ポリサー設定のトラブルシューティング

説明

特定の状況では、Junos OS がイングレス ポリサーによってドロップされたパケットの数が誤解を招く可能性があります。

イングレスアドミッション制御によってパケットがドロップされた場合、ポリサーの統計情報には、イングレスパケット数とエグレスパケット数の差を計算することで予想されるパケットドロップ数が表示されない場合があります。これは、複数のインターフェイスにイングレスポリサーを適用し、それらのインターフェイスの集約イングレスレートが、一般的なエグレスインターフェイスのラインレートを超えた場合に発生する可能性があります。この場合、イングレス バッファからパケットがドロップされる可能性があります。これらのドロップは、ポリサーがドロップしたパケットの数に含まれず、ポリサーの統計情報はドロップの総数をアンダーレポートします。

説明

ファイアウォール フィルター条件を編集する場合、同じフィルター内の任意の条件に関連付けられた任意のカウンターの値は 0 に設定され、フィルターによって参照されるポリサーの暗黙的なカウンターも含まれます。次の例を考えてみましょう。

• フィルター term1に 、 、 term2、 、および term3の各条件に、一致するパケットが既にカウントされているカウンターがあると仮定します。いずれかの条件を編集すると、すべての用語のカウンターが 0 にリセットされます。

• フィルターに と が含 term1 まれると仮定します term2。また、term2policerアクション修飾子とポリサーの暗黙的なカウンターがすでに1000個の一致パケットをカウントしていると仮定します。編集 term1 または term2 何らかの方法で行う場合、によって参照される term2 ポリサーのカウンターは 0 にリセットされます。

説明

ファイアウォール フィルターに 128 を超える条件でシングルレートの 2 カラー ポリサーを適用すると、コマンドの出力にポリサーの show firewall 不正なデータが表示されます。

説明

一部のスイッチでは、設定するエグレス ポリサーの数は、許可されるエグレス ファイアウォール フィルターの総数に影響する可能性があります。すべてのポリサーには、1024 エントリ TCAM で 2 つのエントリを取る 2 つの暗黙的なカウンターがあります。これらは、ファイアウォールフィルター条件でアクション修飾子として設定されたカウンターを含む、カウンターに使用されます。(ポリサーは、1 つはグリーン パケットに使用され、もう 1 つはポリサー タイプに関係なく非グリーン パケットに使用されるため、2 つのエントリーを消費します。TCAM がフルになった場合、カウンター付きの条件を持つエグレス ファイアウォール フィルターをこれ以上コミットすることはできません。例えば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンターのすべてのメモリ エントリーが使い尽くされます。設定ファイルの後半にカウンターも含まれる条件を含むエグレスファイアウォールフィルターを追加挿入する場合、カウンターに使用可能なメモリスペースがないため、これらのフィルターの条件はコミット されなくなります 。

その他の例を以下に示します。

• 合計 512 個のポリサーとカウンターを含めないエグレス フィルターを設定することを想定しています。設定ファイルの後半には、10個の条件を持つ別のエグレスフィルターが含まれており、そのうちの1つはカウンターアクション修飾子を持っています。カウンターのための十分な TCAM スペースがないため、このフィルター内の条件のいずれもコミットされません。

• 合計 500 個のポリサーを含むエグレス フィルターを設定し、1,000 の TCAM エントリが占有されると仮定します。設定ファイルの後半には、以下の2つのエグレスフィルターが含まれます。

  • 20個の条件と20個のカウンターでAをフィルタリングします。すべてのカウンターに十分な TCAM スペースがあるため、このフィルターのすべての条件がコミットされます。

  • フィルターBはフィルターAの後に来て、5つの条件と5つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルター内の条件のいずれもコミットされません。(TCAM エントリは 5 つ必要ですが、利用できるのは 4 つだけです)。