Закончились eRACL фильтры на QFX5110?

Question

[Сергей]

Доброго времени суток. Столкнулся с проблемой заполнения кол-ва строк в Egress filter groups на Juniper QFX5110 .
QFX5110> show pfe filter hw summary

Slot 0

Unit:0:
Group Group-ID Allocated Used Free
---------------------------------------------------------------------------
> Ingress filter groups:
iRACL group 33 2048 31 2017
> Egress filter groups:
eRACL group 54 256 255 1

Конфиг портов выглядит так:
set firewall family inet filter F_V1054_in term 1 then policer 10M-pipe
set firewall family inet filter F_V1054_in term 1 then count F_C_V1054_in
set firewall family inet filter F_V1054_out term 1 then policer 10M-pipe
set firewall family inet filter F_V1054_out term 1 then count F_C_V1054_out

Перешерстил все разделы Джуна, связанные с межсетевыми экранами и политиками фаервол фильтров, но пока ничего, что решает мою проблему не нашёл.
Может быть кто-то сталкивался с подобным? Какие методы могут решить проблему ?

*Пробовал сделать один фильтр, например, 10M и применять его на несколько сабов, но в таком случае он смотрит на суммарный трафик с каждого и режет его в 10Мбит , т.е. если на ae1.1054-64 нужен каждому 1 Мбит, выставить, пусть даже с запасом 20M полисер на все эти юниты, то если кто-то из них начнёт "жрать" больше, начнут страдать остальные. Балансировку пока не нашёл, как можно выполнить, да и не уверен, есть ли она вообще.
color-aware под такую задачу не подходит, как я прочёл, и надеюсь, понял..

Заранее спасибо, за любые подсказки и рассуждения.

Comments

[Strabbo]

Какая версия софта у вас?

[Сергей]

Strabbo,
Model: qfx5110-48s-4c
Junos: 20.4R3-S3.4

[Strabbo]

вообще странно, у нас есть
Model: qfx5110-48s-4c
Junos: 18.4R2-S3
И там Allocated на Egress 2048, а у вас всего 256.
Тут уже были? Говорят что Counter занимет +1 место в TCAM, попробуйте убрать.

Starting in Junos OS Release 19.1R1, you can increase the number of egress VLAN firewall filters on the QFX5110 from 1024 to 2048 by using the egress-to-ingress option. You include this option under the from statement at the [edit firewall] hierarchy.

Вот это тоже попробуйте

[Сергей]

Strabbo,

Тут уже были? Говорят что Counter занимет +1 место в TCAM, попробуйте убрать.

- не помогло, к сожалению. Вчера пробовали.

eti опция в данном случае не подходит, т.к.

If a packet matches multiple filters with different qualifiers and you apply on different egress interfaces, this can lead to unpredictable behavior.

Мне стало очень интересно, что на прошивке 18.4R2-S3 , у вас их 2048 ....
Надо подумать, как протестировать, т.к. этот джун у нас с работающими сервисами.

[Сергей]

Strabbo
На 18.4 прошивке, есть проблема с прохождением мультикаста, так что её нет возможности использовать.

Проблема с TCAM остаётся..