Fehlerbehebung bei der Policer-Konfiguration
Unvollständige Anzahl von Paketverlusten
Problem
Beschreibung
Unter bestimmten Umständen kann Junos OS eine irreführende Anzahl von Paketen anzeigen, die von einem Eingangspolizisten verworfen wurden.
Wenn Pakete aufgrund der Eingangssteuerung verworfen werden, zeigt die Polizeistatistik möglicherweise nicht die Anzahl der Paketverluste an, die Sie bei der Berechnung der Differenz zwischen der Anzahl der eingehenden und ausgehenden Pakete erwarten würden. Dies kann der Fall sein, wenn Sie einen Eingangspolicer auf mehrere Schnittstellen anwenden und die aggregierte Eingangsrate dieser Schnittstellen die Leitungsrate einer allgemeinen Ausgangsschnittstelle überschreitet. In diesem Fall können Pakete aus dem Eingangspuffer verworfen werden. Diese Drops werden nicht in die Anzahl der vom Policer verworfenen Pakete einbezogen, was dazu führt, dass die Policer-Statistiken die Gesamtzahl der Drops unterschätzen.
Lösung
Dies ist das erwartete Verhalten.
Zurücksetzen des Zählers beim Bearbeiten von Filtern
Problem
Beschreibung
Wenn Sie einen Firewallfilterbegriff bearbeiten, wird der Wert eines beliebigen Indikators, der einem beliebigen Begriff im selben Filter zugeordnet ist, auf 0 gesetzt, einschließlich des impliziten Zählers für alle Policer, auf die der Filter verweist. Betrachten Sie die folgenden Beispiele:
Angenommen, Ihr Filter hat , und , und jeder Begriff hat einen Zähler, der bereits übereinstimmende Pakete gezählt hat.
term1
term2
term3
Wenn Sie einen der Begriffe in irgendeiner Weise bearbeiten, werden die Zähler für alle Begriffe auf 0 zurückgesetzt.Angenommen, Ihr Filter hat und .
term1
term2
Nehmen wir außerdem an, dass es einen Aktionsmodifizierer hat und der implizite Zähler des Policers bereits 1000 übereinstimmende Pakete gezählt hat.term2
policer
Wenn Sie Änderungen vornehmen oder in irgendeiner Weise, wird der Zähler für den Policer, auf den verwiesen wird , auf 0 zurückgesetzt.term1
term2
term2
Lösung
Dies ist das erwartete Verhalten.
Ungültige Statistik für Policer
Policer können Ausgangsfilter begrenzen
Problem
Beschreibung
Bei einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Ausgangs-Policer auf die Gesamtzahl der zulässigen Ausgangs-Firewall-Filter auswirken. Jeder Policer hat zwei implizite Zähler, die zwei Einträge in einem TCAM mit 1024 Einträgen belegen. Diese werden für Leistungsindikatoren verwendet, einschließlich Leistungsindikatoren, die in Firewallfilterbegriffen als Aktionsmodifizierer konfiguriert sind. (Policer verbrauchen zwei Einträge, da einer für grüne Pakete und einer für nicht-grüne Pakete verwendet wird, unabhängig vom Polizeityp.) Wenn das TCAM voll wird, können Sie keine weiteren Ausgangs-Firewallfilter mit Termen mit Zählern festlegen. Wenn Sie z. B. 512 Ausgangs-Policer konfigurieren und festschreiben (zweifarbig, dreifarbig oder eine Kombination aus beiden Policer-Typen), werden alle Speichereinträge für Zähler aufgebraucht. Wenn Sie später in der Konfigurationsdatei zusätzliche Ausgangsfirewallfilter mit Begriffen einfügen, die auch Leistungsindikatoren enthalten, wird für keinen der Begriffe in diesen Filtern ein Commit ausgeführt, da kein Speicherplatz für die Leistungsindikatoren verfügbar ist.
Hier sind einige weitere Beispiele:
Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 512 Policer und keine Leistungsindikatoren enthalten. Später in der Konfigurationsdatei fügen Sie einen weiteren Ausgangsfilter mit 10 Termen ein, von denen 1 über einen Gegenaktionsmodifizierer verfügt. Keiner der Begriffe in diesem Filter ist festgeschrieben, da nicht genügend TCAM-Speicherplatz für den Zähler vorhanden ist.
Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 500 Policer enthalten, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei fügen Sie die folgenden beiden Ausgangsfilter ein:
Filter A mit 20 Begriffen und 20 Leistungsindikatoren. Für alle Begriffe in diesem Filter wird ein Commit ausgeführt, da genügend TCAM-Speicherplatz für alle Leistungsindikatoren vorhanden ist.
Filter B kommt nach Filter A und hat fünf Terme und fünf Indikatoren. Für keinen der Begriffe in diesem Filter wurde ein Commit ausgeführt, da nicht genügend Speicherplatz für alle Leistungsindikatoren vorhanden ist. (Fünf TCAM-Einträge sind erforderlich, aber nur vier sind verfügbar.)
Lösung
Sie können dieses Problem vermeiden, indem Sie sicherstellen, dass Ausdrücke für Egress-Firewallfilter mit Gegenaktionen früher in der Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall führt Junos OS einen Commit für Policer aus, auch wenn nicht genügend TCAM-Speicherplatz für die impliziten Zähler vorhanden ist. Nehmen Sie zum Beispiel Folgendes an:
Sie verfügen über 1024 Ausgangs-Firewall-Filterbegriffe mit Gegenaktionen.
Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keiner der Begriffe hat Zähler, aber einer hat einen Polizeiaktionsmodifikator.
Sie können den Filter mit 10 Begriffen erfolgreich festschreiben, obwohl nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers vorhanden ist. Der Polizist wird ohne die Zähler begangen.