Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Solución de problemas de configuración de la policía

 

Recuento incompleto de caídas de paquetes

Problema

Description: En determinadas circunstancias, Junos OS podría mostrar un número erróneo de paquetes descartados por una policía de entrada.

Si los paquetes se rechazan a causa del control de admisión de entrada, es posible que las estadísticas del policía no muestren el número de paquetes de descarte que cabría esperar calculando la diferencia entre el recuento de paquetes de entrada y de salida. Esto puede ocurrir si aplica un policial de entrada a varias interfaces y la tasa de ingreso de agregado de esas interfaces supera la velocidad de línea de una interfaz de salida común. En este caso, es posible que los paquetes se quiten del búfer de entrada. Estas caídas no se incluyen en el recuento de paquetes descartados por la policía, lo que hace que las estadísticas de policía notifiquen el número total de caídas.

Solución

Este es el comportamiento esperado.

Restablecimiento del contador al editar el filtro

Problema

Description: Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término en el mismo filtro se establece en 0, lo que incluye el contador implícito de cualquier policía a la que haga referencia el filtro. Tenga en cuenta los ejemplos siguientes:

  • Suponga que el filtro tiene term1, term2, y term3, y cada término tiene un contador que ya ha contado los paquetes coincidentes. Si modifica cualquiera de los términos de cualquier modo, los contadores de todos los términos se restablecerán en 0.

  • Suponga que el filtro tiene term1 y term2. Supongamos term2 también que policer hay un modificador de acción y que el contador implícito de la policía ya ha contado 1000 paquetes coincidentes. Si modifica term1 o term2 de alguna manera, el contador del responsable de la policía al que term2 se hace referencia se restablece en 0.

Solución

Este es el comportamiento esperado.

Estadísticas no válidas para el Policiale

Problema

Description: Si aplica un policía de dos colores de una sola tasa en más de 128 términos en un filtro de cortafuegos, la salida del show firewall comando mostrará datos incorrectos del mismo.

Solución

Este es el comportamiento esperado.

Las políticas pueden limitar los filtros de salida

Problema

Description: En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de Firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de entrada de 1024. Se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acciones en los términos de filtros de Firewall. (Los enpoliciales utilizan dos entradas porque una se utiliza para los paquetes verdes y la otra se utiliza para los paquetes que no son verdes independientemente del tipo de policíación). Si el TCAM se llena, no podrá confirmar más filtros de Firewall de salida con términos con contadores. Por ejemplo, si configura y confirma 512 políticas de salida (dos colores, tres colores o una combinación de ambos tipos de policíación), se utilizan todas las entradas de memoria para los contadores. Si más adelante en el archivo de configuración inserta filtros adicionales de Firewall de salida con términos que también incluyen contadores, no se confirmará ninguno de los términos de esos filtros porque no hay espacio de memoria disponible para los contadores.

A continuación, encontrará algunos ejemplos adicionales:

  • Suponga que configura filtros de salida que incluyen un total de 512 policiales y ningún contador. Más adelante en el archivo de configuración, incluye otro filtro de salida con 10 términos, uno de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro están confirmados porque no hay espacio en TCAM suficiente para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policiales, por lo que las entradas 1000 TCAM están ocupadas. Más adelante en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

    • Filtrar con 20 términos y 20 contadores. Todos los términos de este filtro están confirmados porque hay suficiente espacio en TCAM para todos los contadores.

    • El filtro B va después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro están confirmados porque no hay suficiente espacio en memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo hay cuatro disponibles.)

Solución

Puede evitar este problema asegurándose de que los términos de filtro de Firewall de salida con acciones de contador se colocan anteriormente en su archivo de configuración que los términos que incluyen policiales. En estas circunstancias, Junos OS confirma las políticas, incluso si no hay suficiente espacio en TCAM para los contadores implícitos. Por ejemplo, supongamos lo siguiente:

  • Dispone de términos de filtro de Firewall de 1024 con acciones de contador.

  • Más adelante en su archivo de configuración tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores pero uno tiene un modificador de acciones de policía.

Puede confirmar correctamente el filtro con 10 términos, aunque no haya espacio TCAM suficiente para los contadores implícitos del policía. El policial se confirma sin los contadores.