ポリサー設定のトラブルシューティング

説明

特定の状況下では、Junos OS がイングレス ポリサーによってドロップされたパケット数を誤解させる数を表示することがあります。

ingressアドミッション制御のためにパケットがドロップされた場合、ポリサーの統計情報には、ingressとegressのパケット数の差を計算しても予想されるパケットドロップ数が表示されない可能性があります。これは、複数のインターフェイスにイングレスポリサーを適用しており、それらのインターフェイスの合計イングレスレートが共通のエグレスインターフェイスのラインレートを超えた場合に発生する可能性があります。この場合、パケットがイングレスバッファーからドロップされる可能性があります。これらのドロップは、ポリサーがドロップしたパケット数に含まれないため、ポリサーの統計ではドロップの総数を過小報告することがあります。

説明

ファイアウォールフィルターの条件を編集する場合、同じフィルター内の任意の条件に関連付けられたカウンターの値が0に設定され、フィルターが参照するポリサーの暗黙的なカウンターも含まれます。次の例を考えてみましょう。

• フィルターに term1、 term2、 term3があり、各条件に一致するパケットをすでにカウントしているカウンターがあるとします。いずれかの用語を編集すると、すべての用語のカウンターが0にリセットされます。

• フィルターに term1 と term2があるとします。また、 term2 に policer アクション修飾子があり、ポリサーの暗黙のカウンターがすでに1000件の一致するパケットをカウントしていると仮定します。何らかの方法で term1 または term2 を編集すると、 term2 が参照するポリサーのカウンターは0にリセットされます。

説明

ファイアウォールフィルターで128を超える条件で単一レートの2カラーポリサーを適用した場合、 show firewall コマンドの出力にポリサーの誤ったデータが表示されます。

説明

一部のスイッチでは、設定するエグレスポリサーの数が、許可されるエグレスファイアウォールフィルターの総数に影響することがあります。すべてのポリサーには、1024エントリのTCAMで2つのエントリを占める2つの暗黙のカウンターがあります。これらは、ファイアウォールフィルター用語でアクション修飾子として設定されたカウンターを含むカウンターに使用されます。(ポリサーは、ポリサーの種類に関係なく、1つはグリーンパケットに、もう1つは非グリーンパケットに使用されるため、2つのエントリーを消費します。)TCAMがいっぱいになると、カウンター付きの条件を持つegressファイアウォールフィルターをコミットできなくなります。例えば、512個のエグレスポリサー(2色、3色、または両方のポリサータイプの組み合わせ)を設定してコミットした場合、カウンターのメモリエントリーがすべて使い果たされます。設定ファイルの後半で、カウンターも含まれる条件を含む追加のegressファイアウォールフィルターを挿入した場合、カウンターに使用できるメモリ領域がないため、これらのフィルターの条件 はいずれ もコミットされません。

追加の例をいくつか示します。

• 合計 512 個のポリサーを含むイグレス フィルターを設定し、カウンターがないとします。設定ファイルの後半に、10の条件を持つ別のegressフィルターを含め、そのうちの1つにカウンターアクション修飾子があります。カウンターに十分なTCAMスペースがないため、このフィルターの条件はいずれもコミットされません。

• 合計 500 個のポリサーを含むエグレス フィルターを設定し、1000 個の TCAM エントリーを占有するとします。設定ファイルの後半に、以下の 2 つのエグレス フィルターを含めます。

  • 20項と20個のカウンターを持つフィルターA。すべてのカウンターに十分なTCAMスペースがあるため、このフィルターのすべての条件がコミットされます。

  • フィルター B はフィルター A の後に来て、5 つの条件と 5 つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルターのどの条件もコミットされません。(TCAMエントリーは5つ必要ですが、使用できるのは4つです。)