Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Resolução de problemas da configuração do filtro de firewall

Use as seguintes informações para solucionar problemas na configuração do seu filtro de firewall.

A configuração do filtro de firewall retorna um sem espaço disponível na mensagem TCAM

Problema

Descrição

Quando uma configuração de filtro de firewall excede a quantidade de espaço disponível de memória endereçada a conteúdo ternary (TCAM), o sistema retorna a seguinte mensagem:syslogd

Um switch retorna essa mensagem durante a operação de confirmação se o filtro de firewall que foi aplicado a uma interface de porta, VLAN ou Camada 3 exceder a quantidade de espaço disponível na tabela TCAM. O filtro não é aplicado, mas a operação de confirmação para a configuração do filtro de firewall é concluída no módulo CLI.

Solução

Quando uma configuração de filtro de firewall excede a quantidade de espaço disponível na tabela TCAM, você deve configurar um novo filtro de firewall com menos termos de filtro para que os requisitos de espaço para o filtro não excedam o espaço disponível na tabela TCAM.

Você pode realizar qualquer um dos seguintes procedimentos para corrigir o problema:

Para excluir o filtro e sua ligação e aplicar o novo filtro de firewall menor à mesma ligação:

  1. Exclua o filtro e sua ligação a portas, VLANs ou interfaces de Camada 3. Por exemplo:

  2. Comprometa as mudanças:

  3. Configure um filtro menor com menos termos que não excedam a quantidade de espaço TCAM disponível. Por exemplo:

  4. Aplicar (vincular) o novo filtro de firewall a uma porta, VLAN ou interface de Camada 3. Por exemplo:

  5. Comprometa as mudanças:

Aplicar um novo filtro de firewall e substituir a ligação existente, mas não excluir o filtro original:

  1. Configure um filtro de firewall com menos termos do que o filtro original:

  2. Aplique o filtro de firewall nas interfaces de porta, VLAN ou Camada 3 para substituir a ligação do filtro original, por exemplo:

    Como você não pode aplicar mais do que um filtro de firewall por VLAN por direção, a ligação do filtro de firewall original à VLAN é redescrita com o novo filtro de firewall.new-ingress-vlan-rogue-block

  3. Comprometa as mudanças:

Nota:

O filtro original não é excluído e ainda está disponível na configuração.

Contagens de filtros anteriormente descartadas Pacote

Problema

Descrição

Se você configurar dois ou mais filtros na mesma direção para uma interface física e um dos filtros incluir um contador, o contador estará incorreto se as seguintes circunstâncias se aplicarem:

  • Você configura o filtro que é aplicado a pacotes primeiro para descartar determinados pacotes. Por exemplo, imagine que você tenha um filtro VLAN que aceita pacotes enviados para endereços 10.10.1.0/24 e descarta implicitamente os pacotes enviados a quaisquer outros endereços. Você aplica o filtro na VLAN na direção de saída, e a interface xe-0/0/1 é um membro dessa VLAN.admin

  • Você configura um filtro subseqüente para aceitar e contar pacotes que são descartados pelo primeiro filtro. Neste exemplo, você tem um filtro de porta que aceita e conta pacotes enviados para endereços 192.168.1.0/24 que também é aplicado ao xe-0/0/1 na direção de saída.

O filtro VLAN de saída é aplicado primeiro e descarta corretamente os pacotes enviados para endereços 192.168.1.0/24. O filtro de porta de saída é aplicado em seguida e conta os pacotes descartados como pacotes combinados. Os pacotes não são encaminhados, mas o contador exibido pelo filtro de porta de saída está incorreto.

Lembre-se que a ordem em que os filtros são aplicados depende da direção em que são aplicados, conforme indicado aqui:

Filtros de entrada:

  1. Filtro de porta (Camada 2)

  2. Filtro de VLAN

  3. Filtro de roteador (Camada 3)

Filtros de saída:

  1. Filtro de roteador (Camada 3)

  2. Filtro de VLAN

  3. Filtro de porta (Camada 2)

Solução

Esse é o comportamento esperado.

Pacotes correspondentes não contados

Problema

Descrição

Se você configurar dois filtros de saída com contadores para uma interface física e um pacote compatível com ambos os filtros, apenas um dos contadores inclui esse pacote.

Por exemplo:

  • Você configura um filtro de porta de saída com um contador para interface xe-0/0/1.

  • Você configura um filtro VLAN de saída com um contador para o VLAN, e a interface xe-0/0/1 é um membro dessa VLAN.admin

  • Um pacote combina com ambos os filtros.

Neste caso, o pacote é contado por apenas um dos contadores, embora corresponda aos dois filtros.

Solução

Esse é o comportamento esperado.

Contra-reset ao editar filtro

Problema

Descrição

Se você editar um termo de filtro de firewall, o valor de qualquer contador associado a qualquer termo no mesmo filtro é definido para 0, incluindo o contador implícito para qualquer policiador mencionado pelo filtro. Considere os seguintes exemplos:

  • Suponha que seu filtro tenha , e , e cada termo tem um contador que já contou pacotes correspondentes.term1term2term3 Se você editar algum dos termos de alguma forma, os contadores para todos os termos serão redefinidos para 0.

  • Suponha que o seu filtro tenha e .term1term2 Suponha também que tenha um modificador de ação e o contador implícito do policial já contabilizou 1000 pacotes correspondentes.term2policer Se você editar ou de alguma forma, o contador para o policiador mencionado é redefinido para 0.term1term2term2

Solução

Esse é o comportamento esperado.

Não pode incluir ações de prioridade de perda e de policiamento no mesmo termo

Problema

Descrição

Você não pode incluir as duas ações a seguir no mesmo termo de filtro de firewall em um switch da Série QFX:

  • loss-priority

  • policer

Se você fizer isso, verá a seguinte mensagem de erro ao tentar confirmar a configuração: "não pode suportar a ação do policiador se a prioridade de perda estiver configurada."

Solução

Esse é o comportamento esperado.

A saída não pode filtrar determinado tráfego originado no switch QFX

Problema

Descrição

Em um switch da Série QFX, você não pode filtrar determinado tráfego com um filtro de firewall aplicado na direção de saída se o tráfego se originar no switch QFX. Essa limitação se aplica ao controle de tráfego para protocolos como ICMP (ping), STP, LACP e assim por diante.

Solução

Esse é o comportamento esperado.

Condição de correspondência do filtro de firewall sem funcionar com tunelamento Q-in-Q

Problema

Descrição

Se você criar um filtro de firewall que inclua uma condição de correspondência ou aplicar o filtro na entrada em uma porta de tronco que participe de um VLAN de serviço, a condição de correspondência não funcionará se o EtherType Q-in-Q não estiver 0x8100.dot1q-tagdot1q-user-priority (Quando o tunelamento Q-in-Q é habilitado, assume-se que as interfaces de tronco fazem parte da rede de provedores de serviços ou data center e, portanto, participam de VLANs de serviços.)

Solução

Esse é o comportamento esperado. Para definir o EtherPota Q-in-Q para 0x8100, insira a declaração no nível hierárquicos .set dot1q-tunneling ethertype 0x8100[edit ethernet-switching-options] Você também deve configurar a outra extremidade do link para usar o mesmo Ethertype.

Filtros de firewall de saída com VLANs privadas

Problema

Descrição

Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro também se aplica às VLANs secundárias que são membros da VLAN primária quando o tráfego se egressa com a tag VLAN primária ou tag VLAN isolada, conforme listado abaixo:

  • Tráfego encaminhado de uma porta-tronco VLAN secundária para uma porta promíscua (tronco ou acesso)

  • Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN isolada para uma porta-tronco PVLAN.

  • Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco de VLAN secundária

  • Tráfego encaminhado a partir de uma porta-tronco PVLAN. a uma porta-tronco VLAN secundária

  • Tráfego encaminhado de uma porta da comunidade para uma porta promíscua (tronco ou acesso)

Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro não se aplica ao tráfego que se egressa com uma tag VLAN da comunidade, conforme listado abaixo:

  • Tráfego encaminhado de uma porta de tronco da comunidade para uma porta-tronco PVLAN

  • Tráfego encaminhado de uma porta-tronco VLAN secundária que transporta uma VLAN comunitária para uma porta-tronco PVLAN

  • Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco da comunidade

  • Tráfego encaminhado a partir de uma porta-tronco PVLAN. a uma porta de tronco da comunidade

Se você aplicar um filtro de firewall na direção de saída a uma VLAN da comunidade, os seguintes comportamentos se aplicam:

  • O filtro é aplicado ao tráfego encaminhado de uma porta promíscua (tronco ou acesso) a uma porta de tronco da comunidade (porque o tráfego se egressa com a tag VLAN da comunidade).

  • O filtro é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta-tronco PVLAN (porque o tráfego se egressa com a tag VLAN da comunidade).

  • O filtro não é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta promíscua (porque o tráfego se egressa com a tag VLAN primária ou não conectado).

Solução

São comportamentos esperados. Elas ocorrem apenas se você aplicar um filtro de firewall a uma VLAN privada na direção de saída e não ocorrer se você aplicar um filtro de firewall a uma VLAN privada na direção de entrada.

Filtragem de saída de tráfego L2PT sem suporte

Problema

Descrição

A filtragem de saída do tráfego L2PT não é suportada no switch QFX3500. Ou seja, se você configurar l2PT para tunelar um protocolo em uma interface, você também não pode usar um filtro de firewall para filtrar o tráfego para esse protocolo nessa interface na direção da saída. Se você confirmar uma configuração para essa finalidade, o filtro de firewall não será aplicado ao tráfego com túnel L2PT.

Solução

Esse é o comportamento esperado.

Não é possível descartar pacotes BGP em determinadas circunstâncias

Problema

Descrição

Pacotes BGP com valor de tempo de vida (TTL) superior a 1 não podem ser descartados usando um filtro de firewall aplicado a uma interface de loopback ou aplicado na entrada de uma interface de Camada 3. Pacotes BGP com valor de TTL de 1 ou 0 podem ser descartados usando um filtro de firewall aplicado a uma interface de loopback ou aplicado na entrada em uma interface de Camada 3.

Solução

Esse é o comportamento esperado.

Estatísticas inválidas para policiador

Problema

Descrição

Se você aplicar um policiador de duas cores de taxa única em mais de 128 termos em um filtro de firewall, a saída do comando exibe dados incorretos para o policiador.show firewall

Solução

Esse é o comportamento esperado.

Policiais podem limitar filtros de saída

Problema

Descrição

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que aceitam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo de policiador.) Se o TCAM ficar completo, você não poderá comprometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e confirmar 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores serão usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é cometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos adicionais:

  • Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço de TCAM suficiente para o contador.

  • Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os seguintes dois filtros de saída:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

    • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é cometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)

Solução

Você pode evitar esse problema garantindo que os termos do filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que os termos que incluem policiais. Nesta circunstância, o Junos OS compromete os policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem termos de filtro de firewall de saída 1024 com ações contrárias.

  • Mais tarde, em seu arquivo de configuração, você terá um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação do policial.

Você pode comprometer o filtro com sucesso com 10 termos, embora não haja espaço de TCAM suficiente para os contadores implícitos do policiador. O policial está comprometido sem os contadores.

Tópicos relacionados