Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Planejando o número de filtros de firewall para criar

Número máximo de filtros de firewall suportados

Tabela 1 mostra o número máximo de filtros de firewall que cada switch oferece suporte. O número total de filtros é aplicado no agregado. Por exemplo, nos switches QFX5200 e QFX5210, você pode aplicar um total de 768 termos na direção de entrada e 1024 termos na direção de saída. O número real de filtros que um switch oferece suporte depende de como os filtros são armazenados em memória endereçada de conteúdo ternário (TCAM).

Para switches QFX5120-48Y e EX4650 que executam o Junos OS Release 20.3R1 ou posteriores, você pode permitir que o comando aumente o [set chassis loopback-firewall-optimization limite padrão do sistema para termos de filtro de loopback para 768 para IPv6 e 1152 termos para IPv4.

Tabela 1: Número máximo de filtros de firewall suportados
Tipo de filtro QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

Entrada

768

1536

1536

6144

768

8192

Saída

1024

1024

2048

1024 ou 2048

1024

512 (QFX5220)

8192

Como aumentar o número de filtros de firewall

Você pode aumentar o número de filtros de firewall em seu dispositivo de várias maneiras:

  • (QFX5220) Para criar mais de 512 filtros VLAN de saída, especifique o primeiro VLAN ID como 6, o segundo VLAN ID como 7, o terceiro VLAN ID como 5 e assim por diante. Para cada VLAN configurado, o número aumenta em 1 e continua por meio do VLAN ID 1029. Se você quiser criar menos de 512 filtros VLAN de saída, mas queira que o número total de termos nesses filtros seja superior a 512, certifique-se de numerar seus IDs VLAN da mesma maneira. Caso contrário, o número total de termos ou filtros permitidos será inferior a 1024 e permanecerá em 512.

  • A partir do Junos OS Release 19.1R1, você pode aumentar o número de filtros de firewall VLAN de saída no QFX5110 de 1024 a 2048 usando a opção egress-to-ingress . Você inclui essa opção sob a from declaração na [edit firewall] hierarquia.

    A partir do Junos OS Evolved Release 19.4R2, você pode configurar até 2000 filtros de firewall de saída no QFX5220, incluindo a opção egress-scale sob a eracl-profile declaração no nível de [edit system packet-forwarding-option firewall] hierarquia. Esse recurso é suportado apenas na direção de saída (tráfego roteado saindo do dispositivo).

    Considere isso a seguir ao configurar este recurso:

    • Você não pode aplicar filtros com as mesmas condições de correspondência a diferentes VLANs de saída ou interfaces de Camada 3.

    • Você não pode aplicar escalabilidade de saída em interfaces GRE.

    • Se um pacote corresponde a vários filtros com diferentes qualificações e você aplicar em diferentes interfaces de saída, isso pode levar a um comportamento imprevisível.

    • Você só pode configurar a opção egress-scale no modo global. A nova configuração de cli será fornecida no modo global. Uma vez que um usuário configure o grupo ERACL no modo de escala de saída (saída para entrada), ele não será capaz de configurar a ERACL da maneira mais antiga, ou seja, sem usar o espaço de tcam IFP. Em outras palavras, a ERACL no modo misto não será suportada.

TCAM

A memória endereçada por conteúdo ternary (TCAM) para filtros de firewall é dividida em fatias que acomodam 256 termos. Quando você configura um filtro de firewall, todos os termos em uma fatia de memória devem estar em filtros do mesmo tipo e aplicados na mesma direção. Uma fatia de memória é reservada assim que você cometer um filtro. Por exemplo, se você criar um filtro de porta e aplicá-lo na direção de entrada, uma fatia de memória é reservada que apenas armazena filtros de porta de entrada. Se você criar e aplicar apenas um filtro de porta de entrada e esse filtro tiver apenas um termo, o restante desta fatia não está usado e está indisponível para outros tipos de filtro.

Nota:

Em um ambiente EVPN, os switches da Série QFX5200 oferecem suporte a até 512 entradas TCAM.

Por exemplo, digamos que você crie e aplique 256 filtros de porta de entrada com um termo cada para que uma fatia de memória seja preenchida. Isso deixa mais duas fatias de memória disponíveis para filtros de ingresso. (Neste caso, o número máximo de termos de ingresso é de 768.) Se você criar e aplicar um filtro de Camada 3 de entrada com um termo, outra fatia de memória é reservada para filtros de Camada 3 de entrada. Como antes, o restante da fatia não está usado e está indisponível para diferentes tipos de filtro. Agora existe uma fatia de memória disponível para qualquer tipo de filtro de ingresso.

Agora suponha que você crie e aplique um filtro de ingresso VLAN. A fatia de memória final é reservada para filtros de ingresso de VLAN. A alocação de memória para filtros de entrada (mais uma vez assumindo um termo por filtro) é:

  • Fatia 1: Preenchido com 256 filtros de porta de entrada. Você não pode mais cometer filtros de porta de entrada.

  • Fatia 2: Contém um filtro de Camada 3 de entrada com um único termo. Você pode confirmar mais 255 termos em filtros de Camada 3 de ingresso.

  • Fatia 3: Contém um filtro VLAN de entrada com um único termo. Você pode confirmar mais 255 termos em filtros VLAN de ingresso.

Aqui está outro exemplo. Suponha que você crie 257 filtros de porta de entrada com um termo por filtro, ou seja, você cria um termo a mais do que uma única fatia de memória pode acomodar. Quando você aplica os filtros e confirma a configuração, a alocação de memória do filtro é:

  • Fatia 1: Preenchido com 256 filtros de porta de entrada. Você não pode aplicar mais filtros de porta de entrada.

  • Fatia 2: Contém um filtro de porta de entrada. Você pode aplicar mais 255 termos em filtros de porta de entrada.

  • Fatia 3: Esta fatia não é assinada. Você pode criar e aplicar 256 termos em filtros de ingresso de qualquer tipo (porta, Camada 3 ou VLAN), mas todos os filtros devem ser do mesmo tipo.

Nota:

Todos os exemplos acima também se aplicam a filtros de saída. A diferença é que quatro fatias de memória são usadas porque os filtros IPv4 e IPv6 de Camada 3 são armazenados em fatias separadas. As fatias de memória para filtros de saída têm o mesmo tamanho dos filtros de entrada, de modo que o número máximo de filtros será o mesmo (1024).

Evite configurar muitos filtros

Se você violar alguma dessas restrições e cometer uma configuração que não esteja em conformidade, o Junos OS rejeita os filtros excessivos. Por exemplo, se você configurar 300 filtros de porta de entrada e 300 filtros de camada 3 de entrada e tentar comprometer a configuração, o Junos OS faz o seguinte (novamente assumindo um termo por filtro):

  • Aceita os 300 filtros de porta de entrada (armazenando-os em duas fatias de memória).

  • Aceita os primeiros 256 filtros de camada 3 de ingresso que processa (armazenando-os na terceira fatia de memória).

  • Rejeita os 44 filtros de Camada 3 restantes.

Nota:

Certifique-se de excluir os filtros excessivos (por exemplo, os 44 filtros de Camada 3 restantes) da configuração antes de reiniciar o dispositivo. Se você reiniciar um dispositivo que tenha uma configuração não competitiva, é difícil prever quais filtros foram instalados após a reinicialização. Usando o exemplo acima, os filtros de Camada 3 de entrada 44 que foram originalmente rejeitados podem ser instalados, e 44 dos filtros de porta que foram originalmente aceitos podem ser rejeitados.

Configuração de mensagens de erro de TCAM

Se você não tiver espaço no TCAM e não conseguir instalar um filtro de firewall, você pode configurar seu switch para enviar mensagens de erro das seguintes maneiras:

  • Entre set system syslog file filename pfe emergency para enviar mensagens de erro para um arquivo de syslog.

  • Entre set system syslog console pfe emergency para enviar mensagens de erro para o console.

  • Entre set system syslog user user-login pfe emergency para enviar mensagens de erro para uma sessão de terminal de SSH.

Como aumentar a escala de filtros de firewall usando perfis

Ao configurar um filtro de firewall, o termo declaração na configuração do filtro de firewall fornece um conjunto extenso de condições de correspondência. As condições de correspondência são os campos e valores que um pacote deve conter para serem considerados compatíveis. Você pode definir uma única ou múltiplas condições de correspondência com base no seu requisito. Quando um pacote corresponde a um filtro, o dispositivo toma a ação especificada no termo. A escalabilidade dos filtros de firewall geralmente depende do número de condições de correspondência usadas.

Em cenários típicos de implantação, você só precisará usar um subconjunto de condições de correspondência. Com a introdução de perfis, você pode usar um dos perfis de filtro de firewall disponíveis com condições de correspondência pré-definidas para aumentar o número de filtros de firewall usados para atingir a escala máxima.

Você pode configurar perfis de filtros de firewall para comutação baseada em inet familiar e Ethernet. Use a declaração de configuração de perfis no nível de hierarquia [editar o firewall de opções de encaminhamento de pacotes] para configurar perfis de filtro de firewall.

Nota:

Quando você faz alterações nos perfis do filtro de firewall, seja selecionando um perfil ou mudando de um perfil para outro, o mecanismo de encaminhamento de pacotes é reiniciado, o que causa interrupções no fluxo de tráfego.

A tabela a seguir descreve os perfis do filtro de firewall e as condições de correspondência pré-definidas para comutação baseada em inet e Ethernet.

Tabela 2: Perfil do filtro de firewall e condições de correspondência
Tipo de família Perfis de filtro de firewall Condição de correspondência (pré-definida) Hierarquia de configuração
inet (IPv4/IPv6) profile1

ip-source-address

lista de prefixo ip-source

Protocolo

cabeçalho próximo

porta-fonte

porta de destino

primeiro fragmento

é fragmento

código de cânhamo

tipo de cânhamo

estabelecido por tcp

tcp-inicial

bandeiras tcp

[edit system packet-forwarding-options firewall profiles inet profile1]
profile2

endereço ip-source

ip6-source-address

lista de prefixo ip-source

ip6-source-prefix-list

Protocolo

cabeçalho próximo

porta-fonte

porta de destino

primeiro fragmento

é fragmento

código de cânhamo

tipo de cânhamo

estabelecido por tcp

tcp-inicial

bandeiras tcp

Dscp

Precedência

classe de tráfego

Ttl

hop-limit

[edit system packet-forwarding-options firewall profiles inet profile2]
Comutação de ethernet profile1

endereço source-mac

endereço mac de destino

[edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
perfil2

endereço source-mac

endereço mac de destino

tipo de ether

endereço ip-source

lista de prefixo ip-source

protocolo ip

porta-fonte

porta de destino

cabeçalho próximo

[edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
Nota:

Ao selecionar um perfil de filtro de firewall, você deve aplicar uma condição de correspondência que faz parte do subconjunto de condição de correspondência pré-definido. Se você aplicar uma condição de correspondência que não faz parte do subconjunto pré-definido da condição de correspondência do perfil do filtro de firewall, então ocorre um erro de confirmação. Por exemplo, se você selecionar profile1 para filtrar inet e aplicar a condição de correspondência como ip-destination-address, que não faz parte da condição de correspondência pré-definida, então você verá um erro durante a operação de confirmação afirmando que a ip-destination-address partida não faz parte do filtro de profile1 inet.

Você pode usar o show pfe filter hw profile-info comando CLI para visualizar os detalhes dos perfis do filtro de firewall.

Para atingir a escala máxima de filtro de firewall, recomenda-se aplicar filtros de nível de interface (Camada 2 ou Camada 3) e distribuir os filtros igualmente pelas interfaces de diferentes pipelines de processamento de pacotes. Cada conjunto de interfaces é mapeado para um pipeline de processamento de pacotes que lida com os pacotes recebidos nessas interfaces. Nesse caso, os filtros de firewall são instalados no espaço de memória TCAM do pipeline de processamento de pacotes mapeado para a respectiva interface.

Quando um pacote entra em uma interface, o filtro de firewall realiza ações de filtragem no pacote no pipeline de processamento de pacotes com base nas condições de correspondência antes de sair de uma interface de saída. No caso de vários pipelines de processamento de pacotes, quando os pacotes entram em um dispositivo por meio de várias interfaces, o filtro de firewall realiza ações de filtragem nos pacotes que passam pelos respectivos pipelines de processamento de pacotes. Ter os filtros de nível de interface distribuídos igualmente pelas interfaces de diferentes pipelines de processamento de pacotes oferece uma escala melhor

Você pode usar o show pfe filter hw port-pipe-info comando CLI para visualizar os detalhes do pipeline de processamento de pacotes que cada interface física é mapeada. A saída deste comando CLI também fornece informações sobre os filtros de firewall instalados em um pipeline de processamento de pacotes. Você pode usar essas informações para planejar e distribuir filtros de firewall em pipelines para atingir a escala máxima.

A saída amostral a seguir do show pfe filter hw port-pipe-info comando CLI mostra os detalhes do pipeline de processamento de pacotes que cada interface física é mapeada para:

Como os policiais podem limitar filtros de saída

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que pegam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo policial.) Se o TCAM ficar completo, você não poderá cometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e cometer 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores são usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é comprometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns outros exemplos:

  • Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço TCAM suficiente para o contador.

  • Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, no seu arquivo de configuração, você inclui os dois seguintes filtros de saída:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

    • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é comprometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)

Você pode impedir que esse problema aconteça, garantindo que termos de filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que termos que incluam policiais. Nesta circunstância, o Junos OS confirma policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem 1024 termos de filtro de firewall de saída com contra-ações.

  • Mais tarde, no seu arquivo de configuração, você tem um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação do policial.

Você pode cometer com sucesso o filtro com 10 termos, embora não haja espaço TCAM suficiente para os contadores implícitos do policiador. O policial está comprometido sem os contadores.

Planejamento para policiais específicos de filtros

Você pode configurar policiais para serem específicos do filtro. Isso significa que o Junos OS cria apenas uma instância policial, não importa quantas vezes o policial seja mencionado. Quando você faz isso, a limitação de taxa é aplicada no agregado, então se você configurar um policial para descartar tráfego que exceder 1 Gbps e fazer referência ao policiador em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policial específico do filtro é afetado pela forma como os termos do filtro de firewall que fazem referência ao policiador são armazenados em memória endereçada de conteúdo ternary (TCAM). Se você criar um policial específico do filtro e referenciá-lo em vários termos de filtro de firewall, o policial permite mais tráfego do que o esperado se os termos forem armazenados em diferentes fatias de TCAM. Por exemplo, se você configurar um policial para descartar tráfego que exceder 1 Gbps e fazer referência ao policiador em três termos diferentes que são armazenados em três fatias de memória separadas, a largura de banda total permitida pelo filtro é de 3 Gbps, não 1 Gbps.

Para evitar que esse comportamento inesperado aconteça, use as informações sobre fatias de TCAM acima para organizar seu arquivo de configuração para que todos os termos do filtro de firewall que fazem referência a um determinado policial específico do filtro sejam armazenados na mesma fatia TCAM.

Planejamento para o encaminhamento baseado em filtros

Você pode usar filtros de firewall junto com instâncias de roteamento virtual para especificar rotas diferentes para pacotes viajarem em suas redes. Para configurar esse recurso chamado encaminhamento baseado em filtro, você especifica um critério de filtro e correspondência e depois especifica a instância de roteamento virtual para a qual enviar pacotes. Os filtros usados dessa forma também consomem memória em um TCAM adicional. Veja como entender a escalabilidade do filtro FIP, FBF e MVR para obter mais informações. A seção FBF Filter VFP TCAM Consumo neste tópico aborda especificamente o número de filtros suportados ao usar o encaminhamento baseado em filtro.

Nota:

O encaminhamento baseado em filtros não funciona com interfaces IPv6 em alguns switches da Juniper.

Tabela de histórico de liberação
Versão
Descrição
19.4R2-EVO
A partir do Junos OS Evolved Release 19.4R2, você pode configurar até 2000 filtros de firewall de saída no QFX5220, incluindo a opção egress-scale sob a eracl-profile declaração no nível de [edit system packet-forwarding-option firewall] hierarquia.
19.1R1
A partir do Junos OS Release 19.1R1, você pode aumentar o número de filtros de firewall VLAN de saída no QFX5110 de 1024 a 2048 usando a opção egress-to-ingress .