Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Solución de problemas de configuración del policía

Recuento incompleto de caídas de paquetes

Problema

Descripción

Bajo ciertas circunstancias, Junos OS puede mostrar un número engañoso de paquetes caídos por un agente de policía de entrada.

Si se pierden paquetes debido al control de admisión de entrada, es posible que las estadísticas de policía no muestren la cantidad de caídas de paquetes que esperaría, calculando la diferencia entre los recuentos de paquetes de entrada y salida. Esto puede suceder si aplica un agente de política de entrada a varias interfaces y la velocidad de entrada agregada de esas interfaces supera la velocidad de línea de una interfaz de salida común. En este caso, es posible que los paquetes se caigan del búfer de entrada. Estas caídas no están incluidas en el recuento de paquetes caídos por el agente de policía, lo que hace que las estadísticas del policía informen por debajo de la cantidad total de caídas.

Solución

Este es el comportamiento esperado.

Restablecimiento del contador al editar el filtro

Problema

Descripción

Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término del mismo filtro se establece en 0, incluido el contador implícito para cualquier agente de policía al que haga referencia el filtro. Considere los siguientes ejemplos:

  • Supongamos que el filtro tiene term1, term2, y term3, y cada término tiene un contador que ya ha contado paquetes coincidentes. Si edita cualquiera de los términos de alguna manera, los contadores de todos los términos se restablecen a 0.

  • Supongamos que el filtro tieneterm1.term2 También suponga que term2 tiene un policer modificador de acción y el contador implícito del agente de policía ya ha contado 1000 paquetes coincidentes. Si edita term1 o term2 de cualquier manera, el contador para el agente de policía al que hace referencia se restablece term2 a 0.

Solución

Este es el comportamiento esperado.

Estadísticas no válidas para policer

Problema

Descripción

Si aplica un policiar de dos colores de velocidad única en más de 128 términos en un filtro de firewall, la salida del show firewall comando muestra datos incorrectos para el agente de policía.

Solución

Este es el comportamiento esperado.

Los policias pueden limitar los filtros de salida

Problema

Descripción

En algunos conmutadores, la cantidad de policias de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que toman dos entradas en una TCAM de 1024 entradas. Estos se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los agentes de policía consumen dos entradas, ya que una se utiliza para paquetes verdes y otra para paquetes no verdes, independientemente del tipo de agente de policía).) Si la TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma los policías de salida 512 (dos colores, tres colores o una combinación de ambos tipos de policia), todas las entradas de memoria de los contadores se acostumbran. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos adicionales:

  • Supongamos que configura filtros de salida que incluyen un total de 512 policias y ningún contador. Más adelante, en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio TCAM para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que se ocupan 1000 entradas TCAM. Más adelante, en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

    • Filtrar A con 20 términos y 20 contadores. Todos los términos de este filtro están comprometidos porque hay suficiente espacio TCAM para todos los contadores.

    • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas de TCAM, pero solo cuatro están disponibles.)

Solución

Para evitar este problema, asegúrese de que los términos del filtro de firewall de salida con acciones de contador se colocan antes en el archivo de configuración que en los términos que incluyen policías. En esta circunstancia, Junos OS confirma los agentes de policía incluso si no hay suficiente espacio TCAM para los contadores implícitos. Por ejemplo, suponga lo siguiente:

  • Tiene términos de filtro de firewall de salida 1024 con acciones de contador.

  • Más adelante, en el archivo de configuración, tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores, pero uno tiene un modificador de acción de policía.

Puede confirmar correctamente el filtro con 10 términos aunque no haya suficiente espacio TCAM para los contadores implícitos del agente de policía. El policía se comete sin los contadores.

Consulte también