ポリサー設定のトラブルシューティング

説明

特定の状況下では、Junos OSが、イングレスポリサーによってドロップされたパケットの数を誤解を招くように表示することがあります。

イングレス アドミッション コントロールが原因でパケットがドロップされた場合、ポリサーの統計情報には、イングレス パケット数とエグレス パケット数の差を計算して期待するパケット ドロップ数が示されないことがあります。これは、イングレスポリサーを複数のインターフェイスに適用し、それらのインターフェイスの集約イングレスレートが共通のエグレスインターフェイスのラインレートを超えた場合に発生する可能性があります。この場合、パケットがイングレス バッファーからドロップされる可能性があります。これらのドロップは、ポリサーによってドロップされたパケットの数に含まれないため、ポリサーの統計情報はドロップの総数を過小報告します。

説明

ファイアウォール フィルターの用語を編集する場合、同じフィルター内の任意の用語に関連付けられているカウンターの値は、フィルターが参照するポリサーの暗黙的なカウンターを含め、0 に設定されます。次の例を考えてみましょう。

• フィルターに term1、 term2、および term3があり、各用語には、一致するパケットを既にカウントしたカウンターがあるとします。いずれかの項を何らかの方法で編集すると、すべての項のカウンタが 0 にリセットされます。

• フィルターに term1 と term2があるとします。また、 term2 に policer アクション修飾子があり、ポリサーの暗黙のカウンターがすでに 1000 個の一致するパケットをカウントしているとします。term1またはterm2何らかの方法で編集すると、term2 が参照するポリサーのカウンターは 0 にリセットされます。

説明

ファイアウォール フィルターで 128 語を超えるシングル レート 2 カラー ポリサーを適用すると、 show firewall コマンドの出力にポリサーの誤ったデータが表示されます。

説明

一部のスイッチでは、設定したエグレスポリサーの数が、許可されるエグレスファイアウォールフィルターの総数に影響を与えることがあります。すべてのポリサーには、1024エントリのTCAMで2つのエントリを占める2つの暗黙的なカウンターがあります。これらは、ファイアウォール フィルターの用語でアクション修飾子として構成されているカウンターなど、カウンターに使用されます。(ポリサーのタイプに関係なく、1つはグリーンパケットに使用され、もう1つは非グリーンパケットに使用されるため、ポリサーは2つのエントリを消費します)。TCAMがいっぱいになると、カウンターを含む条件を持つエグレスファイアウォールフィルターをこれ以上コミットできなくなります。例えば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンターのすべてのメモリ エントリーが使い果たされます。構成ファイルの後半で、カウンターを含む条件を持つ追加のエグレス ファイアウォール フィルターを挿入した場合、カウンターに使用できるメモリ領域がないため、これらのフィルターのどの条件 も コミットされません。

その他の例を次に示します。

• 合計512のポリサーを含み、カウンターを含まないエグレスフィルターを設定するとします。構成ファイルの後半に、10 個の条件を持つ別のエグレス フィルターを含め、そのうちの 1 つにカウンター アクション修飾子を設定します。カウンターに十分な TCAM スペースがないため、このフィルターのどの条件もコミットされません。

• 合計500のポリサーを含むエグレスフィルターを設定すると、1000のTCAMエントリーが占有されるとします。構成ファイルの後半で、次の 2 つのエグレス フィルターを含めます。

  • 20 個の項と 20 個のカウンターでフィルター A。すべてのカウンターに十分なTCAMスペースがあるため、このフィルターのすべての条件がコミットされます。

  • フィルター B はフィルター A の後にあり、5 つの項と 5 つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルターのどの条件もコミットされません。(5 つの TCAM エントリが必要ですが、使用可能は 4 つだけです)。