Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Solución de problemas de configuración de la policía

Recuento incompleto de caídas de paquetes

Relacionado

Descripción

En determinadas circunstancias, Junos OS podría mostrar un número erróneo de paquetes descartados por una policía de entrada.

Si los paquetes se rechazan a causa del control de admisión de entrada, es posible que las estadísticas del policía no muestren el número de paquetes de descarte que cabría esperar calculando la diferencia entre el recuento de paquetes de entrada y de salida. Esto puede ocurrir si aplica un policial de entrada a varias interfaces y la tasa de ingreso de agregado de esas interfaces supera la velocidad de línea de una interfaz de salida común. En este caso, es posible que los paquetes se quiten del búfer de entrada. Estas caídas no se incluyen en el recuento de paquetes descartados por la policía, lo que hace que las estadísticas de policía notifiquen el número total de caídas.

Solución

Este es el comportamiento esperado.

Restablecimiento del contador al editar el filtro

Relacionado

Descripción

Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término en el mismo filtro se establece en 0, lo que incluye el contador implícito de cualquier policía a la que haga referencia el filtro. Tenga en cuenta los ejemplos siguientes:

  • Suponga que el filtro tiene term1, term2, y term3, y cada término tiene un contador que ya ha contado los paquetes coincidentes. Si modifica cualquiera de los términos de cualquier modo, los contadores de todos los términos se restablecerán en 0.

  • Suponga que el filtro tiene term1 y term2. Supongamos term2 también que policer hay un modificador de acción y que el contador implícito de la policía ya ha contado 1000 paquetes coincidentes. Si modifica term1 o term2 de alguna manera, el contador del responsable de la policía al que term2 se hace referencia se restablece en 0.

Solución

Este es el comportamiento esperado.

Estadísticas no válidas para el Policiale

Relacionado

Descripción

Si aplica un policía de dos colores de una sola tasa en más de 128 términos en un filtro de cortafuegos, la salida del show firewall comando mostrará datos incorrectos del mismo.

Solución

Este es el comportamiento esperado.

Las políticas de salida en dispositivos de QFX3500 podrían permitir más rendimiento que el configurado

Relacionado

Descripción

Si configura una policía para que califique el rendimiento y la aplique a varias interfaces en una QFX3500 conmutador o nodo, la velocidad de agregación de la variable puede ser el doble de la tasa configurada, dependiendo de las interfaces a las que se aplique el policial. El doble de la velocidad de la policía se produce si se aplica una policía a varias interfaces y se cumplen las dos condiciones siguientes:

  • Hay al menos una interfaz con policía en el rango xe-0/0/0 a Xe-0/0/23 o el rango xe-0/1/1 a Xe-0/1/7.

  • Hay al menos una interfaz con policía en el rango xe-0/0/24 a Xe-0/0/47 o el rango xe-0/1/8 a Xe-0/1/15.

Por ejemplo, si configura una policía para limitar el tráfico a 1 Gbps y aplica la policía (mediante un filtro de cortafuegos) a Xe-0/0/0 y xe-0/0/24 en la dirección de salida, cada interfaz tiene un límite de velocidad de 1 Gbps, con un rendimiento total permitido de 2 Gbps. El mismo comportamiento se produce si se aplica el agente de política a xe-0/1/1 y xe-0/0/24: cada interfaz tiene una velocidad limitada a 1 Gbps.

Si aplica la misma policía a las salidas a varias interfaces de estos grupos, cada Grupo tendrá una velocidad limitada de 1 Gbps. Por ejemplo, si aplica la policía a Xe-0/0/0 mediante xe-0/0/4 (cinco interfaces) y xe-0/0/24 mediante xe-0/0/33 (diez interfaces), cada grupo tendrá una velocidad limitada de 1 Gbps, con un rendimiento total permitido de 2 Gbps.

A continuación se muestra otro ejemplo: Si aplica la policía a Xe-0/0/0 a Xe-0/0/4 y xe-0/1/1 mediante xe-0/1/5 (un total de diez interfaces), ese grupo tiene una velocidad limitada de 1 Gbps en agregado. Si también aplica la policía a Xe-0/0/24, esa interfaz tiene una velocidad limitada de 1 Gbps, mientras que las otras diez siguen limitadas por la velocidad de 1 Gbps de agregados.

Interfaces xe-0/1/1 a Xe-0/1/15 se encuentran físicamente en los puertos de vínculo superior de QSFP +, según la siguiente combinación:

  • xe-0/1/1 a Xe-0/1/3 están en q0.

  • xe-0/1/4 a Xe-0/1/7 están en el primer trimestre.

  • xe-0/1/8 mediante xe-0/1/11 están en el segundo trimestre.

  • xe-0/1/2 a Xe-0/1/15 están en el tercer trimestre.

El duplicado de la velocidad de la policía sólo se produce si se aplica la policía a la dirección de salida. Si configura una policía como se describió anteriormente pero la aplica en la dirección de entrada, el rendimiento total permitido para todas las interfaces es de 1 Gbps.

Solución

Este es el comportamiento esperado.

Las políticas de salida específicas del filtro en dispositivos QFX3500 pueden permitir más rendimiento que el configurado

Relacionado

Descripción

Puede configurar las políticas para que sean específicas del filtro. Esto significa que Junos OS crea sólo una instancia de policía, independientemente de cuántas veces se haga referencia a la misma. Cuando hace esto, la limitación de velocidad se aplica en conjunto, por lo que si configura un aplicador de política para descartar tráfico que exceda de 1 Gbps y haga referencia a ese aplicador en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de una policía de filtro específica se ve afectado por el modo en que los términos de filtro de firewall que hacen referencia al policial se almacenan en la memoria direccionable a través de contenido ternario (TCAM). Si crea una policía de filtro específica y hace referencia a ella en varios términos de filtro de cortafuegos, la policía puede conceder más tráfico del esperado si los términos se almacenan en diferentes segmentos de TCAM. Por ejemplo, si configura un agente de política para descartar tráfico que exceda de 1 Gbps y haga referencia a dicho aplicador en tres términos diferentes que se almacenan en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no 1 Gbps.

Solución

Para evitar este comportamiento inesperado, utilice la información sobre TCAM slices que se presentan en el planeamiento del número de filtros de firewall que se deben crear para organizar el archivo de configuración de modo que todos los términos de filtro de firewall que hacen referencia a un determinado los policiales se almacenan en el mismo segmento TCAM.

Las políticas pueden limitar los filtros de salida

Relacionado

Descripción

En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de Firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de entrada de 1024. Se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acciones en los términos de filtros de Firewall. (Los enpoliciales utilizan dos entradas porque una se utiliza para los paquetes verdes y la otra se utiliza para los paquetes que no son verdes independientemente del tipo de policíación). Si el TCAM se llena, no podrá confirmar más filtros de Firewall de salida con términos con contadores. Por ejemplo, si configura y confirma 512 políticas de salida (dos colores, tres colores o una combinación de ambos tipos de policíación), se utilizan todas las entradas de memoria para los contadores. Si más adelante en el archivo de configuración inserta filtros adicionales de Firewall de salida con términos que también incluyen contadores, no se confirmará ninguno de los términos de esos filtros porque no hay espacio de memoria disponible para los contadores.

A continuación, encontrará algunos ejemplos adicionales:

  • Suponga que configura filtros de salida que incluyen un total de 512 policiales y ningún contador. Más adelante en el archivo de configuración, incluye otro filtro de salida con 10 términos, uno de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro están confirmados porque no hay espacio en TCAM suficiente para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policiales, por lo que las entradas 1000 TCAM están ocupadas. Más adelante en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

    • Filtrar con 20 términos y 20 contadores. Todos los términos de este filtro están confirmados porque hay suficiente espacio en TCAM para todos los contadores.

    • El filtro B va después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro están confirmados porque no hay suficiente espacio en memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo hay cuatro disponibles.)

Solución

Puede evitar este problema asegurándose de que los términos de filtro de Firewall de salida con acciones de contador se colocan anteriormente en su archivo de configuración que los términos que incluyen policiales. En estas circunstancias, Junos OS confirma las políticas, incluso si no hay suficiente espacio en TCAM para los contadores implícitos. Por ejemplo, supongamos lo siguiente:

  • Dispone de términos de filtro de Firewall de 1024 con acciones de contador.

  • Más adelante en su archivo de configuración tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores pero uno tiene un modificador de acciones de policía.

Puede confirmar correctamente el filtro con 10 términos, aunque no haya espacio TCAM suficiente para los contadores implícitos del policía. El policial se confirma sin los contadores.