Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Dépannage de la configuration de Policer

Nombre incomplet d’abandons de paquets

Problème

Description

Dans certaines circonstances, Junos OS peut afficher un nombre trompeur de paquets abandonnés par un mécanisme de contrôle d’entrée.

Si des paquets sont abandonnés en raison du contrôle d’admission entrant, les statistiques du mécanisme de contrôle peuvent ne pas afficher le nombre d’abandons de paquets attendus en calculant la différence entre le nombre de paquets entrants et sortants. Cela peut se produire si vous appliquez un mécanisme de contrôle d’entrée à plusieurs interfaces et que le taux d’entrée agrégé de ces interfaces dépasse le débit de ligne d’une interface de sortie commune. Dans ce cas, les paquets peuvent être supprimés de la mémoire tampon d’entrée. Ces abandons ne sont pas inclus dans le nombre de paquets abandonnés par le contrôleur, ce qui fait que les statistiques du contrôleur sous-estiment le nombre total d’abandons.

Solution

Il s’agit d’un comportement attendu.

Réinitialisation du compteur lors de l’édition du filtre

Problème

Description

Si vous modifiez un terme de filtre de pare-feu, la valeur de tout compteur associé à n’importe quel terme dans le même filtre est définie sur 0, y compris le compteur implicite de tout mécanisme de contrôle référencé par le filtre. Prenons les exemples suivants :

  • Supposons que votre filtre a term1, term2et term3, et que chaque terme a un compteur qui a déjà compté les paquets correspondants. Si vous modifiez l’un des termes de quelque manière que ce soit, les compteurs de tous les termes sont réinitialisés à 0.

  • Supposons que votre filtre a term1 et term2. Supposons également que a un policer modificateur d’action et que term2 le compteur implicite du mécanisme de contrôle a déjà compté 1000 paquets correspondants. Si vous modifiez term1 ou term2 de quelque manière que ce soit, le compteur du mécanisme de contrôle référencé par term2 est remis à 0.

Solution

Il s’agit d’un comportement attendu.

Statistiques non valides pour Policer

Problème

Description

Si vous appliquez un mécanisme de contrôle bicolore à taux unique dans plus de 128 termes dans un filtre de pare-feu, la sortie de la show firewall commande affiche des données incorrectes pour le mécanisme de contrôle.

Solution

Il s’agit d’un comportement attendu.

Les mécanismes de contrôle peuvent limiter les filtres de sortie

Problème

Description

Sur certains commutateurs, le nombre de mécanismes de contrôle de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque agent de contrôle dispose de deux marqueurs implicites qui occupent deux entrées dans un TCAM à 1024 entrées. Ceux-ci sont utilisés pour les compteurs, y compris les compteurs qui sont configurés en tant que modificateurs d’action dans les termes de filtre de pare-feu. (Les mécanismes de contrôle utilisent deux entrées, car l’une est utilisée pour les paquets verts et l’autre pour les paquets non verts, quel que soit le type de mécanisme de contrôle.) Si le TCAM est saturé, vous ne pouvez plus valider les filtres de pare-feu de sortie qui ont des conditions avec des compteurs. Par exemple, si vous configurez et validez 512 mécanismes de contrôle de sortie (bicolores, tricolores ou une combinaison des deux types de mécanismes de contrôle), toutes les entrées de mémoire des compteurs sont utilisées. Si, plus loin dans votre fichier de configuration, vous insérez des filtres de pare-feu de sortie supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est validé, car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici d’autres exemples :

  • Supposons que vous configuriez des filtres de sortie qui incluent un total de 512 mécanismes de contrôle et aucun compteur. Plus loin dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 a un modificateur de contre-action. Aucun des termes de ce filtre n’est validé, car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposons que vous configuriez des filtres de sortie qui incluent un total de 500 mécanismes de contrôle, de sorte que 1000 entrées TCAM sont occupées. Plus loin dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :

    • Filtre A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont validés, car il y a suffisamment d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et possède cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est validé car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seulement quatre sont disponibles.)

Solution

Vous pouvez éviter ce problème en veillant à ce que les termes de filtre de pare-feu de sortie avec contre-actions soient placés plus tôt dans votre fichier de configuration que les termes qui incluent des mécanismes de contrôle. Dans ce cas, Junos OS valide les mécanismes de contrôle même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Par exemple, supposons ce qui suit :

  • Vous disposez de 1024 termes de filtre de pare-feu de sortie avec des contre-actions.

  • Plus loin dans votre fichier de configuration, vous avez un filtre de sortie avec 10 termes. Aucun des termes n’a de compteur, mais l’un d’entre eux a un modificateur d’action de contrôleur.

Vous pouvez valider le filtre avec 10 termes même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du contrôleur. Le policier s’engage sans les compteurs.

Voir également