Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fehlerbehebung bei Policer-Konfiguration

Unvollständige Anzahl von Paketverlusten

Problem

Beschreibung

Unter bestimmten Umständen Junos OS irreführende Anzahl von durch einen Ingress-Policer übertragenen Paketen anzeigen.

Wenn Pakete aufgrund der Ingress-Admission-Kontrolle verworfen werden, zeigt die Policer-Statistik unter Umständen nicht die Anzahl der Paketverlusten, die Sie erwarten, wenn sie den Unterschied zwischen der Ingress- und der Egress-Paketanzahl berechnet. Dies kann passieren, wenn Sie einen Ingress-Policer auf mehrere Schnittstellen anwenden, und die aggregierte Ingress-Rate dieser Schnittstellen übertrifft die Leitungsgeschwindigkeit einer gemeinsamen Ausgangsschnittstelle. In diesem Fall könnten Pakete aus dem Ingress-Puffer gelöscht werden. Diese Verfeinerungen sind nicht in der Anzahl der vom Policer abgeworfenen Pakete enthalten. Dies führt dazu, dass die Policer-Statistiken die Gesamtzahl der Verlusten unter kontrollen.

Lösung

Damit wird ein solches Verhalten erwartet.

Zurücksetzen auf Zähler beim Bearbeiten des Filters

Problem

Beschreibung

Wenn Sie einen Begriff für den Firewall-Filter bearbeiten, wird der Wert aller Zähler, die mit einem beliebigen Begriff im selben Filter verknüpft sind, auf 0 festgelegt. Dies gilt auch für den impliziten Zähler für jeden Vom Filter referenzierten Policer. Sehen Sie sich die folgenden Beispiele an:

  • Nehmen wir an, dass Ihr Filter über Zähler verfügt und jeder Begriff einen Zähler hat, der bereits zueinander gezählt term1term2term3 wurde. Wenn Sie eines der Begriffe in irgendeiner Weise bearbeiten, werden die Zähler für alle Begriffe auf 0 zurückgesetzt.

  • Gehen Sie davon aus, dass Ihr Filter term1 dies auf sich hat term2 und . Gehen Sie auch davon aus, dass eine Aktion ändert und der implizite Zähler des Policers bereits term2policer 1000 übereinstimmende Pakete gezählt hat. Wenn Sie den Policer bearbeiten oder in irgendeiner Weise bearbeiten, wird der Zähler für den Policer auf term1term2term2 0 zurückgesetzt.

Lösung

Damit wird ein solches Verhalten erwartet.

Ungültige Statistiken für Policer

Problem

Beschreibung

Wenn Sie einen Single-Rate-Zwei-Farb-Policer in einem Firewall-Filter in mehr als 128 Bedingungen anwenden, zeigt die Ausgabe des Befehls falsche Daten für den show firewall Policer an.

Lösung

Damit wird ein solches Verhalten erwartet.

Policer können Ausgangsfilter begrenzen

Problem

Beschreibung

Auf einigen Switches kann die Anzahl der von Ihnen konfigurierten Egress-Policer die Gesamtzahl der zulässigen Firewall-Filter beeinträchtigen. Jeder Policer verfügt über zwei implizite Zähler, die zwei Einträge in einer 1024-Eingangs-TCAM enthalten. Diese werden für Zähler verwendet, einschließlich Zähler, die als Aktionsmoderatoren in Firewall-Filter-Bedingungen konfiguriert werden. (Policer verbrauchen zwei Einträge, da eine für grüne Pakete und eine für nichtgreensige Pakete unabhängig vom Policer-Typ verwendet wird.) Wenn die TCAM vollständig wird, können Sie keine ausgehenden Firewall-Filter mehr mit Bedingungen mit Leistungsindikatoren festlegen. Wenn Sie beispielsweise 512 Ausgangs-Policer (zwei Farben, drei Farben oder eine Kombination beider Policer-Typen) konfigurieren und commit, werden alle Speichereinträge für Zähler genutzt. Wenn Sie später in Ihrer Konfigurationsdatei zusätzliche Egress-Firewall-Filter mit Begriffen einfügen, die auch Zähler enthalten, werden keine der Begriffe in diesen Filtern zugesagt, da kein verfügbarer Speicherplatz für die Leistungszähler vorhanden ist.

Dies sind einige weitere Beispiele:

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 512 Policer und keine Zähler enthalten. Später in Ihrer Konfigurationsdatei enthalten Sie einen weiteren Ausgangsfilter mit 10 Begriffen, von denen 1 einen Zähler ändert. Keine der Bedingungen in diesem Filter wird zugesagt, da nicht genügend TCAM-Bereich für den Zähler vorhanden ist.

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 500 Policer umfassen, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei enthalten Sie die folgenden zwei Egress-Filter:

    • Filtern Sie A mit 20 Begriffen und 20 Zählern. Alle Bedingungen in diesem Filter werden zugesagt, da für alle Zähler ausreichend TCAM-Platz zur Verfügung steht.

    • Filter B kommt hinter Filter A und hat fünf Begriffe und fünf Zähler. Keine der Bedingungen in diesem Filter wird zugesagt, da nicht genug Speicherplatz für alle Leistungsindikatoren zur Verfügung steht. (Fünf TCAM-Anmeldungen sind erforderlich, aber nur vier sind verfügbar.)

Lösung

Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Begriffe für ausgehende Firewall-Filter mit Gegenmaßnahmen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall engagiert Junos OS Policer, auch wenn nicht genug TCAM-Bereich für implizite Zähler vorhanden ist. Gehen Sie beispielsweise von folgendem aus:

  • Es gibt Begriffe für 1024-Firewall-Filter mit Gegenmaßnahmen.

  • Später in Ihrer Konfigurationsdatei wird ein Ausgangsfilter mit 10 Bedingungen angezeigt. Keine der Begriffe hat Zähler, aber bei einer wird eine Policer-Aktion ändern.

Sie können den Filter erfolgreich mit 10 Bedingungen festlegen, obwohl es nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers gibt. Der Policer wird ohne die Zähler engagiert.