Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Solución de problemas de configuración de Policer

Recuento incompleto de paquetes descartados

Problema

Description

En determinadas circunstancias, Junos OS puede mostrar un número engañoso de paquetes descartados por un controlador de entrada.

Si los paquetes se caen debido al control de admisión de entrada, es posible que las estadísticas de la policía no muestren el número de paquetes perdidos que esperaría calculando la diferencia entre los recuentos de paquetes de entrada y salida. Esto puede suceder si aplica un aplicador de políticas de entrada a varias interfaces y la tasa de entrada agregada de esas interfaces supera la velocidad de línea de una interfaz de salida común. En este caso, es posible que los paquetes se descarten del búfer de entrada. Estas gotas no se incluyen en el recuento de paquetes lanzados por el policía, lo que hace que las estadísticas del policía informen menos del número total de caídas.

Solución

Este es el comportamiento esperado.

Restablecimiento del contador al editar el filtro

Problema

Description

Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término del mismo filtro se establece en 0, incluido el contador implícito para cualquier aplicador de policía al que haga referencia el filtro. Considere los siguientes ejemplos:

  • Suponga que el filtro tiene , y , y que cada término tiene un contador que ya ha contado paquetes coincidentes.term1term2term3 Si edita alguno de los términos de alguna manera, los contadores de todos los términos se restablecen a 0.

  • Suponga que el filtro tiene y .term1term2 Supongamos también que tiene un modificador de acción y que el contador implícito del aplicador ya ha contado 1000 paquetes coincidentes.term2policer Si edita o de alguna manera, el contador del policía al que hace referencia se restablece a 0.term1term2term2

Solución

Este es el comportamiento esperado.

Estadísticas no válidas para Policer

Problema

Description

Si aplica un aplicador de dos colores de velocidad única en más de 128 términos en un filtro de firewall, el resultado del comando muestra datos incorrectos para el aplicador.show firewall

Solución

Este es el comportamiento esperado.

Los aplicadores pueden limitar los filtros de salida

Problema

Description

En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de 1024 entradas. Se usan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los aplicadores de policía consumen dos entradas porque una se usa para paquetes verdes y otra se usa para paquetes no verdes, independientemente del tipo de aplicador). Si el TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma 512 policías de salida (de dos colores, de tres colores o una combinación de ambos tipos de policía), todas las entradas de memoria de los contadores se agotan. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos adicionales:

  • Suponga que configura filtros de salida que incluyen un total de 512 policías y ningún contador. Más adelante en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de contraacción. Ninguno de los términos de este filtro está confirmado porque no hay suficiente espacio TCAM para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que están ocupadas 1000 entradas TCAM. Más adelante en el archivo de configuración se incluyen los dos filtros de salida siguientes:

    • Filtro A con 20 términos y 20 contadores. Todos los términos de este filtro se confirman porque hay suficiente espacio TCAM para todos los contadores.

    • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo cuatro están disponibles).

Solución

Puede evitar este problema asegurándose de que los términos del filtro de firewall de salida con acciones de contador se colocan antes en el archivo de configuración que los términos que incluyen aplicadores de directiva. En esta circunstancia, Junos OS confirma a los aplicadores incluso si no hay suficiente espacio TCAM para los contadores implícitos. Por ejemplo, suponga lo siguiente:

  • Tiene términos de filtro de firewall de salida 1024 con acciones contrarias.

  • Más adelante en el archivo de configuración tendrá un filtro de salida con 10 términos. Ninguno de los términos tiene contadores, pero uno tiene un modificador de acción de policía.

Puede confirmar correctamente el filtro con 10 términos aunque no haya suficiente espacio TCAM para los contadores implícitos del policía. El policía se compromete sin los contadores.