Solución de problemas de configuración de Policer

Description

En determinadas circunstancias, Junos OS puede mostrar un número engañoso de paquetes descartados por un controlador de entrada.

Si los paquetes se caen debido al control de admisión de entrada, es posible que las estadísticas de la policía no muestren el número de paquetes perdidos que esperaría calculando la diferencia entre los recuentos de paquetes de entrada y salida. Esto puede suceder si aplica un aplicador de políticas de entrada a varias interfaces y la tasa de entrada agregada de esas interfaces supera la velocidad de línea de una interfaz de salida común. En este caso, es posible que los paquetes se descarten del búfer de entrada. Estas gotas no se incluyen en el recuento de paquetes lanzados por el policía, lo que hace que las estadísticas del policía informen menos del número total de caídas.

Description

Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término del mismo filtro se establece en 0, incluido el contador implícito para cualquier aplicador de policía al que haga referencia el filtro. Considere los siguientes ejemplos:

• Suponga que el filtro tiene , y , y que cada término tiene un contador que ya ha contado paquetes coincidentes.term1term2term3 Si edita alguno de los términos de alguna manera, los contadores de todos los términos se restablecen a 0.

• Suponga que el filtro tiene y .term1term2 Supongamos también que tiene un modificador de acción y que el contador implícito del aplicador ya ha contado 1000 paquetes coincidentes.term2policer Si edita o de alguna manera, el contador del policía al que hace referencia se restablece a 0.term1term2term2

Description

Si aplica un aplicador de dos colores de velocidad única en más de 128 términos en un filtro de firewall, el resultado del comando muestra datos incorrectos para el aplicador.show firewall

Description

Si configura un policer para limitar la velocidad del rendimiento y lo aplica al salir a varias interfaces en un conmutador o nodo QFX3500, la tasa de vigilancia agregada medida podría ser el doble de la velocidad configurada, dependiendo de las interfaces a las que aplique el aplicador de policía. La duplicación de la tasa vigilada se produce si se aplica un aplicador a varias interfaces y se cumplen las dos condiciones siguientes:

• Hay al menos una interfaz vigilada en el rango xe-0/0/0 a xe-0/0/23 o en el rango xe-0/1/1 a xe-0/1/7.

• Hay al menos una interfaz vigilada en el rango xe-0/0/24 a xe-0/0/47 o en el rango xe-0/1/8 a xe-0/1/15.

Por ejemplo, si configura un aplicador de policía para limitar la velocidad del tráfico a 1 Gbps y aplica el aplicador (mediante un filtro de firewall) a xe-0/0/0 y xe-0/0/24 en la dirección de salida, cada interfaz tiene una velocidad limitada a 1 Gbps, para un rendimiento total permitido de 2 Gbps. El mismo comportamiento se produce si aplica el aplicador a xe-0/1/1 y xe-0/0/24: cada interfaz tiene una velocidad limitada a 1 Gbps.

Si aplica el mismo aplicador de políticas en la salida a varias interfaces de estos grupos, cada grupo tiene una velocidad limitada a 1 Gbps. Por ejemplo, si aplica el aplicador de políticas a xe-0/0/0 a xe-0/0/4 (cinco interfaces) y xe-0/0/24 a xe-0/0/33 (diez interfaces), cada grupo tiene una velocidad limitada a 1 Gbps, para un rendimiento total permitido de 2 Gbps.

Aquí hay otro ejemplo: Si aplica el aplicador de políticas a xe-0/0/0 a xe-0/0/4 y xe-0/1/1 a xe-0/1/5 (un total de diez interfaces), ese grupo tiene una velocidad limitada a 1 Gbps en total. Si también aplica el aplicador de políticas a xe-0/0/24, esa interfaz tiene una velocidad limitada a 1 Gbps mientras que las otras diez siguen estando limitadas a 1 Gbps en total.

Las interfaces xe-0/1/1 a xe-0/1/15 se encuentran físicamente en los puertos de enlace ascendente QSFP+, según el siguiente esquema:

• xe-0/1/1 a xe-0/1/3 están en Q0.

• xe-0/1/4 a xe-0/1/7 están en Q1.

• xe-0/1/8 a xe-0/1/11 están en Q2.

• xe-0/1/2 a xe-0/1/15 están en Q3.

La duplicación de la tasa vigilada se produce sólo si el aplicador se aplica en la dirección de salida. Si configura un aplicador de políticas como se describió anteriormente pero lo aplica en la dirección de entrada, el rendimiento total permitido para todas las interfaces es de 1 Gbps.

Description

Puede configurar los aplicadores de políticas para que sean específicos del filtro. Esto significa que Junos OS solo crea una instancia de policía sin importar cuántas veces se haga referencia al aplicador. Al hacerlo, la limitación de velocidad se aplica en conjunto, por lo que si configura un controlador para descartar el tráfico que supera 1 Gbps y hace referencia a ese controlador en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de un controlador de policía específico del filtro se ve afectado por la forma en que los términos de filtro de firewall que hacen referencia al controlador se almacenan en la memoria direccionable de contenido ternario (TCAM). Si crea un aplicador de policía específico del filtro y hace referencia a él en varios términos de filtro de firewall, el controlador permite más tráfico del esperado si los términos se almacenan en distintos segmentos de TCAM. Por ejemplo, si configura un controlador de policía para descartar el tráfico que supera 1 Gbps y hace referencia a ese controlador en tres términos diferentes almacenados en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no de 1 Gbps.

Description

En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de 1024 entradas. Se usan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los aplicadores de policía consumen dos entradas porque una se usa para paquetes verdes y otra se usa para paquetes no verdes, independientemente del tipo de aplicador). Si el TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma 512 policías de salida (de dos colores, de tres colores o una combinación de ambos tipos de policía), todas las entradas de memoria de los contadores se agotan. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos adicionales:

• Suponga que configura filtros de salida que incluyen un total de 512 policías y ningún contador. Más adelante en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de contraacción. Ninguno de los términos de este filtro está confirmado porque no hay suficiente espacio TCAM para el contador.

• Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que están ocupadas 1000 entradas TCAM. Más adelante en el archivo de configuración se incluyen los dos filtros de salida siguientes:

  • Filtro A con 20 términos y 20 contadores. Todos los términos de este filtro se confirman porque hay suficiente espacio TCAM para todos los contadores.

  • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo cuatro están disponibles).