Monitoramento e resolução de problemas
SUMMARY Esta seção descreve os recursos de monitoramento e solução de problemas da rede do Junos OS.
Ping Hosts
Propósito
Use o comando CLI ping
para verificar se um host pode ser contatado pela rede. Esse comando é útil para diagnosticar problemas de conectividade de host e rede. O dispositivo envia uma série de solicitações de eco (ping) do Protocolo de Mensagem de Controle da Internet (ICMP) a um host especificado e recebe respostas de eco do ICMP.
Ação
Para usar o ping
comando para enviar quatro solicitações (contagem de pings) para host3:
ping host count number
Saída de amostra
nome de comando
ping host3 count 4 user@switch> ping host3 count 4 PING host3.site.net (192.0.2.111): 56 data bytes 64 bytes from 192.0.2.111: icmp_seq=0 ttl=122 time=0.661 ms 64 bytes from 192.0.2.111: icmp_seq=1 ttl=122 time=0.619 ms 64 bytes from 192.0.2.111: icmp_seq=2 ttl=122 time=0.621 ms 64 bytes from 192.0.2.111: icmp_seq=3 ttl=122 time=0.634 ms --- host3.site.net ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.619/0.634/0.661/0.017 ms
Significado
Os
ping
resultados mostram as seguintes informações:Tamanho do pacote de resposta a ping (em bytes).
Endereço IP do host do qual a resposta foi enviada.
Número de sequência do pacote de resposta a ping. Você pode usar esse valor para combinar a resposta de ping com a solicitação de ping correspondente.
Valor de contagem de saltos (ttl) ao vivo do pacote de resposta a ping.
Tempo total entre o envio do pacote de solicitação de ping e o recebimento do pacote de resposta a ping, em milissegundos. Esse valor também é chamado de tempo de ida e volta.
Número de solicitações de ping (sondagens) enviadas ao host.
Número de respostas de ping recebidas do host.
Porcentagem de perda de pacotes.
Estatísticas de tempo de viagem de ida e volta: desvio mínimo, médio, máximo e padrão do tempo de ida e volta.
Monitore o tráfego pelo roteador ou switch
Para diagnosticar um problema, exibir estatísticas em tempo real sobre o tráfego que passa por interfaces físicas no roteador ou switch.
Para exibir estatísticas em tempo real sobre interfaces físicas, execute essas tarefas:
- Exibir estatísticas em tempo real sobre todas as interfaces no roteador ou switch
- Exibir estatísticas em tempo real sobre uma interface no roteador ou switch
Exibir estatísticas em tempo real sobre todas as interfaces no roteador ou switch
Propósito
Exibir estatísticas em tempo real sobre o tráfego que passa por todas as interfaces do roteador ou switch.
Ação
Para exibir estatísticas em tempo real sobre tráfego que passa por todas as interfaces do roteador ou switch:
user@host> monitor interface traffic
Saída de amostra
nome de comando
user@host> monitor interface traffic host name Seconds: 15 Time: 12:31:09 Interface Link Input packets (pps) Output packets (pps) so-1/0/0 Down 0 (0) 0 (0) so-1/1/0 Down 0 (0) 0 (0) so-1/1/1 Down 0 (0) 0 (0) so-1/1/2 Down 0 (0) 0 (0) so-1/1/3 Down 0 (0) 0 (0) t3-1/2/0 Down 0 (0) 0 (0) t3-1/2/1 Down 0 (0) 0 (0) t3-1/2/2 Down 0 (0) 0 (0) t3-1/2/3 Down 0 (0) 0 (0) so-2/0/0 Up 211035 (1) 36778 (0) so-2/0/1 Up 192753 (1) 36782 (0) so-2/0/2 Up 211020 (1) 36779 (0) so-2/0/3 Up 211029 (1) 36776 (0) so-2/1/0 Up 189378 (1) 36349 (0) so-2/1/1 Down 0 (0) 18747 (0) so-2/1/2 Down 0 (0) 16078 (0) so-2/1/3 Up 0 (0) 80338 (0) at-2/3/0 Up 0 (0) 0 (0) at-2/3/1 Down 0 (0) 0 (0) Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D
Significado
A saída de amostra exibe dados de tráfego para interfaces ativas e a quantidade que cada campo mudou desde o início do comando ou desde que os contadores foram liberados usando a C
chave. Neste exemplo, o monitor interface
comando funciona há 15 segundos desde que o comando foi emitido ou desde que os contadores voltaram a zero.
Exibir estatísticas em tempo real sobre uma interface no roteador ou switch
Propósito
Exibir estatísticas em tempo real sobre o tráfego que passa por uma interface no roteador ou switch.
Ação
Para exibir o tráfego que passa por uma interface no roteador ou switch, use o seguinte comando de modo operacional Junos OS CLI:
user@host> monitor interface interface-name
Saída de amostra
nome de comando
user@host> monitor interface so-0/0/1 Next='n', Quit='q' or ESC, Freeze='f', Thaw='t', Clear='c', Interface='i' R1 Interface: so-0/0/1, Enabled, Link is Up Encapsulation: PPP, Keepalives, Speed: OC3 Traffic statistics: Input bytes: 5856541 (88 bps) Output bytes: 6271468 (96 bps) Input packets: 157629 (0 pps) Output packets: 157024 (0 pps) Encapsulation statistics: Input keepalives: 42353 Output keepalives: 42320 LCP state: Opened Error statistics: Input errors: 0 Input drops: 0 Input framing errors: 0 Input runts: 0 Input giants: 0 Policed discards: 0 L3 incompletes: 0 L2 channel errors: 0 L2 mismatch timeouts: 0 Carrier transitions: 1 Output errors: 0 Output drops: 0 Aged packets: 0 Active alarms : None Active defects: None SONET error counts/seconds: LOS count 1 LOF count 1 SEF count 1 ES-S 77 SES-S 77 SONET statistics: BIP-B1 0 BIP-B2 0 REI-L 0 BIP-B3 0 REI-P 0 Received SONET overhead: F1 : 0x00 J0 : 0xZ
Significado
A saída de amostra mostra os pacotes de entrada e saída para uma interface SONET específica (so-0/0/1
). As informações podem incluir falhas comuns na interface, como alarmes SONET/SDH e T3, loopbacks detectados e aumentos em erros de configuração. Para obter mais informações, consulte Checklist para rastrear condições de erro.
Para controlar a saída do comando enquanto ele está em execução, use as chaves mostradas em Tabela 1.
Ação |
Chave |
---|---|
Exibir informações sobre a próxima interface. O |
|
Exibir informações sobre uma interface diferente. O comando solicita o nome de uma interface específica. |
|
Congele o display, interrompendo a exibição de estatísticas atualizadas. |
|
Descongele o display, retomando a exibição de estatísticas atualizadas. |
|
Libere (zero) os contadores delta atuais desde |
|
Pare com o |
|
Consulte o CLI Explorer para obter detalhes sobre como usar as condições de correspondência com o monitor traffic
comando.
Visão geral dinâmica da memória endereçada ao conteúdo ternary
Nos roteadores da Série ACX, a memória endereçada por conteúdo ternary (TCAM) é usada por vários aplicativos como firewall, gerenciamento de falhas de conectividade, PTPoE, RFC 2544 etc. O Mecanismo de encaminhamento de pacotes (PFE) em roteadores da Série ACX usa TCAM com limites de espaço TCAM definidos. A alocação de recursos de TCAM para vários aplicativos de filtros é distribuída estaticamente. Essa alocação estática leva à utilização ineficiente de recursos TCAM quando todos os aplicativos de filtro podem não usar esse recurso TCAM simultaneamente.
A alocação dinâmica de espaço TCAM em roteadores ACX aloca de forma eficiente os recursos de TCAM disponíveis para vários aplicativos de filtro. No modelo TCAM dinâmico, vários aplicativos de filtro (como firewall de inet, bridge-firewall, cfm-filters etc.) podem utilizar de forma ideal os recursos de TCAM disponíveis como e quando necessário. A alocação dinâmica de recursos de TCAM é orientada por uso e é alocada dinamicamente para aplicativos de filtro em uma base de necessidade. Quando um aplicativo de filtro não usa mais o espaço TCAM, o recurso é liberado e disponível para uso por outros aplicativos. Esse modelo dinâmico de TCAM atende a uma maior escala de utilização de recursos de TCAM com base na demanda do aplicativo.
- Aplicativos que utilizam infraestrutura TCAM dinâmica
- Recursos que utilizam o recurso TCAM
- Monitoramento do uso de recursos da TCAM
- Exemplo: Monitoramento e resolução de problemas do recurso TCAM
- Monitoramento e resolução de problemas de recursos de TCAM em roteadores da Série ACX
- Escalamento de serviços em roteadores de ACX5048 e ACX5096
Aplicativos que utilizam infraestrutura TCAM dinâmica
As categorias de aplicativo de filtro a seguir usam a infraestrutura de TCAM dinâmica:
Filtro de firewall — todas as configurações de firewall
Filtro implícito — demônios do mecanismo de roteamento (RE) usando filtros para alcançar sua funcionalidade. Por exemplo, gerenciamento de falhas de conectividade, validação de IP MAC etc.
Filtros dinâmicos — aplicativos que usam filtros para alcançar a funcionalidade no nível de PFE. Por exemplo, classificador fixo de nível de interface lógica, RFC 2544 etc. Os demônios RE não saberão sobre esses filtros.
Filtros de init do sistema — filtros que exigem entradas no nível do sistema ou conjunto fixo de entradas na sequência de inicialização do roteador. Por exemplo, armadilha de protocolo de controle de Camada 2 e Camada 3, policiador ARP padrão etc.
Nota:O filtro system-init que tem os aplicativos para a armadilha de protocolos de controle de Camada 2 e Camada 3 é essencial para a funcionalidade geral do sistema. Os aplicativos neste grupo de controle consomem um espaço TCAM fixo e mínimo do espaço TCAM geral. O filtro de init do sistema não usará a infraestrutura de TCAM dinâmica e será criado quando o roteador for inicializado durante a sequência de inicialização.
Recursos que utilizam o recurso TCAM
Os aplicativos que usam o recurso TCAM são denominados tcam-app neste documento. Por exemplo, firewall inet, firewall de ponte, gerenciamento de falhas de conectividade, gerenciamento de falhas de link e assim por diante são todos diferentes aplicativos tcam.
Tabela 2 descreve a lista de aplicativos tcam que usam recursos de TCAM.
Aplicativos TCAM/usuários de TCAM |
Recurso/funcionalidade |
Estágio TCAM |
---|---|---|
bd-dtag-validate |
Validação de dupla tag de domínio bridge Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Saída |
bd-tpid-swap |
Mapa vlan de domínio de ponte com operação de tpid de swap |
Saída |
cfm-bd-filter |
Gerenciamento de falhas de conectividade implícitos filtros de domínio de ponte |
Entrada |
cfm-filter |
Filtros implícitos de gerenciamento de falhas de conectividade |
Entrada |
cfm-vpls-filter |
Filtros de vpls implícitos de gerenciamento de falhas de conectividade Nota:
Esse recurso é suportado apenas em roteadores de ACX5048 e ACX5096. |
Entrada |
cfm-vpls-ifl-filter |
Gerenciamento de falhas de conectividade implícito vpls filtros de interface lógica Nota:
Esse recurso é suportado apenas em roteadores de ACX5048 e ACX5096. |
Entrada |
cos-fc |
Classificador fixo de nível de interface lógica |
Pré-entrada |
fw-ccc-in |
Firewall de entrada da família de circuito cross-connect |
Entrada |
fw-family-out |
Firewall de saída de nível familiar |
Saída |
fw-fbf |
Encaminhamento baseado em filtro de firewall |
Pré-entrada |
fw-fbf-inet6 |
Encaminhamento baseado em filtro de firewall para a família Inet6 |
Pré-entrada |
fw-ifl-in |
Firewall de entrada de nível de interface lógica |
Entrada |
fw-ifl-out |
Firewall de saída de nível de interface lógica |
Saída |
fw-inet-ftf |
Firewall de entrada da família Inet em uma tabela de encaminhamento |
Entrada |
fw-inet6-ftf |
Firewall de entrada da família Inet6 em uma tabela de encaminhamento |
Entrada |
fw-inet-in |
Firewall de entrada da família Inet |
Entrada |
fw-inet-rpf |
Firewall de entrada da família Inet na verificação de falhas do RPF |
Entrada |
fw-inet6-in |
Firewall de entrada da família Inet6 |
Entrada |
fw-inet6-family-out |
Firewall de saída de nível de família Inet6 |
Saída |
fw-inet6-rpf |
Firewall de entrada da família Inet6 em uma verificação de falha de RPF |
Entrada |
fw-inet-pm |
Firewall da família Inet com ação de espelho de porta Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Entrada |
fw-l2-in |
Firewall de entrada da família Bridge na interface de Camada 2 |
Entrada |
fw-mpls-in |
Firewall de entrada da família MPLS |
Entrada |
fw-semantics |
Semântica de compartilhamento de firewall para firewall configurado por CLI |
Pré-entrada |
fw-vpls-in |
Firewall de entrada da família VPLS na interface VPLS |
Entrada |
ifd-src-mac-fil |
Filtro MAC de fonte de nível de interface física |
Pré-entrada |
ifl-statistics-in |
Estatísticas de interface de nível lógico na entrada |
Entrada |
ifl-statistics-out |
Estatísticas de interface de nível lógico na saída |
Saída |
ing-out-iff |
Aplicativo de entrada em nome do filtro da família de saída para log e syslog |
Entrada |
ip-mac-val |
Validação de IP MAC |
Pré-entrada |
ip-mac-val-bcast |
Validação de IP MAC para broadcast |
Pré-entrada |
ipsec-reverse-fil |
Filtros reversos para serviço IPsec Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Entrada |
irb-cos-rw |
Reescrita da IRB CoS |
Saída |
lfm-802.3ah-in |
Gerenciamento de falhas de enlace (IEEE 802.3ah) na entrada Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Entrada |
lfm-802.3ah-out |
Gerenciamento de falhas de link (IEEE 802.3ah) na saída |
Saída |
lo0-inet-fil |
Filtro de inet de interface de looback |
Entrada |
lo0-inet6-fil |
Filtro inet6 da interface de looback |
Entrada |
mac-drop-cnt |
Estatísticas de quedas por filtros MAC validados e de origem |
Entrada |
mrouter-port-in |
Porta de roteador multicast para bisbilhotar |
Entrada |
napt-reverse-fil |
Filtros reversos para o serviço de tradução de porta de endereço de rede (NAPT) Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Entrada |
no-local-switching |
Ponte sem comutação local |
Entrada |
ptpoe |
Armadilhas ponto a ponto sobre a ethernet Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Entrada |
ptpoe-cos-rw |
CoS reescrever para PTPoE Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Saída |
rfc2544-layer2-in |
RFC2544 para serviço de Camada 2 na entrada |
Pré-entrada |
rfc2544-layer2-out |
RFC2544 para serviço de Camada 2 na saída Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Saída |
service-filter-in |
Filtro de serviço na entrada Nota:
Esse recurso não é suportado em roteadores ACX5048 e ACX5096. |
Entrada |
Monitoramento do uso de recursos da TCAM
Você pode usar o show e limpar comandos para monitorar e solucionar problemas do uso dinâmico de recursos de TCAM.
Tabela 3 resume os comandos de interface de linha de comando (CLI) que você pode usar para monitorar e solucionar problemas do uso dinâmico de recursos de TCAM.
Tarefa |
Comando |
---|---|
Exibir os aplicativos compartilhados e relacionados para um aplicativo específico |
|
Exibir o uso de recursos de TCAM para um aplicativo e estágios (saída, entrada e pré-entrada) |
(ACX5448) resumo do pfe filter hw |
Exibir os erros de uso de recursos de TCAM para aplicativos e estágios (saída, entrada e pré-entrada) |
|
Libera as estatísticas de erro de uso de recursos de TCAM para aplicativos e estágios (saída, entrada e pré-entrada) |
Exemplo: Monitoramento e resolução de problemas do recurso TCAM
Esta seção descreve um caso de uso em que você pode monitorar e solucionar problemas de recursos de TCAM usando comandos de exibição. Neste cenário de caso de uso, você configurou serviços de Camada 2 e os aplicativos relacionados a serviços de Camada 2 estão usando recursos TCAM. A abordagem dinâmica, como mostrado neste exemplo, oferece a você a flexibilidade completa para gerenciar os recursos de TCAM de forma necessária.
O requisito do serviço é o seguinte:
Cada domínio de ponte tem uma interface UNI e uma NNI
Cada interface UNI tem:
Um policiador de nível de interface lógica para policiar o tráfego a 10 Mbps.
Classificador multicampo com quatro termos para atribuir classe de encaminhamento e prioridade de perda.
Cada interface UNI configura CFM UP MEP no nível 4.
Cada interface NNI configura CFM DOWN MEP no nível 2
Consideremos um cenário em que existam 100 serviços configurados no roteador. Com essa escala, todos os aplicativos estão configurados com sucesso e o status mostra OK o estado.
-
Visualização do uso de recursos de TCAM para todas as etapas.
Para visualizar o uso de recursos de TCAM para todas as etapas (saída, entrada e pré-entrada), use o
show pfe tcam usage all-tcam-stages detail
comando. Em ACX5448 roteadores, use oshow pfe filter hw summary
comando para visualizar o usgae do recurso TCAM.user@host> show pfe tcam usage all-tcam-stages detail Slot 0 Tcam Resource Stage: Pre-Ingress -------------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage Tcam Resource Stage: Ingress ---------------------------- Free [hw-grps: 2 out of 8] Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2 Used Allocated Available Errors Tcam-Entries 800 1024 224 0 Counters 800 1024 224 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- cfm-filter 500 500 0 3 OK cfm-bd-filter 300 300 0 2 OK Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 500 512 12 0 Counters 500 1024 524 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-l2-in 500 500 0 2 OK fw-semantics 0 X X 1 OK Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 200 512 312 0 Counters 200 512 312 0 Policers 100 512 412 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-ifl-in 200 200 100 1 OK Tcam Resource Stage: Egress --------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage
Configure serviços adicionais de Camada 2 no roteador.
Por exemplo, adicione mais 20 serviços no roteador, aumentando assim o número total de serviços para 120. Depois de adicionar mais serviços, você pode verificar o status da configuração verificando a mensagem de syslog usando o comando
show log messages
ou executando oshow pfe tcam errors
comando.A seguir, uma saída de mensagem de syslog de amostra mostrando a escassez de recursos de TCAM para filtros da família de comutação Ethernet para configurações mais novas, executando o
show log messages
comando CLI.[Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_check_phy_slice_availability :Insufficient phy slices to accomodate grp:13/IN_IFF_BRIDGE mode:1/DOUBLE [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_check_resource_availability :Could not write filter: f-bridge-ge-0/0/0.103-i, insufficient TCAM resources [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_update_filter_in_hw :acx_dfw_check_resource_availability failed for filter:f-bridge-ge-0/0/0.103-i [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_create_hw_instance :Status:1005 Could not program dfw(f-bridge-ge-0/0/0.103-i) type(IN_IFF_BRIDGE)! [1005] [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_bind_shim :[1005] Could not create dfw(f-bridge-ge-0/0/0.103-i) type(IN_IFF_BRIDGE) [Sat Jul 11 16:10:33.794 LOG: Err] ACX Error (dfw):acx_dfw_bind :[1000] bind failed for filter f-bridge-ge-0/0/0.103-i
Se você usar o
show pfe tcam errors all-tcam-stages detail
comando CLI para verificar o status da configuração, a saída será conforme mostrado abaixo:user@host> show pfe tcam errors all-tcam-stages detail Slot 0 Tcam Resource Stage: Pre-Ingress -------------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage Tcam Resource Stage: Ingress ---------------------------- Free [hw-grps: 2 out of 8] Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2 Used Allocated Available Errors Tcam-Entries 960 1024 64 0 Counters 960 1024 64 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- cfm-filter 600 600 0 3 OK cfm-bd-filter 360 360 0 2 OK Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 510 512 2 18 Counters 510 1024 514 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-l2-in 510 510 0 2 FAILED fw-semantics 0 X X 1 OK App error statistics: ---------------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-l2-in 18 0 0 2 FAILED fw-semantics 0 X X 1 OK Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 240 512 272 0 Counters 240 512 272 0 Policers 120 512 392 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-ifl-in 240 240 120 1 OK Tcam Resource Stage: Egress --------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage
A saída indica que o fw-l2-in aplicativo está ficando sem recursos de TCAM e se move para um estado de falha. Embora existam duas fatias de TCAM disponíveis na fase de entrada, o fw-l2-in aplicativo não é capaz de usar o espaço TCAM disponível devido ao seu modo (DOUBLE), resultando em falha de falta de recursos.
-
Corrigindo os aplicativos que falharam devido à escassez de resouces de TCAM.
O fw-l2-in aplicativo falhou devido à inclusão de mais serviços nos roteadores, o que resultou na escassez de recursos de TCAM. Embora outros aplicativos pareçam funcionar bem, é recomendável desativar ou remover os serviços recém-adicionados para que o fw-l2-in aplicativo se mova para um estado OK. Depois de remover ou desativar os serviços recém-adicionados, você precisa executar o e
show pfe tcam error
osshow pfe tcam usage
comandos para verificar se não há mais aplicativos em estado de falha.Para visualizar o uso de recursos de TCAM para todas as etapas (saída, entrada e pré-entrada), use o
show pfe tcam usage all-tcam-stages detail
comando. Para roteadores ACX5448, use oshow pfe filter hw summary
comando para visualizar o uso de recursos de TCAM.user@host> show pfe tcam usage all-tcam-stages detail Slot 0 Tcam Resource Stage: Pre-Ingress -------------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage Tcam Resource Stage: Ingress ---------------------------- Free [hw-grps: 2 out of 8] Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2 Used Allocated Available Errors Tcam-Entries 800 1024 224 0 Counters 800 1024 224 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- cfm-filter 500 500 0 3 OK cfm-bd-filter 300 300 0 2 OK Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 500 512 12 18 Counters 500 1024 524 0 Policers 0 1024 1024 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-l2-in 500 500 0 2 OK fw-semantics 0 X X 1 OK Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1 Used Allocated Available Errors Tcam-Entries 200 512 312 0 Counters 200 512 312 0 Policers 100 512 412 0 App tcam usage: ---------------- App-Name Entries Counters Policers Precedence State Related-App-Name .. ----------------------------------------------------------------- fw-ifl-in 200 200 100 1 OK Tcam Resource Stage: Egress --------------------------- Free [hw-grps: 3 out of 3] No dynamic tcam usage
Para visualizar erros de uso de recursos de TCAM para todas as etapas (saída, entrada e pré-entrada), use o
show pfe tcam errors all-tcam-stages
comando.user@host> show pfe tcam errors all-tcam-stages detail Slot 0 Tcam Resource Stage: Pre-Ingress -------------------------------- No tcam usage Tcam Resource Stage: Ingress ---------------------------- Group: 11, Mode: SINGLE, Hw grps used: 3, Tcam apps: 2 Errors Resource-Shortage Tcam-Entries 0 0 Counters 0 0 Policers 0 0 Group: 8, Mode: DOUBLE, Hw grps used: 2, Tcam apps: 1 Errors Resource-Shortage Tcam-Entries 18 0 Counters 0 0 Policers 0 0 Group: 14, Mode: SINGLE, Hw grps used: 1, Tcam apps: 1 Errors Resource-Shortage Tcam-Entries 0 0 Counters 0 0 Policers 0 0 Tcam Resource Stage: Egress --------------------------- No tcam usage
Você pode ver que todos os aplicativos que usam os recursos de TCAM estão em OK estado e indica que o hardware foi configurado com sucesso.
Como mostrado no exemplo, você precisará executar o e show pfe tcam usage
os show pfe tcam errors
comandos em cada etapa para garantir que suas configurações sejam válidas e que os aplicativos que usam o recurso TCAM estejam em estado OK. Para roteadores ACX5448, use o show pfe filter hw summary
comando para visualizar o uso de recursos TCAM.
Monitoramento e resolução de problemas de recursos de TCAM em roteadores da Série ACX
A alocação dinâmica do espaço ternary Content Addressable Memory (TCAM) na Série ACX aloca de forma eficiente os recursos de TCAM disponíveis para vários aplicativos de filtro. No modelo TCAM dinâmico, vários aplicativos de filtro (como firewall de inet, bridge-firewall, cfm-filters etc.) podem utilizar de forma ideal os recursos de TCAM disponíveis como e quando necessário. A alocação dinâmica de recursos de TCAM é orientada por uso e é alocada dinamicamente para aplicativos de filtro em uma base de necessidade. Quando um aplicativo de filtro não usa mais o espaço TCAM, o recurso é liberado e disponível para uso por outros aplicativos. Esse modelo dinâmico de TCAM atende a uma maior escala de utilização de recursos de TCAM com base na demanda do aplicativo. Você pode usar o show e limpar comandos para monitorar e solucionar problemas do uso dinâmico de recursos de TCAM em roteadores da Série ACX.
Os aplicativos que usam o recurso TCAM são denominados tcam-app neste documento.
Visão geral dinâmica da memória endereçada ao conteúdo ternary mostra a tarefa e os comandos para monitorar e solucionar problemas de recursos TCAM em roteadores da Série ACX
Como |
Comando |
---|---|
Veja os aplicativos compartilhados e relacionados para um aplicativo específico. |
|
Veja o número de aplicativos em todas as etapas da tcam. |
|
Veja o número de aplicativos que usam o recurso TCAM em um estágio especificado. |
|
Veja detalhadamente o recurso de TCAM usado por um aplicativo. |
|
Visualize o recurso TCAM usado por um aplicativo em um estágio especificado. |
|
Saiba o número de recursos de TCAM consumidos por um aplicativo tcam |
|
Veja os erros de uso de recursos de TCAM para todas as etapas. |
|
Veja os erros de uso de recursos da TCAM para um estágio |
|
Veja os erros de uso de recursos de TCAM para um aplicativo. |
|
Veja os erros de uso de recursos de TCAM para um aplicativo, juntamente com seu outro aplicativo compartilhado. |
|
Limpe as estatísticas de erro de uso de recursos de TCAM para todas as etapas. |
|
Limpe as estatísticas de erro de uso de recursos de TCAM para um estágio especificado |
|
Limpe as estatísticas de erro de uso de recursos de TCAM para um aplicativo. |
|
Para saber mais sobre a TCAM dinâmica da Série ACX, veja a visão geral dinâmica da memória endereçada ao conteúdo ternary.
Escalamento de serviços em roteadores de ACX5048 e ACX5096
Em ACX5048 e ACX5096 roteadores, um serviço típico (como ELINE, ELAN e IP VPN) implantado pode exigir aplicativos (como policiais, filtros de firewall, gerenciamento de falhas de conectividade IEEE 802.1ag, RFC2544) que usa a infraestrutura de TCAM dinâmica.
Os aplicativos de serviço que usam recursos de TCAM são limitados pela disponibilidade de recursos de TCAM. Portanto, a escala do serviço depende do consumo do recurso TCAM por esses aplicativos.
Um caso de uso de amostra para monitorar e solucionar problemas de escala de serviços em ACX5048 e ACX5096 roteadores pode ser encontrado na seção Visão geral da memória endereçada ao conteúdo dinâmico ternary .
Resolução de problemas de resolução de nomes de DNS em políticas lógicas de segurança do sistema (apenas administradores primários)
Problema
Descrição
O endereço de um nome de host em uma entrada de livro de endereços usada em uma política de segurança pode não ser resolvido corretamente.
Causa
Normalmente, as entradas de agenda de endereços que contêm nomes de host dinâmicos são atualizadas automaticamente para firewalls da Série SRX. O campo TTL associado a uma entrada de DNS indica o tempo após o qual a entrada deve ser atualizada no cache de políticas. Assim que o valor da TTL expirar, o firewall da Série SRX atualiza automaticamente a entrada de DNS para uma entrada na lista de endereços.
No entanto, se o firewall da Série SRX não conseguir obter uma resposta do servidor DNS (por exemplo, a solicitação de DNS ou o pacote de resposta são perdidos na rede ou o servidor DNS não puder enviar uma resposta), o endereço de um nome de host em uma entrada de livro de endereços pode não ser resolvido corretamente. Isso pode fazer com que o tráfego caia, pois nenhuma política de segurança ou correspondência de sessão é encontrada.
Solução
O administrador principal pode usar o show security dns-cache
comando para exibir informações de cache DNS no firewall da Série SRX. Se as informações de cache DNS precisarem ser atualizadas, o administrador primário pode usar o clear security dns-cache
comando.
Esses comandos só estão disponíveis para o administrador principal em dispositivos configurados para sistemas lógicos. Esse comando não está disponível em sistemas lógicos do usuário ou em dispositivos que não estão configurados para sistemas lógicos.
Consulte também
Resolução de problemas da interface de serviços de enlace
Para resolver problemas de configuração em uma interface de serviços de enlace:
- Determinar quais componentes cos são aplicados aos links constituintes
- Determinar o que causa jitter e latência no pacote multilink
- Determine se o balanceamento de carga e LFI está funcionando corretamente
- Determine por que os pacotes são descartados em um PVC entre um dispositivo da Juniper Networks e um dispositivo de terceiros
Determinar quais componentes cos são aplicados aos links constituintes
Problema
Descrição
Você está configurando um pacote multilink, mas também tem tráfego sem encapsulamento MLPPP passando por links constituintes do pacote multilink. Você aplica todos os componentes de CoS nos links constituintes ou está aplicando-os ao pacote multilink o suficiente?
Solução
Você pode aplicar um mapa de agendador ao pacote multilink e seus links constituintes. Embora você possa aplicar vários componentes de CoS com o mapa do agendador, configure apenas os que são necessários. Recomendamos que você mantenha a configuração nos links constituintes simples para evitar atrasos desnecessários na transmissão.
Tabela 5 mostra os componentes cos a serem aplicados em um pacote multilink e seus links constituintes.
Componente Cos |
Pacote multilink |
Links constituintes |
Explicação |
---|---|---|---|
Classificador |
Sim |
Não |
A classificação cos ocorre no lado de entrada da interface, não no lado transmissor, portanto, não são necessários classificadores em links constituintes. |
Aula de encaminhamento |
Sim |
Não |
A aula de encaminhamento está associada a uma fila, e a fila é aplicada na interface por um mapa do agendador. A atribuição da fila é predeterminada nos links constituintes. Todos os pacotes do 2º trimestre do pacote multilink são atribuídos ao 2º trimestre do link constituinte, e os pacotes de todas as outras filas estão enfileirados no Q0 do link constituinte. |
Mapa do agendador |
Sim |
Sim |
Aplique mapas de agendador no pacote multilink e no link constituinte da seguinte forma:
|
Taxa de modelagem para um agendador por unidade ou um agendador de nível de interface |
Não |
Sim |
Como o agendamento por unidade é aplicado apenas no ponto final, aplique essa taxa de modelagem apenas nos links constituintes. Qualquer configuração aplicada anteriormente é sobreescrita pela configuração do link constituinte. |
Modelagem exata ou de nível de fila de taxa de transmissão |
Sim |
Não |
A modelagem de nível de interface aplicada nos links constituintes substitui qualquer modelagem na fila. Assim, aplique a modelagem exata da taxa de transmissão apenas no pacote multilink. |
Regras de reescrita |
Sim |
Não |
Os bits de reescrita são copiados do pacote para os fragmentos automaticamente durante a fragmentação. Assim, o que você configura no pacote multilink é transportado nos fragmentos para os links constituintes. |
Grupo de canais virtuais |
Sim |
Não |
Grupos de canais virtuais são identificados por meio de regras de filtro de firewall que são aplicadas em pacotes apenas antes do pacote multilink. Assim, você não precisa aplicar a configuração do grupo de canais virtuais aos links constituintes. |
Consulte também
Determinar o que causa jitter e latência no pacote multilink
Problema
Descrição
Para testar o jitter e a latência, você envia três fluxos de pacotes IP. Todos os pacotes têm as mesmas configurações de precedência de IP. Após a configuração de LFI e CRTP, a latência aumentou mesmo em um enlace não mais limitado. Como você pode reduzir o jitter e a latência?
Solução
Para reduzir o jitter e a latência, faça o seguinte:
Certifique-se de ter configurado uma taxa de modelagem em cada link constituinte.
Certifique-se de não ter configurado uma taxa de modelagem na interface de serviços de link.
Certifique-se de que o valor da taxa de modelagem configurada seja igual à largura de banda da interface física.
Se as taxas de modelagem estiverem configuradas corretamente e o jitter ainda persistir, entre em contato com o Centro de Assistência Técnica (JTAC) da Juniper Networks.
Determine se o balanceamento de carga e LFI está funcionando corretamente
Problema
Descrição
Neste caso, você tem uma única rede que oferece suporte a vários serviços. A rede transmite dados e tráfego de voz sensível ao atraso. Após a configuração do MLPPP e do LFI, certifique-se de que os pacotes de voz sejam transmitidos por toda a rede com muito pouco atraso e jitter. Como você pode descobrir se os pacotes de voz estão sendo tratados como pacotes LFI e balanceamento de carga é executado corretamente?
Solução
Quando o LFI é habilitado, os pacotes de dados (não LFI) são encapsulados com um cabeçalho MLPPP e fragmentados em pacotes de um tamanho especificado. Os pacotes de voz (LFI) sensíveis ao atraso são encapsulados por PPP e intercalados entre fragmentos de pacote de dados. A fila e o balanceamento de carga são executados de forma diferente para pacotes LFI e não LFI.
Para verificar se o LFI é executado corretamente, determine que os pacotes estão fragmentados e encapsulados conforme configurados. Depois de saber se um pacote é tratado como um pacote LFI ou um pacote não LFI, você pode confirmar se o balanceamento de carga é executado corretamente.
Solution Scenario
— Suponha que dois dispositivos da Juniper Networks, R0 e R1, estejam conectados por um pacote lsq-0/0/0.0
multilink que agrega dois links se-1/0/0
serial e se-1/0/1
. No R0 e R1, MLPPP e LFI estão habilitados na interface de serviços de link e o limite de fragmentação é definido para 128 bytes.
Neste exemplo, usamos um gerador de pacotes para gerar fluxos de voz e dados. Você pode usar o recurso de captura de pacotes para capturar e analisar os pacotes na interface de entrada.
Os dois fluxos de dados a seguir foram enviados no pacote multilink:
100 pacotes de dados de 200 bytes (maior que o limiar de fragmentação)
500 pacotes de dados de 60 bytes (menor que o limiar de fragmentação)
Os dois fluxos de voz a seguir foram enviados no pacote multilink:
100 pacotes de voz de 200 bytes da porta de origem 100
300 pacotes de voz de 200 bytes da porta de origem 200
Para confirmar que o LFI e o balanceamento de carga são executados corretamente:
Apenas as partes significativas da saída de comando são exibidas e descritas neste exemplo.
Verifique a fragmentação de pacotes. Desde o modo operacional, entre no
show interfaces lsq-0/0/0
comando para verificar se pacotes grandes são fragmentados corretamente.user@R0#> show interfaces lsq-0/0/0 Physical interface: lsq-0/0/0, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 29 Link-level type: LinkService, MTU: 1504 Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Last flapped : 2006-08-01 10:45:13 PDT (2w0d 06:06 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface lsq-0/0/0.0 (Index 69) (SNMP ifIndex 42) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Multilink-PPP Bandwidth: 16mbps Statistics Frames fps Bytes bps Bundle: Fragments: Input : 0 0 0 0 Output: 1100 0 118800 0 Packets: Input : 0 0 0 0 Output: 1000 0 112000 0 ... Protocol inet, MTU: 1500 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 9.9.9/24, Local: 9.9.9.10
Meaning
— A saída mostra um resumo dos pacotes que transitam pelo dispositivo no pacote multilink. Verifique as seguintes informações sobre o pacote multilink:O número total de pacotes de trânsito = 1000
O número total de fragmentos de trânsito=1100
O número de pacotes de dados fragmentados =100
O número total de pacotes enviados (600 + 400) no pacote multilink corresponde ao número de pacotes de trânsito (1000), indicando que nenhum pacote foi descartado.
O número de fragmentos de trânsito excede o número de pacotes de trânsito em 100, indicando que 100 grandes pacotes de dados foram corretamente fragmentados.
Corrective Action
— Se os pacotes não forem fragmentados corretamente, verifique a configuração do limiar de fragmentação. Pacotes menores que o limiar de fragmentação especificado não são fragmentados.Verifique o encapsulamento de pacotes. Para descobrir se um pacote é tratado como um pacote LFI ou não LFI, determine seu tipo de encapsulamento. Os pacotes LFI são encapsulados por PPP, e os pacotes não LFI são encapsulados com PPP e MLPPP. Os encapsulamentos de PPP e MLPPP têm custos fixos diferentes, resultando em pacotes de diferentes tamanhos. Você pode comparar tamanhos de pacotes para determinar o tipo de encapsulamento.
Um pequeno pacote de dados nãofragmentado contém um cabeçalho PPP e um único cabeçalho MLPPP. Em um grande pacote de dados fragmentado, o primeiro fragmento contém um cabeçalho PPP e um cabeçalho MLPPP, mas os fragmentos consecutivos contêm apenas um cabeçalho MLPPP.
Os encapsulamentos de PPP e MLPPP adicionam o seguinte número de bytes a um pacote:
O encapsulamento de PPP adiciona 7 bytes:
4 bytes de cabeçalho+2 bytes de sequência de verificação de quadro (FCS)+1 byte que está ocioso ou contém uma bandeira
O encapsulamento do MLPPP adiciona entre 6 e 8 bytes:
4 bytes de cabeçalho PPP+2 a 4 bytes de cabeçalho multilink
Figura 1 mostra a sobrecarga adicionada aos cabeçalhos PPP e MLPPP.
Figura 1: Cabeçalhos PPP e MLPPPPara pacotes CRTP, a sobrecarga de encapsulamento e o tamanho dos pacotes são ainda menores do que para um pacote LFI. Para obter mais informações, veja Exemplo: Configuração do protocolo de transporte em tempo real comprimido.
Tabela 6 mostra a sobrecarga de encapsulamento para um pacote de dados e um pacote de voz de 70 bytes cada. Após o encapsulamento, o tamanho do pacote de dados é maior do que o tamanho do pacote de voz.
Tabela 6: Sobrecarga de encapsulamento de PPP e MLPPP Tipo de pacote
Encapsulação
Tamanho inicial do pacote
Sobrecarga de encapsulamento
Tamanho do pacote após o encapsulamento
Pacote de voz (LFI)
PPP
70 bytes
4 + 2 + 1 = 7 bytes
77 bytes
Fragmento de dados (não LFI) com sequência curta
MLPPP
70 bytes
4 + 2 + 1 + 4 + 2 = 13 bytes
83 bytes
Fragmento de dados (não LFI) com longa sequência
MLPPP
70 bytes
4 + 2 + 1 + 4 + 4 = 15 bytes
85 bytes
Desde o modo operacional, insira o
show interfaces queue
comando para exibir o tamanho do pacote transmitido em cada fila. Divida o número de bytes transmitidos pelo número de pacotes para obter o tamanho dos pacotes e determinar o tipo de encapsulamento.Verifique o balanceamento de carga. A partir do modo operacional, insira o
show interfaces queue
comando no pacote multilink e seus links constituintes para confirmar se o balanceamento de carga é executado de acordo com os pacotes.user@R0> show interfaces queue lsq-0/0/0 Physical interface: lsq-0/0/0, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 29 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 600 0 pps Bytes : 44800 0 bps Transmitted: Packets : 600 0 pps Bytes : 44800 0 bps Tail-dropped packets : 0 0 pps RED-dropped packets : 0 0 pps … Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 400 0 pps Bytes : 61344 0 bps Transmitted: Packets : 400 0 pps Bytes : 61344 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 0 0 pps Bytes : 0 0 bps …
user@R0> show interfaces queue se-1/0/0 Physical interface: se-1/0/0, Enabled, Physical link is Up Interface index: 141, SNMP ifIndex: 35 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 350 0 pps Bytes : 24350 0 bps Transmitted: Packets : 350 0 pps Bytes : 24350 0 bps ... Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 100 0 pps Bytes : 15272 0 bps Transmitted: Packets : 100 0 pps Bytes : 15272 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 19 0 pps Bytes : 247 0 bps Transmitted: Packets : 19 0 pps Bytes : 247 0 bps …
user@R0> show interfaces queue se-1/0/1 Physical interface: se-1/0/1, Enabled, Physical link is Up Interface index: 142, SNMP ifIndex: 38 Forwarding classes: 8 supported, 8 in use Egress queues: 8 supported, 8 in use Queue: 0, Forwarding classes: DATA Queued: Packets : 350 0 pps Bytes : 24350 0 bps Transmitted: Packets : 350 0 pps Bytes : 24350 0 bps … Queue: 1, Forwarding classes: expedited-forwarding Queued: Packets : 0 0 pps Bytes : 0 0 bps … Queue: 2, Forwarding classes: VOICE Queued: Packets : 300 0 pps Bytes : 45672 0 bps Transmitted: Packets : 300 0 pps Bytes : 45672 0 bps … Queue: 3, Forwarding classes: NC Queued: Packets : 18 0 pps Bytes : 234 0 bps Transmitted: Packets : 18 0 pps Bytes : 234 0 bps
Meaning
— A saída desses comandos mostra os pacotes transmitidos e enfileirados em cada fila da interface de serviços de link e seus links constituintes. Tabela 7 mostra um resumo desses valores. (Como o número de pacotes transmitidos igualou o número de pacotes enfileirados em todos os links, esta tabela mostra apenas os pacotes enfileirados.)Tabela 7: Número de pacotes transmitidos em uma fila Pacotes enfileirados
Pacote lsq-0/0/0,0
Enlace constituinte se-1/0/0
Enlace constituinte se-1/0/1
Explicação
Pacotes no Q0
600
350
350
O número total de pacotes que transitam pelos links constituintes (350+350 = 700) excedeu o número de pacotes enfileirados (600) no pacote multilink.
Pacotes no 2º trimestre
400
100
300
O número total de pacotes que transitam pelos links constituintes igualou o número de pacotes no pacote.
Pacotes no terceiro trimestre
0
19
18
Os pacotes que transitam no terceiro trimestre dos links constituintes são para mensagens keepalive trocadas entre links constituintes. Assim, nenhum pacote foi contado no terceiro trimestre do pacote.
No pacote multilink, verifique o seguinte:
O número de pacotes enfileirados corresponde ao número transmitido. Se os números corresponderem, nenhum pacote foi descartado. Se mais pacotes fossem enfileirados do que os transmitidos, os pacotes eram descartados porque o buffer era muito pequeno. O tamanho do buffer nos links constituintes controla o congestionamento na fase de saída. Para corrigir esse problema, aumente o tamanho do buffer nos links constituintes.
O número de pacotes que transitam Q0 (600) corresponde ao número de pacotes de dados grandes e pequenos recebidos (100+500) no pacote multilink. Se os números corresponderem, todos os pacotes de dados transitaram corretamente no Q0.
O número de pacotes que transitam pelo Q2 no pacote multilink (400) corresponde ao número de pacotes de voz recebidos no pacote multilink. Se os números corresponderem, todos os pacotes LFI de voz transitaram corretamente no 2º trimestre.
Nos links constituintes, verifique o seguinte:
O número total de pacotes em trânsito Q0 (350+350) corresponde ao número de pacotes de dados e fragmentos de dados (500+200). Se os números corresponderem, todos os pacotes de dados após a fragmentação transitaram corretamente pelo Q0 dos links constituintes.
Os pacotes transitaram em ambos os links constituintes, indicando que o balanceamento de carga foi executado corretamente em pacotes não LFI.
O número total de pacotes que transitam pelo Q2 (300+100) em links constituintes corresponde ao número de pacotes de voz recebidos (400) no pacote multilink. Se os números corresponderem, todos os pacotes LFI de voz transitaram corretamente no 2º trimestre.
Pacotes LFI da porta
100
de origem transitadosse-1/0/0
e pacotes LFI da porta200
de origem transitadosse-1/0/1
. Assim, todos os pacotes LFI (Q2) foram hashed com base na porta de origem e transitaram corretamente em ambos os links constituintes.
Corrective Action
— Se os pacotes transitaram apenas um link, tome as seguintes medidas para resolver o problema:Determine se o link físico está
up
(operacional) oudown
(indisponível). Um link indisponível indica um problema com o PIM, a porta da interface ou a conexão física (erros da camada de enlace). Se o link estiver operacional, passe para a próxima etapa.Verifique se os classificadores estão definidos corretamente para pacotes não LFI. Certifique-se de que os pacotes não LFI não estejam configurados para serem enfileirados no 2º trimestre. Todos os pacotes enfileirados no 2º trimestre são tratados como pacotes LFI.
Verifique se pelo menos um dos seguintes valores é diferente nos pacotes LFI: endereço fonte, endereço de destino, protocolo IP, porta de origem ou porta de destino. Se os mesmos valores estiverem configurados para todos os pacotes LFI, todos os pacotes serão hashed para o mesmo fluxo e transitam pelo mesmo link.
Use os resultados para verificar o balanceamento de carga.
Determine por que os pacotes são descartados em um PVC entre um dispositivo da Juniper Networks e um dispositivo de terceiros
Problema
Descrição
Você está configurando um circuito virtual permanente (PVC) entre interfaces T1, E1, T3 ou E3 em um dispositivo da Juniper Networks e um dispositivo de terceiros, e os pacotes estão sendo descartados e o ping falha.
Solução
Se o dispositivo de terceiros não tiver o mesmo suporte FRF.12 que o dispositivo Juniper Networks ou suportar o FRF.12 de uma maneira diferente, a interface de dispositivo da Juniper Networks no PVC pode descartar um pacote fragmentado contendo cabeçalhos FRF.12 e contá-lo como um "Descarte policiado".
Como uma solução alternativa, configure pacotes multilink em ambos os pares e configure limites de fragmentação nos pacotes multilink.
Resolução de problemas de políticas de segurança
- Sincronização de políticas entre mecanismo de roteamento e mecanismo de encaminhamento de pacotes
- Verificando uma falha no compromisso da política de segurança
- Confirmar o compromisso de uma política de segurança
- Busca de políticas de depuração
Sincronização de políticas entre mecanismo de roteamento e mecanismo de encaminhamento de pacotes
Problema
Descrição
As políticas de segurança são armazenadas no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes. As políticas de segurança são empurradas do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes quando você confirma configurações. Se as políticas de segurança no mecanismo de roteamento estiverem fora de sincronia com o Mecanismo de encaminhamento de pacotes, o comprometimento de uma configuração falha. Os arquivos de despejo de núcleo podem ser gerados se o commit for tentado repetidamente. A desincronizá-lo pode ser devido a:
Uma mensagem de política do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes é perdida em trânsito.
Um erro com o mecanismo de roteamento, como um UID de política reutilizado.
Ambiente
As políticas no mecanismo de roteamento e mecanismo de encaminhamento de pacotes devem estar em sincronia para que a configuração seja comprometida. No entanto, em determinadas circunstâncias, as políticas no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes podem estar fora de sincronia, o que faz com que o compromisso fracasse.
Sintomas
Quando as configurações de políticas são modificadas e as políticas estão fora de sincronia, a mensagem de erro a seguir é exibida - error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Solução
Use o show security policies checksum
comando para exibir o valor do checkum da política de segurança e use o request security policies resync
comando para sincronizar a configuração das políticas de segurança no Mecanismo de Roteamento e mecanismo de encaminhamento de pacotes, se as políticas de segurança estiverem fora de sincronia.
Consulte também
Verificando uma falha no compromisso da política de segurança
Problema
Descrição
A maioria das falhas de configuração de políticas ocorrem durante um compromisso ou tempo de execução.
As falhas de confirmação são relatadas diretamente na CLI quando você executa o comando commit-check CLI no modo de configuração. Esses erros são erros de configuração e você não pode confirmar a configuração sem corrigir esses erros.
Solução
Para corrigir esses erros, faça o seguinte:
Analise seus dados de configuração.
Abra o arquivo /var/log/nsd_chk_only. Este arquivo é sobreescrito cada vez que você realiza uma verificação de confirmação e contém informações detalhadas de falha.
Confirmar o compromisso de uma política de segurança
Problema
Descrição
Ao realizar um compromisso de configuração de política, se você notar que o comportamento do sistema está incorreto, use as seguintes etapas para solucionar este problema:
Solução
Comandos operacionais show — Execute os comandos operacionais para políticas de segurança e verifique se as informações mostradas na saída são consistentes com o que você esperava. Se não, a configuração precisa ser alterada adequadamente.
Traceoptions — Defina o
traceoptions
comando em sua configuração de política. As bandeiras sob essa hierarquia podem ser selecionadas de acordo com a análise do usuário dashow
saída de comando. Se você não puder determinar qual bandeira usar, a opçãoall
de bandeira pode ser usada para capturar todos os logs de rastreamento.user@host#
set security policies traceoptions <flag all>
Você também pode configurar um nome de arquivo opcional para capturar os logs.
user@host# set security policies traceoptions <filename>
Se você especificou um nome de arquivo nas opções de rastreamento, você pode procurar no /var/log/<filename> para o arquivo de log verificar se algum erro foi relatado no arquivo. (Se você não especificou um nome de arquivo, o nome de arquivo padrão é eventd.) As mensagens de erro indicam o local da falha e o motivo apropriado.
Após a configuração das opções de rastreamento, você deve reacomodar a mudança de configuração que causou o comportamento incorreto do sistema.
Busca de políticas de depuração
Problema
Descrição
Quando você tem a configuração correta, mas algum tráfego foi incorreto ou permitido, você pode ativar a lookup
bandeira nas traceoptions de políticas de segurança. A lookup
bandeira registra os vestígios relacionados à busca no arquivo de rastreamento.
Solução
user@host# set security policies traceoptions <flag lookup>
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.