Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtro de firewall de solução de problemas

Use as seguintes informações para solucionar problemas na configuração do seu filtro de firewall.

A configuração do filtro de firewall devolve um não espaço disponível em mensagem TCAM

Problema

Descrição

Quando uma configuração de filtro de firewall excede a quantidade de espaço disponível de Memória Endereçada de Conteúdo Ternary (TCAM), o sistema retorna a seguinte syslogd mensagem:

Um switch retorna essa mensagem durante a operação de confirmação se o filtro de firewall aplicado a uma porta, VLAN ou interface de Camada 3 exceder a quantidade de espaço disponível na tabela TCAM. O filtro não é aplicado, mas a operação de confirmação para a configuração do filtro de firewall está concluída no módulo CLI.

Solução

Quando uma configuração de filtro de firewall excede a quantidade de espaço de tabela TCAM disponível, você deve configurar um novo filtro de firewall com menos termos de filtro para que os requisitos de espaço para o filtro não excedam o espaço disponível na tabela TCAM.

Você pode realizar qualquer um dos seguintes procedimentos para corrigir o problema:

Para excluir o filtro e sua vinculação e aplicar o novo filtro de firewall menor à mesma ligação:

  1. Exclua o filtro e sua vinculação a portas, VLANs ou interfaces de Camada 3. Por exemplo:

  2. Comprometa as mudanças:

  3. Configure um filtro menor com menos termos que não excedam a quantidade de espaço TCAM disponível. Por exemplo:

  4. Aplicar (vincular) o novo filtro de firewall a uma porta, VLAN ou interface de Camada 3. Por exemplo:

  5. Comprometa as mudanças:

Para aplicar um novo filtro de firewall e substituir a vinculação existente, mas não excluir o filtro original:

  1. Configure um filtro de firewall com menos termos do que o filtro original:

  2. Aplique o filtro de firewall nas interfaces de porta, VLAN ou Camada 3 para substituir a vinculação do filtro original , por exemplo:

    Como você não pode aplicar mais do que um filtro de firewall por VLAN por direção, a vinculação do filtro de firewall original ao VLAN é sobreescrita com o novo filtro new-ingress-vlan-rogue-blockde firewall.

  3. Comprometa as mudanças:

Nota:

O filtro original não é excluído e ainda está disponível na configuração.

Contagem de filtros anteriormente caiu pacote

Problema

Descrição

Se você configurar dois ou mais filtros na mesma direção para uma interface física e um dos filtros incluir um contador, o contador estará incorreto se as seguintes circunstâncias se aplicarem:

  • Você configura o filtro aplicado a pacotes primeiro para descartar determinados pacotes. Por exemplo, imagine que você tem um filtro VLAN que aceita pacotes enviados para endereços 10.10.1.0/24 e descarta implicitamente pacotes enviados para quaisquer outros endereços. Você aplica o filtro ao admin VLAN na direção de saída, e a interface xe-0/0/1 é um membro desse VLAN.

  • Você configura um filtro subsequente para aceitar e contar pacotes que são descartados pelo primeiro filtro. Neste exemplo, você tem um filtro de porta que aceita e conta pacotes enviados para endereços 192.168.1.0/24 que também são aplicados ao xe-0/0/1 na direção de saída.

O filtro VLAN de saída é aplicado primeiro e descarta corretamente os pacotes enviados para endereços 192.168.1.0/24. O filtro de porta de saída é aplicado em seguida e conta os pacotes descartados como pacotes combinados. Os pacotes não são encaminhados, mas o contador exibido pelo filtro de porta de saída está incorreto.

Lembre-se que a ordem em que os filtros são aplicados depende da direção em que são aplicadas, conforme indicado aqui:

Filtros de ingresso:

  1. Filtro de porta (Camada 2)

  2. Filtro de VLAN

  3. Filtro de roteador (Camada 3)

Filtros de saída:

  1. Filtro de roteador (Camada 3)

  2. Filtro de VLAN

  3. Filtro de porta (Camada 2)

Solução

Esse é o comportamento esperado.

Pacotes correspondentes não contados

Problema

Descrição

Se você configurar dois filtros de saída com contadores para uma interface física e um pacote corresponde a ambos os filtros, apenas um dos contadores inclui esse pacote.

Por exemplo:

  • Você configura um filtro de porta de saída com um contador para interface xe-0/0/1.

  • Você configura um filtro VLAN de saída com um contador para o VLAN, e a admininterface xe-0/0/1 é um membro desse VLAN.

  • Um pacote combina com os dois filtros.

Nesse caso, o pacote é contado por apenas um dos contadores, embora corresponda aos dois filtros.

Solução

Esse é o comportamento esperado.

Contra-redefinir ao editar filtro

Problema

Descrição

Se você editar um termo de filtro de firewall, o valor de qualquer contador associado a qualquer termo no mesmo filtro é definido para 0, incluindo o contador implícito para qualquer policiador mencionado pelo filtro. Considere os seguintes exemplos:

  • Suponha que seu filtro tenha term1, term2e term3, e cada termo tem um contador que já contou pacotes correspondentes. Se você editar algum dos termos de alguma forma, os contadores para todos os termos são redefinidos para 0.

  • Suponha que seu filtro tenha term1 e term2. Suponha também que term2 tenha um policer modificador de ação e o contador implícito do policial já contabilizou 1000 pacotes correspondentes. Se você editar term1 ou term2 de alguma forma, o contador para o policial mencionado é term2 redefinido para 0.

Solução

Esse é o comportamento esperado.

Não pode incluir ações de prioridade de perda e policial em mesmo período

Problema

Descrição

Você não pode incluir as duas ações a seguir no mesmo termo de filtro de firewall em um switch da Série QFX:

  • loss-priority

  • policer

Se você fizer isso, verá a seguinte mensagem de erro ao tentar cometer a configuração: "não pode apoiar a ação do policial se a prioridade de perda estiver configurada."

Solução

Esse é o comportamento esperado.

Não é possível filtrar determinado tráfego originado no switch QFX

Problema

Descrição

Em um switch da Série QFX, você não pode filtrar determinado tráfego com um filtro de firewall aplicado na direção de saída se o tráfego se originar no switch QFX. Essa limitação se aplica ao controle de tráfego para protocolos como ICMP (ping), STP, LACP e assim por diante.

Solução

Esse é o comportamento esperado.

Condições de correspondência do filtro de firewall não funcionando com tunelamento Q-in-Q

Problema

Descrição

Se você criar um filtro de firewall que inclua uma condição de dot1q-tag correspondência ou dot1q-user-priority aplicar o filtro na entrada a uma porta de tronco que participe de um VLAN de serviço, a condição de correspondência não funcionará se o EtherType Q-in-Q não estiver 0x8100. (Quando o tunelamento Q-in-Q é habilitado, as interfaces de tronco são assumidas como parte do provedor de serviços ou da rede de data center e, portanto, participam de VLANs de serviços.)

Solução

Esse é o comportamento esperado. Para definir o EtherType Q-in-Q para 0x8100, entre set dot1q-tunneling ethertype 0x8100 na declaração no nível hierárquica [edit ethernet-switching-options] . Você também deve configurar a outra extremidade do link para usar o mesmo Ethertype.

Filtros de firewall de saída com VLANs privadas

Problema

Descrição

Se você aplicar um filtro de firewall na direção de saída a um VLAN primário, o filtro também se aplica às VLANs secundárias que são membros do VLAN primário quando o tráfego se esvai com a tag VLAN primária ou a tag VLAN isolada, conforme listado abaixo:

  • Tráfego encaminhado de uma porta-tronco VLAN secundária para uma porta promíscua (tronco ou acesso)

  • Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta um VLAN isolado para uma porta-tronco PVLAN.

  • Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta-tronco VLAN secundária

  • Tráfego encaminhado de uma porta-tronco PVLAN. para uma porta-tronco VLAN secundária

  • Tráfego encaminhado de uma porta comunitária para uma porta promíscua (tronco ou acesso)

Se você aplicar um filtro de firewall na direção de saída a um VLAN primário, o filtro não se aplica ao tráfego que se egressa com uma tag VLAN da comunidade, conforme listado abaixo:

  • Tráfego encaminhado de uma porta tronco da comunidade para uma porta-tronco PVLAN

  • Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN comunitária para uma porta-tronco PVLAN

  • Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta-tronco da comunidade

  • Tráfego encaminhado de uma porta-tronco PVLAN. para uma porta-tronco da comunidade

Se você aplicar um filtro de firewall na direção de saída a um VLAN da comunidade, os seguintes comportamentos se aplicam:

  • O filtro é aplicado ao tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta tronco da comunidade (porque o tráfego se aproxima com a tag VLAN da comunidade).

  • O filtro é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta-tronco PVLAN (porque o tráfego se egressa com a tag VLAN da comunidade).

  • O filtro não é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta promíscua (porque o tráfego se aproxima com a tag VLAN primária ou não registrado).

Solução

São comportamentos esperados. Elas só ocorrem se você aplicar um filtro de firewall a um VLAN privado na direção de saída e não ocorrer se você aplicar um filtro de firewall a um VLAN privado na direção de entrada.

Filtragem de saída de tráfego L2PT sem suporte

Problema

Descrição

A filtragem de saída do tráfego L2PT não é compatível com o switch QFX3500. Ou seja, se você configurar l2PT para tunelar um protocolo em uma interface, você também não pode usar um filtro de firewall para filtrar o tráfego para esse protocolo nessa interface na direção de saída. Se você cometer uma configuração para essa finalidade, o filtro de firewall não será aplicado ao tráfego com túnel L2PT.

Solução

Esse é o comportamento esperado.

Não é possível descartar pacotes BGP em determinadas circunstâncias

Problema

Descrição

Pacotes BGP com um valor de tempo de vida (TTL) superior a 1 não podem ser descartados usando um filtro de firewall aplicado a uma interface de loopback ou aplicado na entrada de uma interface de Camada 3. Pacotes BGP com valor de TTL de 1 ou 0 podem ser descartados usando um filtro de firewall aplicado a uma interface de loopback ou aplicado na entrada de uma interface de Camada 3.

Solução

Esse é o comportamento esperado.

Estatísticas inválidas para policiador

Problema

Descrição

Se você aplicar um policiador de duas cores de taxa única em mais de 128 termos em um filtro de firewall, a saída do show firewall comando exibe dados incorretos para o policiador.

Solução

Esse é o comportamento esperado.

Os policiais podem limitar filtros de saída

Problema

Descrição

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que pegam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo policial.) Se o TCAM ficar completo, você não poderá cometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e cometer 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores são usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é comprometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos adicionais:

  • Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço TCAM suficiente para o contador.

  • Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, no seu arquivo de configuração, você inclui os dois seguintes filtros de saída:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

    • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é comprometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)

Solução

Você pode evitar esse problema, garantindo que termos de filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que termos que incluam policiais. Nesta circunstância, o Junos OS confirma policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem 1024 termos de filtro de firewall de saída com contra-ações.

  • Mais tarde, no seu arquivo de configuração, você tem um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação do policial.

Você pode cometer com sucesso o filtro com 10 termos, embora não haja espaço TCAM suficiente para os contadores implícitos do policiador. O policial está comprometido sem os contadores.