Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

문제 해결 Policer 구성

불완전한 패킷 드롭 수

문제

설명

특정 상황에서는 Junos OS 수신 Junos OS 허위의 패킷 수를 표시할 수 있습니다.

수신 수신 제어로 패킷이 드롭되는 경우, Policer 통계는 수신 및 egress 패킷 카운트 간의 차이를 계산하여 예상되는 패킷 드롭 수를 표시하지 않을 수 있습니다. 이는 ingress Policer를 여러 인터페이스에 적용하고 해당 인터페이스의 총 ingress 속도가 공통 egress 인터페이스의 유선 속도(line rate)를 초과하는 경우 발생될 수 있습니다. 이 경우 수신 버퍼에서 패킷을 드롭할 수 있습니다. 이러한 드롭은 Policer에 의해 드롭된 패킷 수에 포함되지 않습니다. 이로 인해 Policer 통계가 총 드롭 횟수를 떨어뜨리게 됩니다.

솔루션

이는 예상되는 동작입니다.

필터 편집 시 카운터 리셋

문제

설명

방화벽 필터 용어를 편집하면 필터에 참조된 모든 Policer에 대한 암시적 카운터를 포함하여 동일한 필터의 임의 용어와 연관된 카운터의 값이 0으로 설정됩니다. 다음 예를 고려합니다.

  • 필터에 을 ,, 그리고 각 용어마다 일치하는 패킷이 이미 계산된 카운터가 있는 것으로 term1term2term3 가정합니다. 어떤 방법으로든 용어를 편집하면 모든 조건에 대한 카운터는 0으로 리셋됩니다.

  • 필터가 으로 표시되어 있는 것으로 term1term2 가정합니다. 또한 조치 수정자 및 Policer의 암시적 카운터가 이미 term2 1000개 일치 패킷을 계산했다고 policer 가정합니다. 편집하거나 어떤 방법으로든 참조된 Policer에 대한 카운터가 term1term2term2 0으로 리셋됩니다.

솔루션

이는 예상되는 동작입니다.

Policer에 대한 잘못된 통계

문제

설명

방화벽 필터에서 128개 이상의 조건에 단일 속도의 2색 경찰서(single-rate two-color policer)를 적용하면 명령의 출력이 Policer에 올바르지 않은 데이터를 show firewall 표시됩니다.

솔루션

이는 예상되는 동작입니다.

QFX3500 디바이스의 Egress Policers는 구성된 것보다 더 많은 통과를 허용할 수 있습니다.

문제

설명

실행률을 제한하도록 Policer를 구성하고 QFX3500 스위치 또는 노드의 여러 인터페이스에 egress에 적용하는 경우 측정된 총 적용 속도는 사용자가 Policer에 적용하는 인터페이스에 따라 구성된 속도보다 2배가 나을 수 있습니다. 여러 인터페이스에 Policer를 적용하면, 두 배의 policed rate가 발생합니다. 두 가지 모두 사실입니다.

  • xe-0/0/0 - xe-0/0/23 범위 또는 xe-0/1/1 ~ xe-0/1/7 범위에 하나 이상의 Policed Interface가 있습니다.

  • xe-0/0/24 ~ xe-0/0/47 범위 또는 xe-0/1/8에서 xe-0/1/15 범위에 하나 이상의 Policed Interface가 있습니다.

예를 들어, 1Gbps의 트래픽 속도 제한을 위해 Policer를 구성하고 방화벽 필터를 사용하여 출력 방향의 xe-0/0/0/24에 Policer를 적용하면 각 인터페이스는 총 2Gbps의 허용된 용량에 대해 1Gbps로 속도 제한됩니다. Policer를 xe-0/1/1 및 xe-0/0/24에 적용하면 각 인터페이스가 1Gbps의 속도로 제한됩니다.

이들 그룹의 여러 인터페이스에 동일한 egress에 동일한 Policer를 적용하는 경우 각 그룹은 1Gbps의 속도에 제한됩니다. 예를 들어, Policer를 xe-0/0/4(5개의 인터페이스) 및 xe-0/0/24~xe-0/24(10개 인터페이스)에 적용하면 각 그룹은 1Gbps에서 속도 제한(총 2Gbps의 허용된 용량)으로 속도 제한됩니다.

또 다른 예는 다음과 같습니다. Policer를 xe-0/0/4 및 xe-0/0/4 및 xe-0/1/1에 적용하면 총 10개 인터페이스에서 해당 그룹은 1Gbps의 총 속도 제한을 제공합니다. 또한, Policer를 xe-0/0/24에 적용하면 하나의 인터페이스가 1Gbps로 속도 제한되는 반면, 다른 10개 인터페이스는 총 1Gbps로 속도 제한됩니다.

xe-0/1/1 ~xe-0/1/15 인터페이스는 다음과 같은 체계에 따라 QSFP+ 업링크 포트에 물리적으로 위치합니다.

  • xe-0/1/1 ~ xe-0/1/3이 Q0에 있습니다.

  • xe-0/1/4 ~ xe-0/1/7이 1분기 중입니다.

  • xe-0/1/8 ~ xe-0/1/11은 2/4분기에 나왔습니다.

  • xe-0/1/2 ~ xe-0/1/15가 3분기에 나왔습니다.

Policer가 출력 방향에 적용된 경우, 경찰서 속도의 두 배가 발생합니다. 위에서 설명한 대로 Policer를 구성하지만 입력 방향에 적용하면 모든 인터페이스에 대해 허용된 총 통과량은 1Gbps입니다.

솔루션

이는 예상되는 동작입니다.

QFX3500 디바이스의 필터별 발신 지원 QFX3500 구성보다 더 많은 통과를 허용할 수 있습니다.

문제

설명

필터별(policers)을 필터로 구성할 수 있습니다. 즉, Junos OS 참조되는 경우와 상관없이 하나의 Policer 인스턴스만 생성합니다. 이렇게 하면 속도 제한이 집계되어 1Gbps를 초과하는 트래픽을 폐기하고 3가지 조건으로 Policer를 참조하도록 하도록 하면 필터에서 허용하는 총 대역폭은 1Gbps입니다. 그러나 필터별 경찰서의 동작은 Policer를 참조하는 방화벽 필터 조건이 TCAM(Content Addressable Memory)에 저장되는 방식에 영향을 미치게 됩니다. 필터별 Policer를 생성하고 여러 방화벽 필터 용어로 참조하는 경우, Policer는 조건이 서로 다른 TCAM 슬라이스에 저장될 경우 예상보다 많은 트래픽을 허용합니다. 예를 들어 1Gbps를 초과하는 트래픽을 폐기하도록 Policer를 구성하고 3개의 서로 다른 메모리 슬라이스에 저장되는 3가지 조건의 policer를 참조하도록 구성하면 필터에서 허용하는 총 대역폭은 1Gbps가 아닌 3Gbps입니다.

솔루션

이런 예상치 못한 동작을 방지하기 위해, 방화벽 필터의 개수 계획에 제시된 TCAM 슬라이스에 대한 정보를 사용하여 구성 파일을 구성합니다. 이를 통해 주어진 필터별 경찰관을 참조하는 모든 방화벽 필터 조건이 동일한 TCAM 슬라이스에 저장됩니다. https://www.juniper.net/documentation/en_US/junos/topics/concept/firewall-filters-planning-numbers-map-qfx-series.html

Policers가 Egress 필터를 제한할 수 있습니다.

문제

설명

일부 스위치에서는 사용자가 구성한 egress policers의 수가 허용된 egress 방화벽 필터의 총 개수에 영향을 미칠 수 있습니다. 모든 Policer는 1024 엔트리 TCAM에서 2개의 엔트리를 내세우는 2개의 암시적 카운터를 제공합니다. 이는 방화벽 필터 조건에서 조치 수정자로 구성된 카운터를 포함하여 카운터에 사용됩니다. (하나는 녹색 패킷에 사용되어, 하나는 Policer 유형에 관계없이 비green 패킷에 사용되어 2개의 엔트리를 소비합니다.) TCAM이 가득 차면 카운터 조건이 있는 더 이상 Egress 방화벽 필터를 커밋할 수 없습니다. 예를 들어, 512개의 발신(egress policer)(2색, 3색 또는 두 가지 Policer 유형의 조합)을 구성하고 커밋하면 카운터에 대한 모든 메모리 엔트리가 사용됩니다. 구성 파일 후반부에서는 카운터가 포함된 추가 Egress 방화벽 필터를 삽입할 수 있습니다. 카운터에 사용 가능한 메모리 공간이 없는 경우 필터의 용어 중 어느 것도 커밋되지 않습니다.

몇 가지 추가 예를 들자면 다음과 같습니다.

  • 총 512개 경찰서와 카운터가 없는 egress 필터를 구성했다고 가정하십시오. 구성 파일 후반부에는 10개 용어가 포함된 또 다른 egress 필터가 포함되어 있습니다. 1개는 카운터 조치 수정자를 포함합니다. 카운터에 충분한 TCAM 공간이 부족하기 때문에 이 필터의 용어 중 어느 것도 커밋되지 않습니다.

  • 총 500개 경찰서가 포함된 egress 필터를 구성하면 1000개 TCAM 항목이 사용된다고 가정합니다. 구성 파일 의 후반부에는 다음과 같은 두 개의 Egress 필터가 포함되어 있습니다.

    • 20개 용어와 20개 카운터로 A를 필터링합니다. 모든 카운터에 충분한 TCAM 공간이 있기 때문에 이 필터의 모든 조건이 커밋됩니다.

    • 필터 B는 Filter A 이후 나오는 것으로, 카운터 5개와 카운터 5개가 있습니다. 모든 카운터에 충분한 메모리 공간이 부족하기 때문에 이 필터의 용어 중 어느 것도 커밋되지 않습니다. (5개의 TCAM 항목이 필요하지만 4개만 사용할 수 있습니다.)

솔루션

Policers가 포함된 용어보다 구성 파일에서 카운터 조치가 포함된 egress 방화벽 필터 조건이 구성 파일에서 적용될 수 있도록 함으로써 이러한 문제를 방지할 수 있습니다. 이러한 상황에서는 Junos OS 카운터를 위한 TCAM 공간이 충분하지 않다고 조차도 밝혔습니다. 예를 들어, 다음을 가정해 보겠습니다.

  • 카운터 조치를 사용하는 1024 egress 방화벽 필터 용어가 있습니다.

  • 구성 파일 후반부에 10 용어가 있는 발신 필터가 있습니다. 용어 중에는 카운터가 없지만, 다른 어떤 용어에는 Policer 작업 수정자도 있습니다.

Policer의 암시적 카운터에 충분한 TCAM 공간이 부족한 경우에도 필터를 성공적으로 커밋할 수 있습니다. 카운터 없이 경찰관이 저지른다.