Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリサー構成のトラブルシューティング

パケットロスの不完全な数

説明

特定の状況下では、入口になったポリサーによって破棄されたパケット数が Junos OS によって表示されることがあります。

受信した受付制御によってパケットがドロップされた場合、ポリサー統計には、受信パケット数と送信数の違いを計算することによって予想されるパケット破棄回数が示されない場合があります。これは、受信されたポリサーを複数のインターフェイスに適用したときに、これらのインターフェイスの集約型受信速度が共通送信インターフェイスのラインレートを超えた場合に発生する可能性があります。この場合、パケットが受信バッファーから削除される可能性があります。これらのドロップは、ポリサーによってドロップされたパケット数には含まれていません。これにより、ポリサーの統計によって欠落数の合計が漏れてあることを通知します。

ソリューション

これは予期された動作です。

フィルタ編集時のカウンタリセット

説明

ファイアウォールフィルタ条件を編集する場合、フィルターによって参照されるすべてのポリサーの暗黙的カウンターを含め、同じフィルタ内の任意の用語に関連付けられているカウンターの値は0に設定します。以下の例について考えてみましょう。

  • フィルタには、 term1term2、、およびterm3があり、それぞれの条件には、一致するパケット数がすでにカウントされたカウンターがあることを想定しています。何らかの方法で条件を編集すると、すべての条件のカウンターが0にリセットされます。

  • フィルターに and term1term2があるとします。また、 term2 action policer修飾子があり、ポリサーの暗黙的なカウンターが、1000マッチングパケットを既にカウントしているとします。編集term1したりterm2 、何らかの方法で参照したりすると、でterm2示されるポリサーのカウンターは0にリセットされます。

ソリューション

これは予期された動作です。

Policer の統計が無効です

説明

1対の2色のポリサーをファイアウォールフィルターに128よりも多くの条件で適用すると、 show firewallコマンドの出力によって、ポリサーの不正なデータが表示されます。

ソリューション

これは予期された動作です。

QFX3500 のデバイスに送信される送信ポリサーは、設定したよりも高いスループットを許可することがあります。

説明

ポリサーをレート制限のスループットに設定し、それを QFX3500 スイッチまたはノード上の複数のインターフェイスに適用すると、測定された集約型のポリゲートが設定レートの2倍になる可能性があります。これは、このポリサーを適用するインターフェイスによって異なります。Policed レートが2倍になるのは、ポリサーを複数のインターフェイスに適用し、以下の両方の条件を満たしている場合です。

  • 少なくとも1つの policed インターフェイスが、xe-0/0/0 から xe-0/0/23、または xe-0/1/1 ~ xe-0/1/7 までの範囲です。

  • 少なくとも1つの policed インターフェイスが、xe-0/0/24 to xe-0/0/47、または xe-0/1/8 ~ xe-0/1/15 までの範囲を指定します。

たとえば、1 Gbps のトラフィックをレート制限に設定し、ファイアウォールフィルタを使用して、出力方向に xe-0/0/0 および xe-0/0/24 を適用すると、各インターフェイスは 1 Gbps でのレートが制限され、許容されるスループットは合計 2 Gbps になります。xe-0/1/1 および xe-0/0/24 にポリシーを適用すると、同じ動作が起こります。各インターフェイスは 1 Gbps でレート制限されます。

これらのグループ内の複数のインターフェイスに同じポリサーを適用すると、1 Gbps では各グループのレートが制限されます。たとえば、ポリサーを xe-0/0/0 (5 個のインターフェイス) に、xe-0/0/4 (10 インターフェイス) に適用した場合、各グループは 1 Gbps でレートが制限され、許容されるスループットは合計 2 Gbps になります。

もう1つの例を示します。ポリサーを、xe-0/0/4 から xe 0/1/5 (合計10インターフェイス) に適用した場合、そのグループは集約の 1 Gbps でレートが制限されることになりますが、そのことはありません。この場合、このポリサーを xe-0/0/24 に適用すると、一方のインターフェイスは 1 Gbps で制限され、他の10は集約では 1 Gbps でもレートが制約を受けます。

インターフェイス xe-0/1/1 ~ xe-0/1/15 までは、次のスキームに従って、QSFP + アップリンクポートに物理的に配置されています。

  • xe-0/1/1 ~ xe-0/1/3 は Q0 上にあります。

  • xe-0/1/4 ~ xe-0/1/7 は Q1 になっています。

  • xe-0/1/8 ~ xe-0/1/11 は Q2 にあります。

  • xe-0/1/2 (xe-0/1/15) は Q3 になります。

Policed レートが2倍になるのは、ポリサーが出力方向に適用されている場合に限り発生します。前述のように、ポリサーを構成し、それを入力方向に適用した場合、すべてのインターフェイスで許可される総スループットは 1 Gbps になります。

ソリューション

これは予期された動作です。

QFX3500 デバイス上のフィルター専用送信ポリサーにより、設定されているよりも高いスループットを実現できます。

説明

フィルター固有の設定を行うように、ポリサーを構成することができます。つまり、Junos OS は、ポリサーの参照回数に関係なく、1つのポリサーインスタンスだけを作成します。これを行う場合、レート制限は集約的に適用されます。したがって、1 Gbps を超えるトラフィックを破棄し、3 つの異なる条件でそのポリシーを参照するようにポリシーを設定すると、フィルタで許可される帯域幅の合計は 1 Gbps になります。ただし、フィルタ固有のポリサーの動作は、ポリサーを参照するファイアウォールフィルター条件が、三項コンテンツアドレス指定メモリ (tcam) に保存される方法によって異なります。フィルタ固有のポリサー er を作成し、複数のファイアウォールフィルタ条件でそれを参照すると、その条件が異なる TCAM スライスに格納されている場合、ポリサーで予期しているよりも多くのトラフィックを許可します。たとえば、1 Gbps を超えるトラフィックを破棄し、3 つの異なる条件でポリシーを 3 つの異なる条件で参照するようにポリシーを設定した場合、フィルタで許容される帯域幅の合計は 1 Gbps ではなく 3 Gbps になります。

ソリューション

この予期しない動作を回避するには、作成するtcam スライスに関する情報を使用して、設定ファイルを整理して、指定されたフィルタ固有の条件を参照するすべてのファイアウォールフィルタ用語をポリサーは同じ TCAM スライスに格納されています。

ポリサーで送信フィルターを制限できます

説明

一部のスイッチでは、設定した送信ポリサーの数が、許容される送信ファイアウォールフィルターの合計数に影響を与えることがあります。各ポリサーには、1024エントリ TCAM で2つのエントリを取得する2つの暗黙のカウンターがあります。これらは、ファイアウォールフィルタ条件でアクション修飾子として設定されたカウンターなど、カウンターに使用されます。(ポリサーは、緑のパケットに使用されているため、2つのエントリを使用します。また、ポリサータイプに関係なく、非緑パケットに使われます)。TCAM がいっぱいになると、カウンターを使用した条件を持つ送信ファイアウォールフィルターをコミットできなくなります。たとえば、512送信ポリサーを構成してコミットした場合 (2 色、3色、またはその両方の種類のポリサーの組み合わせ)、カウンターのメモリエントリすべてが使用されます。構成ファイルで後から追加の送信ファイアウォールフィルターを挿入する場合は、カウンターに関する利用可能なメモリ領域がないため、これらのフィルターのいずれの条件もコミットされません。

その他の例をいくつか示します。

  • 合計512ポリサーとカウンターを含まない出力フィルターを構成すると仮定します。あとで設定ファイルを使用する場合、10個の条件を持つもう1つの出力フィルタ (counter action 修飾子が含まれます) を含めることができます。カウンターに十分な TCAM スペースがないため、このフィルターの条件はどれもコミットされていません。

  • 合計500ポリサーを含む出力フィルターを構成しているため、1000 TCAM エントリが使用されていることを前提としています。設定ファイルの後に、以下の2つの出力フィルターを指定します。

    • 20個の条件と20個のカウンターを使用してフィルターを適用します。すべてのカウンターに十分な TCAM 空間があるため、このフィルターの条件はすべてコミットされます。

    • Filter B はフィルター A の後にあり、5つの用語と5つのカウンターを持っています。すべてのカウンターに十分なメモリ領域がないため、このフィルターの条件はどれもコミットされません。(5 つの TCAM エントリーが必要ですが、使用可能なのは4つだけです)。

ソリューション

この問題を回避するには、counter アクションを含む送信ファイアウォールフィルター条件を、ポリサーを含む用語よりも前に設定ファイルに配置します。このような状況では、Junos OS は、暗黙的カウンターのための TCAM 空間が十分にない場合でも、ポリサーをコミットします。たとえば、以下のような場合を想定します。

  • 1024送信ファイアウォールフィルタ条件にカウンタアクションが含まれています。

  • 設定ファイルの後半では、10個の条件を持つ送信フィルターを使用しています。どの条件にもカウンターはありませんが、1つはポリサーアクション修飾子を持っています。

フィルターを10個の条件でコミットするには、ポリサーの暗黙的なカウンターに十分な TCAM スペースがない場合でも、問題はありません。ポリサーは、カウンターなしでコミットされます。