Nesta página
A configuração do filtro de firewall retorna um sem espaço disponível na mensagem TCAM
Não pode incluir ações de prioridade de perda e de policiamento no mesmo termo
A saída não pode filtrar determinado tráfego originado no switch QFX
Condição de correspondência do filtro de firewall sem funcionar com tunelamento Q-in-Q
Não é possível descartar pacotes BGP em determinadas circunstâncias
Resolução de problemas da configuração do filtro de firewall
Use as seguintes informações para solucionar problemas na configuração do seu filtro de firewall.
A configuração do filtro de firewall retorna um sem espaço disponível na mensagem TCAM
Problema
Descrição
Quando uma configuração de filtro de firewall excede a quantidade de espaço disponível de memória endereçada a conteúdo ternary (TCAM), o sistema retorna a seguinte mensagem:syslogd
No space available in tcam. Rules for filter filter-name will not be installed.
Um switch retorna essa mensagem durante a operação de confirmação se o filtro de firewall que foi aplicado a uma interface de porta, VLAN ou Camada 3 exceder a quantidade de espaço disponível na tabela TCAM. O filtro não é aplicado, mas a operação de confirmação para a configuração do filtro de firewall é concluída no módulo CLI.
Solução
Quando uma configuração de filtro de firewall excede a quantidade de espaço disponível na tabela TCAM, você deve configurar um novo filtro de firewall com menos termos de filtro para que os requisitos de espaço para o filtro não excedam o espaço disponível na tabela TCAM.
Você pode realizar qualquer um dos seguintes procedimentos para corrigir o problema:
Para excluir o filtro e sua ligação e aplicar o novo filtro de firewall menor à mesma ligação:
Exclua o filtro e sua ligação a portas, VLANs ou interfaces de Camada 3. Por exemplo:
[edit] user@switch# delete firewall family ethernet-switching filter ingress-vlan-rogue-block user@switch# delete vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# delete vlans employee-vlan filter input ingress-vlan-rogue-block
Comprometa as mudanças:
[edit] user@switch# commit
Configure um filtro menor com menos termos que não excedam a quantidade de espaço TCAM disponível. Por exemplo:
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block ...
Aplicar (vincular) o novo filtro de firewall a uma porta, VLAN ou interface de Camada 3. Por exemplo:
[edit] user@switch# set vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
Comprometa as mudanças:
[edit] user@switch# commit
Aplicar um novo filtro de firewall e substituir a ligação existente, mas não excluir o filtro original:
Configure um filtro de firewall com menos termos do que o filtro original:
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block...
Aplique o filtro de firewall nas interfaces de porta, VLAN ou Camada 3 para substituir a ligação do filtro original, por exemplo:
[edit] user@switch# set vlans employee-vlan description "smaller filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
Como você não pode aplicar mais do que um filtro de firewall por VLAN por direção, a ligação do filtro de firewall original à VLAN é redescrita com o novo filtro de firewall.
new-ingress-vlan-rogue-block
Comprometa as mudanças:
[edit] user@switch# commit
O filtro original não é excluído e ainda está disponível na configuração.
Contagens de filtros anteriormente descartadas Pacote
Problema
Descrição
Se você configurar dois ou mais filtros na mesma direção para uma interface física e um dos filtros incluir um contador, o contador estará incorreto se as seguintes circunstâncias se aplicarem:
Você configura o filtro que é aplicado a pacotes primeiro para descartar determinados pacotes. Por exemplo, imagine que você tenha um filtro VLAN que aceita pacotes enviados para endereços 10.10.1.0/24 e descarta implicitamente os pacotes enviados a quaisquer outros endereços. Você aplica o filtro na VLAN na direção de saída, e a interface xe-0/0/1 é um membro dessa VLAN.
admin
Você configura um filtro subseqüente para aceitar e contar pacotes que são descartados pelo primeiro filtro. Neste exemplo, você tem um filtro de porta que aceita e conta pacotes enviados para endereços 192.168.1.0/24 que também é aplicado ao xe-0/0/1 na direção de saída.
O filtro VLAN de saída é aplicado primeiro e descarta corretamente os pacotes enviados para endereços 192.168.1.0/24. O filtro de porta de saída é aplicado em seguida e conta os pacotes descartados como pacotes combinados. Os pacotes não são encaminhados, mas o contador exibido pelo filtro de porta de saída está incorreto.
Lembre-se que a ordem em que os filtros são aplicados depende da direção em que são aplicados, conforme indicado aqui:
Filtros de entrada:
Filtro de porta (Camada 2)
Filtro de VLAN
Filtro de roteador (Camada 3)
Filtros de saída:
Filtro de roteador (Camada 3)
Filtro de VLAN
Filtro de porta (Camada 2)
Solução
Esse é o comportamento esperado.
Pacotes correspondentes não contados
Problema
Descrição
Se você configurar dois filtros de saída com contadores para uma interface física e um pacote compatível com ambos os filtros, apenas um dos contadores inclui esse pacote.
Por exemplo:
Você configura um filtro de porta de saída com um contador para interface xe-0/0/1.
Você configura um filtro VLAN de saída com um contador para o VLAN, e a interface xe-0/0/1 é um membro dessa VLAN.
admin
Um pacote combina com ambos os filtros.
Neste caso, o pacote é contado por apenas um dos contadores, embora corresponda aos dois filtros.
Solução
Esse é o comportamento esperado.
Contra-reset ao editar filtro
Problema
Descrição
Se você editar um termo de filtro de firewall, o valor de qualquer contador associado a qualquer termo no mesmo filtro é definido para 0, incluindo o contador implícito para qualquer policiador mencionado pelo filtro. Considere os seguintes exemplos:
Suponha que seu filtro tenha , e , e cada termo tem um contador que já contou pacotes correspondentes.
term1
term2
term3
Se você editar algum dos termos de alguma forma, os contadores para todos os termos serão redefinidos para 0.Suponha que o seu filtro tenha e .
term1
term2
Suponha também que tenha um modificador de ação e o contador implícito do policial já contabilizou 1000 pacotes correspondentes.term2
policer
Se você editar ou de alguma forma, o contador para o policiador mencionado é redefinido para 0.term1
term2
term2
Solução
Esse é o comportamento esperado.
Não pode incluir ações de prioridade de perda e de policiamento no mesmo termo
Problema
Descrição
Você não pode incluir as duas ações a seguir no mesmo termo de filtro de firewall em um switch da Série QFX:
loss-priority
policer
Se você fizer isso, verá a seguinte mensagem de erro ao tentar confirmar a configuração: "não pode suportar a ação do policiador se a prioridade de perda estiver configurada."
Solução
Esse é o comportamento esperado.
A saída não pode filtrar determinado tráfego originado no switch QFX
Problema
Descrição
Em um switch da Série QFX, você não pode filtrar determinado tráfego com um filtro de firewall aplicado na direção de saída se o tráfego se originar no switch QFX. Essa limitação se aplica ao controle de tráfego para protocolos como ICMP (ping), STP, LACP e assim por diante.
Solução
Esse é o comportamento esperado.
Condição de correspondência do filtro de firewall sem funcionar com tunelamento Q-in-Q
Problema
Descrição
Se você criar um filtro de firewall que inclua uma condição de correspondência ou aplicar o filtro na entrada em uma porta de tronco que participe de um VLAN de serviço, a condição de correspondência não funcionará se o EtherType Q-in-Q não estiver 0x8100.dot1q-tag
dot1q-user-priority
(Quando o tunelamento Q-in-Q é habilitado, assume-se que as interfaces de tronco fazem parte da rede de provedores de serviços ou data center e, portanto, participam de VLANs de serviços.)
Solução
Esse é o comportamento esperado. Para definir o EtherPota Q-in-Q para 0x8100, insira a declaração no nível hierárquicos .set dot1q-tunneling ethertype 0x8100[edit ethernet-switching-options]
Você também deve configurar a outra extremidade do link para usar o mesmo Ethertype.
Filtros de firewall de saída com VLANs privadas
Problema
Descrição
Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro também se aplica às VLANs secundárias que são membros da VLAN primária quando o tráfego se egressa com a tag VLAN primária ou tag VLAN isolada, conforme listado abaixo:
Tráfego encaminhado de uma porta-tronco VLAN secundária para uma porta promíscua (tronco ou acesso)
Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN isolada para uma porta-tronco PVLAN.
Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco de VLAN secundária
Tráfego encaminhado a partir de uma porta-tronco PVLAN. a uma porta-tronco VLAN secundária
Tráfego encaminhado de uma porta da comunidade para uma porta promíscua (tronco ou acesso)
Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro não se aplica ao tráfego que se egressa com uma tag VLAN da comunidade, conforme listado abaixo:
Tráfego encaminhado de uma porta de tronco da comunidade para uma porta-tronco PVLAN
Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN comunitária para uma porta-tronco PVLAN
Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco da comunidade
Tráfego encaminhado a partir de uma porta-tronco PVLAN. a uma porta de tronco da comunidade
Se você aplicar um filtro de firewall na direção de saída a uma VLAN da comunidade, os seguintes comportamentos se aplicam:
O filtro é aplicado ao tráfego encaminhado de uma porta promíscua (tronco ou acesso) a uma porta de tronco da comunidade (porque o tráfego se egressa com a tag VLAN da comunidade).
O filtro é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta-tronco PVLAN (porque o tráfego se egressa com a tag VLAN da comunidade).
O filtro não é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta promíscua (porque o tráfego se egressa com a tag VLAN primária ou não conectado).
Solução
São comportamentos esperados. Elas ocorrem apenas se você aplicar um filtro de firewall a uma VLAN privada na direção de saída e não ocorrer se você aplicar um filtro de firewall a uma VLAN privada na direção de entrada.
Filtragem de saída de tráfego L2PT sem suporte
Problema
Descrição
A filtragem de saída do tráfego L2PT não é suportada no switch QFX3500. Ou seja, se você configurar l2PT para tunelar um protocolo em uma interface, você também não pode usar um filtro de firewall para filtrar o tráfego para esse protocolo nessa interface na direção da saída. Se você confirmar uma configuração para essa finalidade, o filtro de firewall não será aplicado ao tráfego com túnel L2PT.
Solução
Esse é o comportamento esperado.
Não é possível descartar pacotes BGP em determinadas circunstâncias
Problema
Descrição
Pacotes BGP com valor de tempo de vida (TTL) superior a 1 não podem ser descartados usando um filtro de firewall aplicado a uma interface de loopback ou aplicado na entrada de uma interface de Camada 3. Pacotes BGP com valor de TTL de 1 ou 0 podem ser descartados usando um filtro de firewall aplicado a uma interface de loopback ou aplicado na entrada em uma interface de Camada 3.
Solução
Esse é o comportamento esperado.
Estatísticas inválidas para policiador
Policiais podem limitar filtros de saída
Problema
Descrição
Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que aceitam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo de policiador.) Se o TCAM ficar completo, você não poderá comprometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e confirmar 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores serão usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é cometido porque não há espaço de memória disponível para os contadores.
Aqui estão alguns exemplos adicionais:
Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço de TCAM suficiente para o contador.
Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os seguintes dois filtros de saída:
Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.
O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é cometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)
Solução
Você pode evitar esse problema garantindo que os termos do filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que os termos que incluem policiais. Nesta circunstância, o Junos OS compromete os policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:
Você tem termos de filtro de firewall de saída 1024 com ações contrárias.
Mais tarde, em seu arquivo de configuração, você terá um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação do policial.
Você pode comprometer o filtro com sucesso com 10 termos, embora não haja espaço de TCAM suficiente para os contadores implícitos do policiador. O policial está comprometido sem os contadores.