Solución de problemas de configuración del policía

Descripción

Bajo ciertas circunstancias, Junos OS puede mostrar un número engañoso de paquetes caídos por un agente de policía de entrada.

Si se pierden paquetes debido al control de admisión de entrada, es posible que las estadísticas de policía no muestren la cantidad de caídas de paquetes que esperaría, calculando la diferencia entre los recuentos de paquetes de entrada y salida. Esto puede suceder si aplica un agente de política de entrada a varias interfaces y la velocidad de entrada agregada de esas interfaces supera la velocidad de línea de una interfaz de salida común. En este caso, es posible que los paquetes se caigan del búfer de entrada. Estas caídas no están incluidas en el recuento de paquetes caídos por el agente de policía, lo que hace que las estadísticas del policía informen por debajo de la cantidad total de caídas.

Descripción

Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término del mismo filtro se establece en 0, incluido el contador implícito para cualquier agente de policía al que haga referencia el filtro. Considere los siguientes ejemplos:

• Supongamos que el filtro tiene term1, term2, y term3, y cada término tiene un contador que ya ha contado paquetes coincidentes. Si edita cualquiera de los términos de alguna manera, los contadores de todos los términos se restablecen a 0.

• Supongamos que el filtro tieneterm1.term2 También suponga que term2 tiene un policer modificador de acción y el contador implícito del agente de policía ya ha contado 1000 paquetes coincidentes. Si edita term1 o term2 de cualquier manera, el contador para el agente de policía al que hace referencia se restablece term2 a 0.

Descripción

Si aplica un policiar de dos colores de velocidad única en más de 128 términos en un filtro de firewall, la salida del show firewall comando muestra datos incorrectos para el agente de policía.

Descripción

Si configura un agente de datos para limitar la velocidad de transferencia de datos y lo aplica en la salida a varias interfaces en un conmutador QFX3500 o un nodo, es posible que la velocidad de policía agregada medida sea el doble de la velocidad configurada, dependiendo de las interfaces a las que aplique el agente de policía. La duplicación de la velocidad de policía se produce si aplica un agente de policía a varias interfaces y ambos de los siguientes son verdaderos:

• Hay al menos una interfaz policiada en el rango xe-0/0/0 a xe-0/0/23 o el rango xe-0/1/1 a xe-0/1/7.

• Hay al menos una interfaz policiada en el rango xe-0/0/24 a xe-0/0/47 o el rango xe-0/1/8 a xe-0/1/15.

Por ejemplo, si configura un agente de policía para limitar la velocidad del tráfico a 1 Gbps y aplica el agente de policía (mediante un filtro de firewall) a xe-0/0/0 y xe-0/0/24 en la dirección de salida, cada interfaz tiene una velocidad limitada a 1 Gbps, para una transferencia de datos total permitida de 2 Gbps. El mismo comportamiento ocurre si aplica el agente de policía a xe-0/1/1 y xe-0/0/24; cada interfaz tiene una velocidad limitada a 1 Gbps.

Si aplica el mismo agente de policía en la salida a varias interfaces de estos grupos, cada grupo tiene una velocidad limitada a 1 Gbps. Por ejemplo, si aplica el agente de policía a xe-0/0/0 a xe-0/0/4 (cinco interfaces) y xe-0/0/24 a xe-0/0/33 (diez interfaces), cada grupo tiene una velocidad limitada a 1 Gbps, para una transferencia de datos total permitida de 2 Gbps.

Este es otro ejemplo: Si aplica el agente de policía a xe-0/0/0 a xe-0/0/4 y xe-0/1/1 a xe-0/1/5 (un total de diez interfaces), ese grupo tiene una velocidad limitada a 1 Gbps en total. Si también aplica el agente de policía a xe-0/0/24, esa interfaz tiene una velocidad limitada a 1 Gbps, mientras que las otras diez siguen estando limitadas a 1 Gbps en total.

Las interfaces xe-0/1/1 a xe-0/1/15 se encuentran físicamente en los puertos de enlace ascendente QSFP+, de acuerdo con el siguiente esquema:

• xe-0/1/1 a xe-0/1/3 están en el Q0.

• xe-0/1/4 a xe-0/1/7 están en el primer trimestre.

• xe-0/1/8 a xe-0/1/11 están en el segundo trimestre.

• xe-0/1/2 a xe-0/1/15 están en el tercer trimestre.

La duplicación de la velocidad de policía ocurre solo si el agente de policía se aplica en la dirección de salida. Si configura un agente de policía como se describe anteriormente, pero lo aplica en la dirección de entrada, la transferencia de datos total permitida para todas las interfaces es de 1 Gbps.

Descripción

Puede configurar los policiacos para que sean específicos del filtro. Esto significa que Junos OS crea solo una instancia de policía, independientemente de la cantidad de veces que se haga referencia al agente de policía. Cuando hace esto, la limitación de velocidad se aplica en conjunto, de modo que si configura un agente de política para descartar tráfico que supere 1 Gbps y hace referencia a ese agente de política en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de un agente de policía específico para filtros se ve afectado por cómo los términos de filtro de firewall que hacen referencia al agente de policía se almacenan en la memoria direccionable de contenido ternario (TCAM). Si crea un agente de policía específico para filtros y lo hace referencia a varios términos de filtro de firewall, el agente de policía permite más tráfico del esperado si los términos se almacenan en diferentes segmentos de TCAM. Por ejemplo, si configura un agente de política para descartar tráfico que supere 1 Gbps y hace referencia a ese agente de política en tres términos diferentes que se almacenan en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no de 1 Gbps.

Descripción

En algunos conmutadores, la cantidad de policias de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que toman dos entradas en una TCAM de 1024 entradas. Estos se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los agentes de policía consumen dos entradas, ya que una se utiliza para paquetes verdes y otra para paquetes no verdes, independientemente del tipo de agente de policía).) Si la TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma los policías de salida 512 (dos colores, tres colores o una combinación de ambos tipos de policia), todas las entradas de memoria de los contadores se acostumbran. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos adicionales:

• Supongamos que configura filtros de salida que incluyen un total de 512 policias y ningún contador. Más adelante, en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio TCAM para el contador.

• Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que se ocupan 1000 entradas TCAM. Más adelante, en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

  • Filtrar A con 20 términos y 20 contadores. Todos los términos de este filtro están comprometidos porque hay suficiente espacio TCAM para todos los contadores.

  • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas de TCAM, pero solo cuatro están disponibles.)