Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Planejando o número de filtros de firewall para criar

Como aumentar o número de filtros de firewall

Você pode aumentar o número de filtros de firewall em seu dispositivo de várias maneiras:

  • (QFX5220) Para criar mais de 512 filtros VLAN de saída, especifique o primeiro VLAN ID como 6, o segundo VLAN ID como 7, o terceiro VLAN ID como 8 e assim por diante. Para cada VLAN configurado, o número aumenta em 1 e continua por meio do VLAN ID 1029. Se você quiser criar menos de 512 filtros VLAN de saída, mas quiser que o número total de termos nesses filtros seja superior a 512, certifique-se de numerar seus IDs VLAN da mesma maneira. Caso contrário, o número total de termos ou filtros permitidos será inferior a 1024 e permanecerá em 512.

  • A partir do Junos OS Release 19.1R1, você pode aumentar o número de filtros de firewall VLAN de saída no QFX5110 de 1024 a 2048 usando a opção egress-to-ingress . Você inclui essa opção sob a from declaração na [edit firewall] hierarquia.

    A partir do Junos OS Evolved Release 19.4R2, você pode configurar até 2000 filtros de firewall de saída no QFX5220, incluindo a opção egress-scale sob a eracl-profile declaração no nível de [edit system packet-forwarding-option firewall] hierarquia. Esse recurso é suportado apenas na direção de saída (tráfego roteado saindo do dispositivo).

    Considere isso a seguir ao configurar este recurso:

    • Você não pode aplicar filtros com as mesmas condições de correspondência a diferentes VLANs de saída ou interfaces de Camada 3.

    • Você não pode aplicar escalabilidade de saída em interfaces GRE.

    • Se um pacote combina vários filtros com diferentes qualificações e você aplica em diferentes interfaces de saída, isso pode levar a um comportamento imprevisível.

    • Você só pode configurar a opção egress-scale no modo global. A nova configuração de cli será fornecida no modo global. Uma vez que um usuário configure o grupo ERACL em escala de saída (saída para entrada), ele não será capaz de configurar a ERACL da maneira mais antiga, ou seja, sem usar o espaço tcam IFP. Em outras palavras, a ERACL em modo misto não será suportada.

TCAM

A memória endereçada por conteúdo ternário (TCAM) para filtros de firewall é dividida em fatias que acomodam 256 termos. Quando você configura um filtro de firewall, todos os termos em uma fatia de memória devem estar em filtros do mesmo tipo e aplicados na mesma direção. Uma fatia de memória é reservada assim que você cometer um filtro. Por exemplo, se você criar um filtro de porta e aplicá-lo na direção de entrada, uma fatia de memória é reservada que armazena apenas filtros de porta de entrada. Se você criar e aplicar apenas um filtro de porta de entrada e esse filtro tiver apenas um termo, o restante dessa fatia não está usado e está indisponível para outros tipos de filtro.

Nota:

Em um ambiente EVPN, os switches da Série QFX5200 oferecem suporte a até 512 entradas TCAM.

Por exemplo, digamos que você crie e aplique 256 filtros de porta de entrada com um termo cada para que uma fatia de memória seja preenchida. Isso deixa mais duas fatias de memória disponíveis para filtros de entrada. (Neste caso, o número máximo de termos de ingresso é de 768.) Se você criar e aplicar um filtro de Camada 3 de entrada com um termo, outra fatia de memória estará reservada para filtros de Camada 3 de entrada. Como antes, o resto da fatia não é usado e está indisponível para diferentes tipos de filtro. Agora existe uma fatia de memória disponível para qualquer tipo de filtro de ingresso.

Agora suponha que você crie e aplique um filtro de ingresso VLAN. A fatia de memória final está reservada para filtros de entrada VLAN. A alocação de memória para filtros de entrada (mais uma vez assumindo um termo por filtro) é:

  • Fatia 1: Preenchido com 256 filtros de porta de entrada. Você não pode cometer mais filtros de porta de entrada.

  • Fatia 2: Contém um filtro de camada 3 de entrada com um único termo. Você pode comprometer mais 255 termos em filtros de Camada 3 de ingresso.

  • Fatia 3: Contém um filtro VLAN de entrada com um único termo. Você pode comprometer mais 255 termos em filtros VLAN de entrada.

Aqui está outro exemplo. Suponha que você crie 257 filtros de porta de entrada com um termo por filtro, ou seja, você cria um termo a mais do que uma única fatia de memória pode acomodar. Quando você aplica os filtros e confirma a configuração, a alocação da memória do filtro é:

  • Fatia 1: Preenchido com 256 filtros de porta de entrada. Você não pode aplicar mais filtros de porta de entrada.

  • Fatia 2: Contém um filtro de porta de entrada. Você pode aplicar mais 255 termos em filtros de porta de entrada.

  • Fatia 3: Esta fatia não foi assinada. Você pode criar e aplicar 256 termos em filtros de entrada de qualquer tipo (porta, Camada 3 ou VLAN), mas todos os filtros devem ser do mesmo tipo.

Nota:

Todos os exemplos acima também se aplicam a filtros de saída. A diferença é que quatro fatias de memória são usadas porque os filtros IPv4 e IPv6 de Camada 3 são armazenados em fatias separadas. As fatias de memória para filtros de saída têm o mesmo tamanho dos filtros de entrada, de modo que o número máximo de filtros será o mesmo (1024).

Evite configurar muitos filtros

Se você violar alguma dessas restrições e cometer uma configuração que não esteja em conformidade, o Junos OS rejeita os filtros excessivos. Por exemplo, se você configurar 300 filtros de porta de entrada e 300 filtros de camada 3 de entrada e tentar comprometer a configuração, o Junos OS faz o seguinte (novamente assumindo um termo por filtro):

  • Aceita os 300 filtros de porta de entrada (armazenando-os em duas fatias de memória).

  • Aceita os primeiros 256 filtros de entrada que a Camada 3 processa (armazenando-os na terceira fatia de memória).

  • Rejeita os 44 filtros de Camada 3 de ingresso restantes.

Nota:

Certifique-se de excluir os filtros excessivos (por exemplo, os 44 filtros de Camada 3 de ingresso restantes) da configuração antes de reiniciar o dispositivo. Se você reinicializar um dispositivo que tenha uma configuração incompatível, é difícil prever quais filtros foram instalados após a reinicialização. Usando o exemplo acima, os filtros de Camada 3 de entrada 44 que foram originalmente rejeitados podem ser instalados, e 44 dos filtros de porta que foram originalmente aceitos podem ser rejeitados.

Configuração de mensagens de erro de TCAM

Se você não tiver espaço no TCAM e não conseguir instalar um filtro de firewall, você pode configurar seu switch para enviar mensagens de erro das seguintes maneiras:

  • Digite set system syslog file filename pfe emergency para enviar mensagens de erro para um arquivo de syslog.

  • Entre set system syslog console pfe emergency para enviar mensagens de erro para o console.

  • Entre set system syslog user user-login pfe emergency para enviar mensagens de erro para uma sessão de terminal SSH.

Como aumentar a escala de filtros de firewall usando perfis

Quando você configura um filtro de firewall, o termo declaração na configuração do filtro de firewall fornece um amplo conjunto de condições de correspondência. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir uma única ou múltiplas condições de correspondência com base no seu requisito. Quando um pacote combina com um filtro, o dispositivo toma a ação especificada no termo. A escalabilidade dos filtros de firewall geralmente depende do número de condições de correspondência usadas.

Em cenários típicos de implantação, você só precisará usar um subconjunto de condições de correspondência. Com a introdução de perfis, você pode usar um dos perfis de filtro de firewall disponíveis com condições de correspondência pré-definidas para aumentar o número de filtros de firewall usados para atingir a escala máxima.

Você pode configurar perfis de filtros de firewall para inet familiar e comutação baseada em Ethernet. Use a declaração de configuração de perfis no nível de hierarquia [editar o firewall de opções de encaminhamento de pacotes] para configurar perfis de filtro de firewall.

Nota:

Quando você faz alterações nos perfis de filtro de firewall, seja selecionando um perfil ou mudando de um perfil para outro, o mecanismo de encaminhamento de pacotes é reiniciado, o que causa interrupção no fluxo de tráfego.

A tabela a seguir descreve os perfis do filtro de firewall e as condições de correspondência pré-definidas para comutação baseada em inet e Ethernet.

Tabela 1: Perfil do filtro de firewall e condições de correspondência
Tipo de família Perfis de filtro de firewall Condição de correspondência (pré-definida) Hierarquia de configuração
inet (IPv4/IPv6) profile1

ip-source-address

lista de ip-source-prefixo

Protocolo

próximo cabeçalho

porta de origem

porta de destino

primeiro fragmento

é fragmento

código de cânhamo

tipo de cânhamo

estabelecido por tcp

tcp-inicial

bandeiras tcp

 [edit system packet-forwarding-options firewall profiles inet profile1]
perfil2

endereço ip-source

ip6-source-address

lista de ip-source-prefixo

ip6-source-prefix-list

Protocolo

próximo cabeçalho

porta de origem

porta de destino

primeiro fragmento

é fragmento

código de cânhamo

tipo de cânhamo

estabelecido por tcp

tcp-inicial

bandeiras tcp

Dscp

Precedência

classe de tráfego

Ttl

hop-limit

 [edit system packet-forwarding-options firewall profiles inet profile2]
Comutação de ethernet profile1

endereço mac-fonte

destino-mac-endereço

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
perfil2

endereço mac-fonte

destino-mac-endereço

tipo ether

endereço ip-source

lista de ip-source-prefixo

protocolo ip

porta de origem

porta de destino

próximo cabeçalho

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
Nota:

Ao selecionar um perfil de filtro de firewall, você deve aplicar uma condição de correspondência que faça parte do subconjunto da condição de correspondência pré-definida. Se você aplicar uma condição de correspondência que não faz parte da condição de correspondência pré-definida subconjunta do perfil do filtro de firewall, ocorre um erro de confirmação. Por exemplo, se você selecionar profile1 para o filtro de inet e aplicar a condição de correspondência como ip-destination-address, que não faz parte da condição de correspondência pré-definida, então você verá um erro durante a operação de compromisso afirmando que a ip-destination-address partida não faz parte do filtro de profile1 inet.

Você pode usar o show pfe filter hw profile-info comando CLI para visualizar os detalhes dos perfis do filtro de firewall.

Nota:

O módulo de firewall oferece suporte a dois perfis diferentes (perfil um e perfil-dois) apenas em plataformas ACX EVO. Por padrão, o pfe virá com o perfil dois e os usuários receberão uma opção de CLI para permitir que eles mudem para o outro perfil. Uma vez que o perfil é alternado via cli, o pfe será reiniciado.

Filtro IPV6 IFF: Suporte para o perfil 1 sip6 até 128 bits. Suporte para perfil dois sip6 até 64bit.

Filtro ipv6 lo0: O suporte ao perfil 1 cai6 para 128bits. Os suportes ao perfil dois caem6 até 64bits.

Os filtros ipv6-bgp-flow-spec e os filtros IPv6-FTF serão suportados apenas no perfil dois.

Categoria Recursos da PMF Perfil dois Perfil 1

Família Qualquer

Filtro IFL IPv6

Sim

Sim
 

Filtro IFL IPv6 - Log/Syslog/Reject Action

Não

Não

Filtro de família

Filtro IPv6 IFF

Sim

Sim
 

IPv6 IFF Filter - sip6=128bit match

Não

Sim
 

Filtro IPv6 IFF - Jogos de L4

Sim

Sim
 

Filtro IPv6 IFF - Log/Syslog/Reject Action

Sim

Sim

Filtro lo0

Filtro IPv6 Lo0 - Suporte a Hw

Sim

Sim
 

Filtro IPv6 Lo0 - Anexo VRF

Sim

Não
 

Filtro IPv6 Lo0 - Suporte para sw

Sim

Sim
 

jogo dip6 de 128bits

Não

Sim

Para atingir a escala máxima do filtro de firewall, recomenda-se aplicar filtros de nível de interface (Camada 2 ou Camada 3) e distribuir os filtros igualmente nas interfaces de diferentes pipelines de processamento de pacotes. Cada conjunto de interfaces é mapeado para um pipeline de processamento de pacotes que lida com os pacotes recebidos nessas interfaces. Nesse caso, os filtros de firewall são instalados no espaço de memória TCAM do pipeline de processamento de pacotes mapeado para a respectiva interface.

Quando um pacote entra em uma interface, o filtro de firewall executa ações de filtragem no pacote no pipeline de processamento de pacotes com base nas condições de correspondência antes de sair de uma interface de saída. No caso de vários pipelines de processamento de pacotes, quando os pacotes entram em um dispositivo por várias interfaces, o filtro de firewall executa ações de filtragem nos pacotes que passam pelos respectivos pipelines de processamento de pacotes. Ter os filtros de nível de interface distribuídos igualmente pelas interfaces de diferentes pipelines de processamento de pacotes oferece uma escala melhor

Você pode usar o show pfe filter hw port-pipe-info comando CLI para visualizar os detalhes do pipeline de processamento de pacotes que cada interface física é mapeada. A saída deste comando CLI também fornece informações sobre os filtros de firewall instalados em um pipeline de processamento de pacotes. Você pode usar essas informações para planejar e distribuir filtros de firewall em pipelines para atingir a escala máxima.

A saída de amostra a seguir do show pfe filter hw port-pipe-info comando CLI mostra os detalhes do pipeline de processamento de pacotes que cada interface física é mapeada para:

Como os policiais podem limitar filtros de saída

Em alguns switches, o número de policiais de saída configurados pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que pegam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e outra é usada para pacotes nongreen, independentemente do tipo policial.) Se o TCAM ficar completo, você não poderá comprometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e cometer 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores são usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluem contadores, nenhum dos termos nesses filtros é comprometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos:

  • Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, dos quais 1 tem um modificador de contra-ação. Nenhum dos termos neste filtro é comprometido porque não há espaço TCAM suficiente para o contador.

  • Suponha que você configure filtros de saída que incluam um total de 500 policiais, para que 1000 entradas TCAM sejam ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os seguintes dois filtros de saída:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos deste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

    • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é comprometido porque não há espaço de memória suficiente para todos os contadores. (São necessárias cinco entradas TCAM, mas apenas quatro estão disponíveis.)

Você pode impedir que esse problema aconteça, garantindo que termos de filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que termos que incluam policiais. Nesta circunstância, o Junos OS comete policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem 1024 termos de filtro de firewall de saída com contra-ações.

  • Mais tarde, em seu arquivo de configuração, você tem um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação policial.

Você pode comprometer o filtro com sucesso com 10 termos, embora não haja espaço TCAM suficiente para os contadores implícitos do policial. O policial está internado sem os contadores.

Planejamento para policiais específicos de filtro

Você pode configurar policiais para serem específicos do filtro. Isso significa que o Junos OS cria apenas uma instância policial, não importa quantas vezes o policial seja mencionado. Quando você faz isso, o limite de taxa é aplicado no agregado, portanto, se você configurar um policial para descartar tráfego que excede 1 Gbps e fazer referência ao policial em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policial específico do filtro é afetado pela forma como os termos do filtro de firewall que fazem referência ao policial são armazenados em memória endereçada de conteúdo ternário (TCAM). Se você criar um policial específico do filtro e o mencionar em vários termos de filtro de firewall, o policial permite mais tráfego do que o esperado se os termos forem armazenados em diferentes fatias de TCAM. Por exemplo, se você configurar um policial para descartar tráfego que exceder 1 Gbps e mencionar que o policial em três termos diferentes que são armazenados em três fatias de memória separadas, a largura de banda total permitida pelo filtro é de 3 Gbps, não 1 Gbps.

Para evitar que esse comportamento inesperado aconteça, use as informações sobre fatias de TCAM acima para organizar seu arquivo de configuração para que todos os termos do filtro de firewall que fazem referência a um determinado policial específico do filtro sejam armazenados na mesma fatia de TCAM.

Planejamento para o encaminhamento baseado em filtros

Você pode usar filtros de firewall junto com instâncias de roteamento virtual para especificar rotas diferentes para que os pacotes viajem em suas redes. Para configurar esse recurso chamado encaminhamento baseado em filtro, você especifica um filtro e critérios de correspondência e depois especifica a instância de roteamento virtual para enviar pacotes. Os filtros usados dessa forma também consomem memória em um TCAM adicional. Veja como entender a escalabilidade do filtro FIP Snooping, FBF e MVR para obter mais informações. A seção FBF Filter VFP TCAM Consumo neste tópico aborda especificamente o número de filtros suportados ao usar o encaminhamento baseado em filtros.

Nota:

O encaminhamento baseado em filtros não funciona com interfaces IPv6 em alguns switches da Juniper.

Tópicos relacionados

Tabela de histórico de liberação
Versão
Descrição
19.4R2-EVO
A partir do Junos OS Evolved Release 19.4R2, você pode configurar até 2000 filtros de firewall de saída no QFX5220, incluindo a opção egress-scale sob a eracl-profile declaração no nível de [edit system packet-forwarding-option firewall] hierarquia.
19.1R1
A partir do Junos OS Release 19.1R1, você pode aumentar o número de filtros de firewall VLAN de saída no QFX5110 de 1024 a 2048 usando a opção egress-to-ingress .