungen fügen einem Paket die folgende Anzahl von Bytes hinzu:
Die PPP-Kapselung fügt 7 Bytes hinzu:
4 Byte Header + 2 Byte Frame-Check-Sequenz (FCS) + 1 Byte, das sich im Leerlauf befindet oder ein Flag enthält
Die MLPPP-Kapselung fügt zwischen 6 und 8 Byte hinzu:
4 Byte PPP-Header + 2 bis 4 Byte Multilink-Header
Abbildung 1 zeigt den Overhead an, der den PPP- und MLPPP-Headern hinzugefügt wurde.
Abbildung 1: PPP- und MLPPP-HeaderBei CRTP-Paketen sind der Kapselungsaufwand und die Paketgröße sogar kleiner als bei einem LFI-Paket. Weitere Informationen finden Sie unter Beispiel: Konfigurieren des komprimierten Echtzeit-Transportprotokolls.
Tabelle 6 Zeigt den Kapselungsaufwand für ein Datenpaket und ein Sprachpaket von jeweils 70 Byte. Nach der Kapselung ist die Größe des Datenpakets größer als die Größe des Sprachpakets.
Tabelle 6: PPP- und MLPPP-Kapselungs-Overhead Pakettyp
Kapselung
Anfängliche Paketgröße
Kapselungs-Overhead
Paketgröße nach der Kapselung
Sprachpaket (LFI)
PPP
70 Bytes
4 + 2 + 1 = 7 Bytes
77 Bytes
Datenfragment (non-LFI) mit kurzer Sequenz
MLPPP
70 Bytes
4 + 2 + 1 + 4 + 2 = 13 Byte
83 Bytes
Datenfragment (Nicht-LFI) mit langer Sequenz
MLPPP
70 Bytes
4 + 2 + 1 + 4 + 4 = 15 Bytes
85 Bytes
Geben Sie im Betriebsmodus den Befehl ein, um die Größe des übertragenen Pakets in jeder Warteschlange anzuzeigen.
show interfaces queue
Teilen Sie die Anzahl der übertragenen Bytes durch die Anzahl der Pakete, um die Größe der Pakete zu erhalten und den Kapselungstyp zu bestimmen.Überprüfen Sie den Lastenausgleich. Geben Sie im Betriebsmodus den Befehl für das Multilink-Bundle und seine zugehörigen Links ein, um zu bestätigen, ob der Lastenausgleich für die Pakete entsprechend durchgeführt wird.
show interfaces queue
user@R0> show interfaces queue lsq-0/0/0 Physical interface: lsq-0/0/0, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 29 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 600 0 pps Bytes : 44800 0 bps Transmitted: Packets : 600 0 pps Bytes : 44800 0 bps Tail-dropped packets : 0 0 pps RED-dropped packets : 0 0 pps … Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 400 0 pps Bytes : 61344 0 bps Transmitted: Packets : 400 0 pps Bytes : 61344 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 0 0 pps Bytes : 0 0 bps …
user@R0> show interfaces queue se-1/0/0 Physical interface: se-1/0/0, Enabled, Physical link is Up Interface index: 141, SNMP ifIndex: 35 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 350 0 pps Bytes : 24350 0 bps Transmitted: Packets : 350 0 pps Bytes : 24350 0 bps ... Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 100 0 pps Bytes : 15272 0 bps Transmitted: Packets : 100 0 pps Bytes : 15272 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 19 0 pps Bytes : 247 0 bps Transmitted: Packets : 19 0 pps Bytes : 247 0 bps …
user@R0> show interfaces queue se-1/0/1 Physical interface: se-1/0/1, Enabled, Physical link is Up Interface index: 142, SNMP ifIndex: 38 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 350 0 pps Bytes : 24350 0 bps Transmitted: Packets : 350 0 pps Bytes : 24350 0 bps … Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 300 0 pps Bytes : 45672 0 bps Transmitted: Packets : 300 0 pps Bytes : 45672 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 18 0 pps Bytes : 234 0 bps Transmitted: Packets : 18 0 pps Bytes : 234 0 bps
—Die Ausgabe dieser Befehle zeigt die Pakete, die in jeder Warteschlange der Link-Services-Schnittstelle und der zugehörigen Links übertragen und in die Warteschlange eingereiht wurden. Zeigt eine Zusammenfassung dieser Werte an.
Meaning
Tabelle 7 (Da die Anzahl der übertragenen Pakete der Anzahl der Pakete in der Warteschlange auf allen Verbindungen entsprach, werden in dieser Tabelle nur die Pakete in der Warteschlange angezeigt.)Tabelle 7: Anzahl der Pakete, die in einer Warteschlange übertragen wurden Pakete in der Warteschlange
Paket lsq-0/0/0.0
Konstituierender Link se-1/0/0
Konstituierender Link se-1/0/1
Erklärung
Pakete auf Q0
600
350
350
Die Gesamtzahl der Pakete, die die konstituierenden Verbindungen durchliefen (350+350 = 700), überstieg die Anzahl der Pakete (600) in der Warteschlange des Multilink-Pakets.
Pakete im 2. Quartal
400
100
300
Die Gesamtzahl der Pakete, die die konstituierenden Links durchliefen, entsprach der Anzahl der Pakete auf dem Paket.
Pakete im 3. Quartal
0
19
18
Die Pakete, die Q3 der konstituierenden Links durchqueren, sind für Keepalive-Nachrichten, die zwischen konstituierenden Verbindungen ausgetauscht werden. Somit wurden in Q3 des Bundles keine Pakete gezählt.
Überprüfen Sie im Multilink-Bundle Folgendes:
Die Anzahl der Pakete, die sich in der Warteschlange befinden, stimmt mit der Anzahl der übertragenen Pakete überein. Wenn die Nummern übereinstimmen, wurden keine Pakete verworfen. Wenn mehr Pakete in die Warteschlange eingereiht als übertragen wurden, wurden Pakete verworfen, weil der Puffer zu klein war. Die Puffergröße auf den konstituierenden Links steuert die Überlastung in der Ausgangsstufe. Um dieses Problem zu beheben, erhöhen Sie die Puffergröße für die konstituierenden Links.
Die Anzahl der Pakete, die Q0 (600) durchqueren, stimmt mit der Anzahl der großen und kleinen Datenpakete überein, die auf dem Multilink-Bundle empfangen wurden (100+500). Stimmen die Nummern überein, haben alle Datenpakete Q0 korrekt durchquert.
Die Anzahl der Pakete, die Q2 auf dem Multilink-Bundle (400) durchqueren, stimmt mit der Anzahl der Sprachpakete überein, die auf dem Multilink-Bundle empfangen wurden. Wenn die Nummern übereinstimmen, haben alle Sprach-LFI-Pakete Q2 korrekt übertragen.
Überprüfen Sie bei den konstituierenden Links Folgendes:
Die Gesamtzahl der Pakete, die Q0 durchqueren (350+350), stimmt mit der Anzahl der Datenpakete und Datenfragmente (500+200) überein. Wenn die Zahlen übereinstimmen, haben alle Datenpakete nach der Fragmentierung Q0 der konstituierenden Links korrekt durchlaufen.
Pakete durchliefen beide konstituierenden Links, was darauf hindeutet, dass der Lastenausgleich bei Nicht-LFI-Paketen korrekt durchgeführt wurde.
Die Gesamtzahl der Pakete, die Q2 (300+100) auf konstituierenden Verbindungen durchlaufen, stimmt mit der Anzahl der empfangenen Sprachpakete (400) auf dem Multilink-Bundle überein. Wenn die Nummern übereinstimmen, haben alle Sprach-LFI-Pakete Q2 korrekt übertragen.
LFI-Pakete vom Quellport übertragen und LFI-Pakete vom Quellport übertragen.
100
se-1/0/0
200
se-1/0/1
Daher wurden alle LFI (Q2)-Pakete basierend auf dem Quellport gehasht und führten beide konstituierenden Links korrekt durch.
Corrective Action
—Wenn die Pakete nur eine Verbindung übertragen haben, führen Sie die folgenden Schritte aus, um das Problem zu beheben:Bestimmen Sie, ob die physische Verbindung (betriebsbereit) oder (nicht verfügbar) ist .
up
down
Eine nicht verfügbare Verbindung weist auf ein Problem mit dem PIM, dem Schnittstellenport oder der physischen Verbindung hin (Fehler auf der Verbindungsebene). Wenn die Verbindung betriebsbereit ist, fahren Sie mit dem nächsten Schritt fort.Stellen Sie sicher, dass die Klassifizierer für Nicht-LFI-Pakete korrekt definiert sind. Stellen Sie sicher, dass Nicht-LFI-Pakete nicht so konfiguriert sind, dass sie in Q2 in die Warteschlange gestellt werden. Alle Pakete, die sich in Q2 in der Warteschlange befinden, werden als LFI-Pakete behandelt.
Stellen Sie sicher, dass mindestens einer der folgenden Werte in den LFI-Paketen unterschiedlich ist: Quelladresse, Zieladresse, IP-Protokoll, Quellport oder Zielport. Wenn für alle LFI-Pakete die gleichen Werte konfiguriert sind, werden die Pakete alle mit demselben Datenstrom gehasht und durchlaufen dieselbe Verbindung.
Verwenden Sie die Ergebnisse, um den Lastenausgleich zu überprüfen.
Ermitteln, warum Pakete auf einem PVC zwischen einem Gerät von Juniper Networks und einem Gerät eines Drittanbieters verworfen werden
Problem
Beschreibung
Sie konfigurieren eine permanente virtuelle Verbindung (PVC) zwischen T1-, E1-, T3- oder E3-Schnittstellen auf einem Gerät von Juniper Networks und einem Gerät eines Drittanbieters, und Pakete werden verworfen und der Ping schlägt fehl.
Lösung
Wenn das Gerät eines Drittanbieters nicht über die gleiche FRF.12-Unterstützung wie das Gerät von Juniper Networks verfügt oder FRF.12 auf andere Weise unterstützt, verwirft die Geräteschnittstelle von Juniper Networks auf dem PVC möglicherweise ein fragmentiertes Paket, das FRF.12-Header enthält, und zählt es als "polizeilich verworfen".
Um dieses Problem zu umgehen, konfigurieren Sie Multilink-Bundles auf beiden Peers und Fragmentierungsschwellenwerte für die Multilink-Bundles.
Fehlerbehebung bei Sicherheitsrichtlinien
- Synchronisieren von Richtlinien zwischen Routing-Engine und Paketweiterleitungs-Engine
- Überprüfen eines Fehlers bei der Festschreibung einer Sicherheitsrichtlinie
- Überprüfen eines Sicherheitsrichtlinien-Commits
- Debuggen der Richtliniensuche
Synchronisieren von Richtlinien zwischen Routing-Engine und Paketweiterleitungs-Engine
Problem
Beschreibung
Sicherheitsrichtlinien werden in der Routing-Engine und der Paketweiterleitungs-Engine gespeichert. Sicherheitsrichtlinien werden von der Routing-Engine an die Paketweiterleitungs-Engine übertragen, wenn Sie Konfigurationen bestätigen. Wenn die Sicherheitsrichtlinien der Routing-Engine nicht mit der Paketweiterleitungs-Engine synchronisiert sind, schlägt der Commit einer Konfiguration fehl. Core-Dump-Dateien können generiert werden, wenn der Commit wiederholt versucht wird. Die Störung der Synchronisierung kann folgende Ursachen haben:
Eine Richtliniennachricht von der Routing-Engine an die Paketweiterleitungs-Engine geht während der Übertragung verloren.
Ein Fehler mit der Routing-Engine, z. B. eine wiederverwendete Richtlinien-UID.
Infrastruktur
Die Richtlinien in der Routing-Engine und der Paketweiterleitungs-Engine müssen synchron sein, damit die Konfiguration festgeschrieben werden kann. Unter bestimmten Umständen können die Richtlinien in der Routing-Engine und der Paketweiterleitungs-Engine jedoch nicht synchron sein, was dazu führt, dass der Commit fehlschlägt.
Symptome
Wenn die Richtlinienkonfigurationen geändert werden und die Richtlinien nicht synchron sind, wird die folgende Fehlermeldung angezeigt: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Lösung
Verwenden Sie den Befehl, um den Prüfsummenwert der Sicherheitsrichtlinie anzuzeigen, und verwenden Sie den Befehl, um die Konfiguration der Sicherheitsrichtlinien in der Routing-Engine und der Paketweiterleitungs-Engine zu synchronisieren, wenn die Sicherheitsrichtlinien nicht synchron sind.show security policies checksum
request security policies resync
Siehe auch
Überprüfen eines Fehlers bei der Festschreibung einer Sicherheitsrichtlinie
Problem
Beschreibung
Die meisten Richtlinienkonfigurationsfehler treten während eines Commits oder zur Laufzeit auf.
Commit-Fehler werden direkt in der CLI gemeldet, wenn Sie den CLI-Befehl im Konfigurationsmodus ausführen.commit-check Bei diesen Fehlern handelt es sich um Konfigurationsfehler, und Sie können die Konfiguration nicht bestätigen, ohne diese Fehler zu beheben.
Lösung
Gehen Sie wie folgt vor, um diese Fehler zu beheben:
Überprüfen Sie Ihre Konfigurationsdaten.
Öffnen Sie die Datei /var/log/nsd_chk_only. Diese Datei wird jedes Mal überschrieben, wenn Sie eine Commit-Prüfung durchführen, und enthält detaillierte Fehlerinformationen.
Überprüfen eines Sicherheitsrichtlinien-Commits
Problem
Beschreibung
Wenn Sie nach dem Ausführen eines Commits für die Richtlinienkonfiguration feststellen, dass das Systemverhalten nicht korrekt ist, führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:
Lösung
Betriebsbefehle : Führen Sie die Betriebsbefehle für Sicherheitsrichtlinien aus und überprüfen Sie, ob die in der Ausgabe angezeigten Informationen mit Ihren Erwartungen übereinstimmen.show Ist dies nicht der Fall, muss die Konfiguration entsprechend geändert werden.
Traceoptions: Legen Sie den Befehl in Ihrer Richtlinienkonfiguration fest.
traceoptions
Die Flags unter dieser Hierarchie können gemäß der Benutzeranalyse der Befehlsausgabe ausgewählt werden.show
Wenn Sie nicht bestimmen können, welches Flag verwendet werden soll, kann die Option flag verwendet werden, um alle Ablaufverfolgungsprotokolle zu erfassen.all
user@host#
set security policies traceoptions <flag all>
Sie können auch einen optionalen Dateinamen konfigurieren, um die Protokolle zu erfassen.
user@host# set security policies traceoptions <filename>
Wenn Sie in den Trace-Optionen einen Dateinamen angegeben haben, können Sie in /var/log/<filename> nach der Protokolldatei suchen, um festzustellen, ob Fehler in der Datei gemeldet wurden. (Wenn Sie keinen Dateinamen angegeben haben, lautet der Standarddateiname eventd.) Die Fehlermeldungen geben den Ort des Fehlers und die entsprechende Ursache an.
Nachdem Sie die Ablaufverfolgungsoptionen konfiguriert haben, müssen Sie die Konfigurationsänderung, die das falsche Systemverhalten verursacht hat, erneut bestätigen.
Debuggen der Richtliniensuche
Problem
Beschreibung
Wenn Sie über die richtige Konfiguration verfügen, aber ein Teil des Datenverkehrs fälschlicherweise verworfen oder zugelassen wurde, können Sie das Flag in den Trace-Optionen für Sicherheitsrichtlinien aktivieren.lookup
Das Flag protokolliert die ablaufverfolgungsbezogenen Ablaufverfolgungen in der Ablaufverfolgungsdatei.lookup
Lösung
user@host# set security policies traceoptions <flag lookup>
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.