Resolução de problemas da configuração do policial

Descrição

Em certas circunstâncias, o Junos OS pode exibir um número enganoso de pacotes descartados por um policial de entrada.

Se os pacotes forem descartados por causa do controle de admissão de entrada, as estatísticas do policial podem não mostrar o número de quedas de pacotes que você esperaria calculando a diferença entre a entrada e a contagem de pacotes de saída. Isso pode acontecer se você aplicar um policiador de entrada em várias interfaces, e a taxa de entrada agregada dessas interfaces excede a taxa de linha de uma interface de saída comum. Neste caso, os pacotes podem ser retirados do buffer de entrada. Essas quedas não estão incluídas na contagem de pacotes descartados pelo policial, o que faz com que as estatísticas dos policiais subnotificaçãom o número total de quedas.

Descrição

Se você editar um termo de filtro de firewall, o valor de qualquer contador associado a qualquer termo no mesmo filtro é definido para 0, incluindo o contador implícito para qualquer policiador mencionado pelo filtro. Considere os seguintes exemplos:

• Suponha que seu filtro tenha , e , e cada termo tem um contador que já contou pacotes correspondentes.term1term2term3 Se você editar algum dos termos de alguma forma, os contadores para todos os termos serão redefinidos para 0.

• Suponha que o seu filtro tenha e .term1term2 Suponha também que tenha um modificador de ação e o contador implícito do policial já contabilizou 1000 pacotes correspondentes.term2policer Se você editar ou de alguma forma, o contador para o policiador mencionado é redefinido para 0.term1term2term2

Descrição

Se você aplicar um policiador de duas cores de taxa única em mais de 128 termos em um filtro de firewall, a saída do comando exibe dados incorretos para o policiador.show firewall

Descrição

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que aceitam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo de policiador.) Se o TCAM ficar completo, você não poderá comprometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e confirmar 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores serão usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é cometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos adicionais:

• Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço de TCAM suficiente para o contador.

• Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os seguintes dois filtros de saída:

  • Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

  • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é cometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)