Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Planejamento do número de filtros de firewall para criar

Número máximo de filtros de firewall suportados

Tabela 1 mostra o número máximo de filtros de firewall compatíveis com cada switch. O número total de filtros é aplicado de forma agregada. Por exemplo, nos switches QFX5200 e QFX5210, você pode aplicar um total de 768 termos na direção de entrada e 1024 termos na direção de saída. O número real de filtros compatíveis com um switch depende de como os filtros são armazenados em uma memória de endereço de conteúdo ternário (TCAM).

Para switches QFX5120-48Y e EX4650 executados no Junos OS Release 20.3R1 ou mais tarde, você pode permitir que o comando aumente o limite do sistema padrão para termos de filtro de loopback para [set chassis loopback-firewall-optimization 768 para IPv6 e 1152 termos para IPv4.

Para ver quantos filtros já estão programados no switch, insira o show pfe filter hw summary comando. Nos QFX5220, use o modo shell para ver a quantidade de filtros. Para entrar no modo de shell, insira o start shell comando e digite no cli-pfe pronto-acesso ao modo CLI PFE.

Tabela 1: Número máximo de filtros de firewall suportados
Tipo de filtro QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

Entrada

768

1536

1536

6144

768

8192

Saída

1024

1024

2048

1024 ou 2048

1024

512 (QFX5220)

8192

Como aumentar o número de filtros de firewall

Você pode aumentar o número de filtros de firewall em seu dispositivo de várias maneiras:

  • (QFX5220) Para criar mais de 512 filtros VLAN de saída, especifique a primeira ID VLAN como 6, a segunda ID VLAN como 7, a terceira ID VLAN como 5 e assim por diante. Para cada VLAN configurada, o número aumenta em 1 e continua por meio da ID VLAN 1029. Se você quiser criar menos de 512 filtros VLAN de saída, mas quiser que o número total de termos nesses filtros seja superior a 512, certifique-se de que você numera suas IDs VLAN da mesma maneira. Caso contrário, o número total de termos ou filtros permitidos será inferior a 1024 e permanecerá em 512.

  • A partir da versão 19.1R1 Junos OS, você pode aumentar o número de filtros de firewall VLAN de saída no QFX5110 de 1024 a 2048 usando a egress-to-ingress opção. Você inclui essa opção na from instrução na [edit firewall] hierarquia.

    A partir do Junos OS Evolved Release 19.4R2, você pode configurar filtros de firewall de saída de até 2000 no QFX5220 incluindo a opção na instrução em nível egress-scaleeracl-profile de [edit system packet-forwarding-option firewall] hierarquia. Esse recurso é suportado apenas na direção de saída (tráfego roteado que sai do dispositivo).

    Considere o seguinte ao configurar esse recurso:

    • Você não pode aplicar filtros com as mesmas condições de combinação a diferentes interfaces VLANs de saída ou Camada 3.

    • Você não pode aplicar o escalonamento de saída em interfaces GRE.

    • Se um pacote combina vários filtros com diferentes qualificadores e você aplicar em diferentes interfaces de saída, isso pode levar a comportamentos imprevisíveis.

    • Você só pode configurar a egress-scale opção no modo global. A nova configuração cli será fornecida em modo global. Uma vez que um usuário configure o grupo ERACL no modo de saída (saída para a entrada), ele não poderá configurar a ERACL da maneira mais antiga, ou seja, sem usar o espaço de tcam IFP. Em outras palavras, a ERACL no modo misto não será suportada.

TCAM

A memória de endereço de conteúdo ternary (TCAM) para filtros de firewall é dividido em fatias que acomodam 256 termos. Ao configurar um filtro de firewall, todos os termos de uma fatia de memória devem estar em filtros do mesmo tipo e aplicados na mesma direção. Uma fatia de memória é reserva assim que você compromete um filtro. Por exemplo, se você criar um filtro de porta e aplicá-lo na direção da entrada, uma fatia de memória fica reserva que só armazenará filtros de porta de entrada. Se você criar e aplicar apenas um filtro de porta de entrada e esse filtro tiver apenas um termo, o resto desta fatia não será usado e estará indisponível para outros tipos de filtro.

Nota:

Em um ambiente de EVPN, QFX5200 série de switches tem suporte para até 512 entradas de TCAM.

Por exemplo, vamos dizer que você cria e aplica 256 filtros de porta de entrada com um termo cada para que uma fatia de memória seja preenchida. Isso deixa mais duas fatias de memória disponíveis para filtros de ingresso. (Nesse caso, o número máximo de termos de ingresso é de 768.) Se você criar e aplicar um filtro de Camada 3 de entrada com um termo, outra fatia de memória será reserva para filtros de Camada 3 de entrada. Como antes, o resto da fatia não foi usado e está indisponível para diferentes tipos de filtro. Agora, há uma fatia de memória disponível para qualquer tipo de filtro de entrada.

Agora assuma que você criou e aplicou um filtro de ingresso em VLAN. A fatia de memória final é reserva para filtros de ingresso em VLAN. A alocação de memória para filtros de ingresso (mais uma vez, assumindo um termo por filtro) é:

  • Fatia 1: Repleto de 256 filtros de porta de entrada. Você não pode cometer mais filtros de porta de entrada.

  • Fatia 2: Contém um filtro de Camada 3 de entrada com um termo. Você pode comprometer mais 255 termos em filtros de Camada 3 de entrada.

  • Fatia 3: Contém um filtro VLAN de entrada com um termo. Você pode comprometer mais 255 termos em filtros VLAN de entrada.

Aqui está outro exemplo. Assuma que você crie 257 filtros de porta de entrada com um termo por filtro, ou seja, você cria um termo a mais do que uma única fatia de memória pode acomodar. Quando você aplica os filtros e compromete a configuração, a alocação da memória do filtro é:

  • Fatia 1: Repleto de 256 filtros de porta de entrada. Você não pode aplicar mais filtros de porta de entrada.

  • Fatia 2: Contém um filtro de porta de entrada. Você pode aplicar mais 255 termos em filtros de porta de entrada.

  • Fatia 3: Esta fatia não foi atribuída. Você pode criar e aplicar 256 termos em filtros de entrada de qualquer tipo (porta, Camada 3 ou VLAN), mas todos os filtros devem ser do mesmo tipo.

Nota:

Todos os exemplos acima também se aplicam a filtros de saída. A diferença é que quatro fatias de memória são usadas porque os filtros IPv4 e IPv6 Camada 3 são armazenados em fatias diferentes. As fatias de memória para filtros de saída são do mesmo tamanho das de filtros de entrada, portanto, o número máximo de filtros será o mesmo (1024).

Evite configurar filtros demais

Se você viola qualquer uma dessas restrições e compromete uma configuração que não está em conformidade, o Junos OS recusa os filtros excessivos. Por exemplo, se você configurar 300 filtros de porta de entrada e 300 filtros de Camada 3 de entrada e tentar comprometer a configuração, o Junos OS faz o seguinte (novamente, assumindo um termo por filtro):

  • Aceita os filtros de porta de 300 entrada (armazenamento em duas fatias de memória).

  • Aceita os primeiros filtros de Camada 3 de 256 de entrada que processa (armazenamento-os na terceira fatia de memória).

  • Recusa os 44 filtros de Camada 3 restantes.

Nota:

Certifique-se de excluir os filtros excessivos (por exemplo, os restantes 44 filtros de Camada 3 de entrada) da configuração antes de reinicializar o dispositivo. Se você reinicializar um dispositivo que tenha uma configuração não compatível, fica difícil prever quais filtros foram instalados após a reinicialização. Usando o exemplo acima, os 44 filtros de Camada 3 de entrada originalmente recusados podem ser instalados, e 44 dos filtros de porta originalmente aceitos podem ser recusados.

Configuração de mensagens de erro do TCAM

Se você não tiver espaço para TCAM e não conseguir instalar um filtro de firewall, você pode configurar seu switch para enviar mensagens de erro das seguintes maneiras:

  • Insira set system syslog file filename pfe emergency para enviar mensagens de erro para um arquivo syslog.

  • Entre set system syslog console pfe emergency para enviar mensagens de erro ao console.

  • Insira set system syslog user user-login pfe emergency para enviar mensagens de erro para uma sessão de terminal SSH.

Como os policiais podem limitar filtros de saída

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que adem duas entradas em uma TCAM de 1024 entradas. Eles são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo de policial).) Se a TCAM ficar completa, você não poderá cometer mais filtros de firewall de saída que tenham termos com os contadores. Por exemplo, se você configurar e cometer 512 polícias de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiais), todas as entradas de memória para contadores serão usadas. Se, mais tarde, em seu arquivo de configuração, você inserir filtros de firewall de saída adicionais com termos que também incluem contadores, nenhum dos termos desses filtros está comprometido porque não há espaço de memória disponível para os contadores.

Veja mais alguns exemplos:

  • Assuma que você configure filtros de saída que incluem um total de 512 policiais e nenhum contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, sendo que 1 deles tem um modificador de contra-ação. Nenhum dos termos deste filtro está comprometido porque não há espaço TCAM suficiente para o contador.

  • Assuma que você configure filtros de saída que incluam um total de 500 policiais, para que 1.000 entradas de TCAM sejam ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os dois filtros de saída a seguir:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos deste filtro estão comprometidos porque há espaço de TCAM suficiente para todos os contadores.

    • O filtro B vem depois do filtro A e tem cinco termos e cinco contadores. Nenhum dos termos deste filtro está comprometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas de TCAM são necessárias, mas apenas quatro estão disponíveis.)

Você pode impedir que esse problema ocorra, garantindo que termos de filtro de firewall de saída com ações de conta sejam colocados antes em seu arquivo de configuração do que termos que incluem policiais. Nesta circunstância, o Junos OS compromete os agentes de polícia, mesmo se não houver espaço de TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem 1.024 termos de filtro de firewall de saída com contra-ações.

  • Mais tarde, em seu arquivo de configuração, você tem um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um deles tem um modificador de ação da polícia.

Você pode comprometer o filtro com sucesso com 10 termos, embora não haja espaço de TCAM suficiente para os contadores implícitos do policial. O policial está comprometido sem os contadores.

Planejamento de agentes de polícia específicos de filtro

Você pode configurar os agentes de polícia para serem específicos do filtro. Isso significa que o Junos OS cria apenas uma instância de polícia, não importa quantas vezes o policial seja referenciado. Ao fazer isso, o limite de taxa é aplicado de forma agregada, portanto, se você configurar um policial para descartar tráfego que exceder 1 Gbps e referenciar esse policial em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policial específico de filtro é afetado pela forma como os termos do filtro de firewall que referenciam o policial são armazenados em memória de endereço de conteúdo ternary (TCAM). Se você criar um policial específico de filtro e referencia-lo em vários termos de filtro de firewall, o policial permitirá mais tráfego do que o esperado se os termos são armazenados em fatias de TCAM diferentes. Por exemplo, se você configurar um policial para descartar tráfego que exceda 1 Gbps e referenciar esse policial em três termos diferentes que são armazenados em três fatias de memória diferentes, a largura de banda total permitida pelo filtro é de 3 Gbps, e não 1 Gbps.

Para evitar que esse comportamento inesperado ocorra, use as informações sobre as fatias de TCAM acima para organizar seu arquivo de configuração para que todos os termos do filtro de firewall que referenciam um determinado policial específico de filtro sejam armazenados na mesma fatia da TCAM.

Planejamento para encaminhamento baseado em filtro

Você pode usar filtros de firewall junto com instâncias de roteamento virtual para especificar diferentes rotas para pacotes viajarem em suas redes. Para configurar esse recurso chamado encaminhamento baseado em filtro, você especificará um filtro e combinará os critérios e especificará a instância de roteamento virtual para onde enviar pacotes. Os filtros usados dessa maneira também consomem memória em uma TCAM adicional. Consulte Entender a escalabilidade de filtros de FIP Snooping, FBF e MVR para obter mais informações. A seção FBF Filter VFP TCAM Consumption neste tópico aborda especificamente o número de filtros suportados ao usar encaminhamento baseado em filtro.

Nota:

O encaminhamento baseado em filtro não funciona com interfaces IPv6 em alguns Juniper switches.

Tabela de histórico de liberação
Versão
Descrição
19.4R2-EVO
A partir do Junos OS Evolved Release 19.4R2, você pode configurar filtros de firewall de saída de até 2000 no QFX5220 incluindo a opção na instrução em nível egress-scaleeracl-profile de [edit system packet-forwarding-option firewall] hierarquia.
19.1R1
A partir da versão 19.1R1 Junos OS, você pode aumentar o número de filtros de firewall VLAN de saída no QFX5110 de 1024 a 2048 usando a egress-to-ingress opção.