Planejando o número de filtros de firewall para criar

Você pode aumentar o número de filtros de firewall em seu dispositivo de várias maneiras:

• (QFX5220) Para criar mais de 512 filtros VLAN de saída, especifique o primeiro VLAN ID como 6, o segundo VLAN ID como 7, o terceiro VLAN ID como 8 e assim por diante. Para cada VLAN que você configura, o número aumenta em 1 e continua através do VLAN ID 1029. Se você quiser criar menos de 512 filtros VLAN de saída, mas queira que o número total de termos nesses filtros seja superior a 512, certifique-se de numerar seus IDs VLAN da mesma maneira. Caso contrário, o número total de termos ou filtros permitidos será inferior a 1024 e permanecerá em 512.

• A partir do Junos OS Release 19.1R1, você pode aumentar o número de filtros de firewall VLAN de saída no QFX5110 de 1024 a 2048 usando a opção .egress-to-ingress Você inclui essa opção sob a declaração na hierarquia. from [edit firewall]

  A partir do Junos OS Evolved Release 19.4R2, você pode configurar até 2000 filtros de firewall de saída no QFX5220 incluindo a opção sob a declaração no nível de hierarquia.egress-scale eracl-profile [edit system packet-forwarding-option firewall] Esse recurso é suportado apenas na direção de saída (tráfego roteado saindo do dispositivo).

  Considere isso a seguir ao configurar este recurso:

  • Você não pode aplicar filtros com as mesmas condições de correspondência a diferentes VLANs de saída ou interfaces de Camada 3.

  • Você não pode aplicar escalabilidade de saída em interfaces GRE.

  • Se um pacote corresponde a vários filtros com diferentes qualificações e você aplica em diferentes interfaces de saída, isso pode levar a um comportamento imprevisível.

  • Você só pode configurar a opção no modo global.egress-scale A nova configuração da cli será fornecida no modo global. Uma vez que um usuário configure o grupo ERACL no modo de escala de saída (saída para entrada), ele não será capaz de configurar a ERACL da maneira mais antiga, ou seja, sem usar o espaço tcam IFP. Em outras palavras, a ERACL no modo misto não será suportada.

A memória endereçada por conteúdo ternário (TCAM) para filtros de firewall é dividida em fatias que acomodam 256 termos. Quando você configura um filtro de firewall, todos os termos em uma fatia de memória devem estar em filtros do mesmo tipo e aplicados na mesma direção. Uma fatia de memória é reservada assim que você confirma um filtro. Por exemplo, se você criar um filtro de porta e aplicá-lo na direção de entrada, reserva-se uma fatia de memória que armazena apenas filtros de porta de entrada. Se você criar e aplicar apenas um filtro de porta de entrada e esse filtro tiver apenas um termo, o restante dessa fatia não está usado e está indisponível para outros tipos de filtro.

Por exemplo, digamos que você crie e aplique 256 filtros de porta de entrada com um termo cada para que uma fatia de memória seja recheada. Isso deixa mais duas fatias de memória disponíveis para filtros de entrada. (Neste caso, o número máximo de termos de entrada é de 768.) Se você então criar e aplicar um filtro de camada 3 de entrada com um termo, outra fatia de memória será reservada para filtros de camada 3 de entrada. Como antes, o restante da fatia não está usado e está indisponível para diferentes tipos de filtro. Agora há uma fatia de memória disponível para qualquer tipo de filtro de entrada.

Agora suponha que você crie e aplique um filtro de entrada VLAN. A fatia de memória final está reservada para filtros de entrada VLAN. A alocação de memória para filtros de entrada (mais uma vez assumindo um termo por filtro) é:

• Fatia 1: Preenchido com 256 filtros de porta de entrada. Você não pode comprometer mais filtros de porta de entrada.

• Fatia 2: Contém um filtro de camada 3 de entrada com um único termo. Você pode confirmar mais 255 termos em filtros de Camada 3 de entrada.

• Fatia 3: Contém um filtro VLAN de entrada com um único termo. Você pode confirmar mais 255 termos em filtros VLAN de entrada.

Aqui está outro exemplo. Suponha que você crie 257 filtros de porta de entrada com um termo por filtro — ou seja, você cria um termo a mais do que uma única fatia de memória pode acomodar. Quando você aplica os filtros e confirma a configuração, a alocação de memória do filtro é:

• Fatia 1: Preenchido com 256 filtros de porta de entrada. Você não pode aplicar mais filtros de porta de entrada.

• Fatia 2: Contém um filtro de porta de entrada. Você pode aplicar mais 255 termos em filtros de porta de entrada.

• Fatia 3: Essa fatia não foi assinada. Você pode criar e aplicar 256 termos em filtros de entrada de qualquer tipo (porta, Camada 3 ou VLAN), mas todos os filtros devem ser do mesmo tipo.

Se você violar alguma dessas restrições e confirmar uma configuração que não esteja em conformidade, o Junos OS rejeita os filtros excessivos. Por exemplo, se você configurar filtros de porta de entrada de 300 entradas e 300 filtros de camada 3 de entrada e tentar confirmar a configuração, o Junos OS faz o seguinte (novamente assumindo um termo por filtro):

• Aceita os 300 filtros de porta de entrada (armazenando-os em duas fatias de memória).

• Aceita os primeiros 256 filtros de entrada de Camada 3 que processa (armazenando-os na terceira fatia de memória).

• Rejeita os 44 filtros de camada 3 de entrada restantes.

Se você não tiver espaço na TCAM e não conseguir instalar um filtro de firewall, poderá configurar o seu switch para enviar mensagens de erro das seguintes maneiras:

• Digite para enviar mensagens de erro para um arquivo de syslog.set system syslog file filename pfe emergency

• Digite para enviar mensagens de erro para o console.set system syslog console pfe emergency

• Digite para enviar mensagens de erro para uma sessão terminal de SSH.set system syslog user user-login pfe emergency

Quando você configura um filtro de firewall, o termo declaração na configuração do filtro de firewall fornece um amplo conjunto de condições de correspondência. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir uma única ou múltiplas condições de correspondência com base no seu requisito. Quando um pacote combina com um filtro, o dispositivo toma a ação especificada no termo. A escalabilidade dos filtros de firewall geralmente depende do número de condições de correspondência usadas.

Em cenários típicos de implantação, você só precisará usar um subconjunto de condições de correspondência. Com a introdução de perfis, você pode usar um dos perfis de filtro de firewall disponíveis com condições de correspondência pré-definidas para aumentar o número de filtros de firewall usados para alcançar a escala máxima.

Você pode configurar perfis de filtros de firewall para comutação de entrada familiar e baseada em Ethernet. Use a declaração de configuração de perfis no nível de hierarquia [editar o firewall de opções de encaminhamento de pacotes] para configurar perfis de filtro de firewall.

A tabela a seguir descreve os perfis do filtro de firewall e as condições de correspondência pré-definidas para comutação baseada em inet e Ethernet.

Você pode usar o comando CLI para visualizar os detalhes dos perfis do filtro de firewall.show pfe filter hw profile-info

Para alcançar a escala máxima do filtro de firewall, é recomendável aplicar filtros de nível de interface (Camada 2 ou Camada 3) e distribuir os filtros igualmente nas interfaces de diferentes pipelines de processamento de pacotes. Cada conjunto de interfaces é mapeado em um pipeline de processamento de pacotes que lida com os pacotes recebidos nessas interfaces. Neste caso, os filtros de firewall são instalados no espaço de memória TCAM do pipeline de processamento de pacotes mapeado para a respectiva interface.

Quando um pacote entra em uma interface, o filtro de firewall realiza ações de filtragem no pacote no pipeline de processamento de pacotes com base nas condições de correspondência antes de sair de uma interface de saída. No caso de vários pipelines de processamento de pacotes, quando os pacotes entram em um dispositivo por várias interfaces, o filtro de firewall realiza ações de filtragem nos pacotes que passam pelos respectivos pipelines de processamento de pacotes. Ter os filtros de nível de interface distribuídos igualmente pelas interfaces de diferentes pipelines de processamento de pacotes proporciona uma melhor escala

Você pode usar o comando CLI para visualizar os detalhes do pipeline de processamento de pacotes que cada interface física é mapeada.show pfe filter hw port-pipe-info A saída deste comando CLI também fornece informações sobre os filtros de firewall instalados em um pipeline de processamento de pacotes. Você pode usar essas informações para planejar e distribuir filtros de firewall em pipelines para alcançar a escala máxima.

A saída de amostra a seguir do comando CLI mostra os detalhes do pipeline de processamento de pacotes que cada interface física é mapeada para:show pfe filter hw port-pipe-info

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que aceitam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo de policiador.) Se o TCAM ficar completo, você não poderá comprometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e confirmar 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores serão usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é cometido porque não há espaço de memória disponível para os contadores.

Aqui estão mais alguns exemplos:

• Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço de TCAM suficiente para o contador.

• Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os seguintes dois filtros de saída:

  • Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

  • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é cometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)

Você pode impedir que esse problema aconteça, garantindo que os termos do filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que os termos que incluem policiais. Nesta circunstância, o Junos OS compromete os policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

• Você tem termos de filtro de firewall de saída 1024 com ações contrárias.

• Mais tarde, em seu arquivo de configuração, você terá um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação do policial.

Você pode comprometer o filtro com sucesso com 10 termos, embora não haja espaço de TCAM suficiente para os contadores implícitos do policiador. O policial está comprometido sem os contadores.

Você pode configurar os policiais para serem específicos do filtro. Isso significa que o Junos OS cria apenas uma instância policial, não importa quantas vezes o policial seja mencionado. Quando você faz isso, a limitação de taxa é aplicada no agregado, por isso, se você configurar um policial para descartar o tráfego que excede 1 Gbps e fazer referência ao policiador em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policiador específico do filtro é afetado pela forma como os termos do filtro de firewall que fazem referência ao policiador são armazenados em memória endereçada de conteúdo ternário (TCAM). Se você criar um policiador específico do filtro e fazer referência a ele em vários termos de filtro de firewall, o policiador permite mais tráfego do que o esperado se os termos forem armazenados em diferentes fatias de TCAM. Por exemplo, se você configurar um policial para descartar o tráfego que excede 1 Gbps e fazer referência ao policiador em três termos diferentes que são armazenados em três fatias de memória separadas, a largura de banda total permitida pelo filtro é de 3 Gbps, não 1 Gbps.

Para evitar que esse comportamento inesperado aconteça, use as informações sobre fatias de TCAM acima para organizar seu arquivo de configuração para que todos os termos de filtro de firewall que fazem referência a um determinado policial específico de filtro sejam armazenados na mesma fatia de TCAM.

Você pode usar filtros de firewall junto com instâncias de roteamento virtual para especificar diferentes rotas para que os pacotes viajem em suas redes. Para configurar esse recurso — chamado encaminhamento baseado em filtro, você especifica um filtro e critérios de correspondência e depois especifica a instância de roteamento virtual para a qual enviar pacotes. Os filtros usados dessa forma também consomem memória em um TCAM adicional. Veja como entender a escalabilidade do filtro FIP Snooping, FBF e MVR para obter mais informações.Understanding FIP Snooping, FBF, and MVR Filter Scalability A seção FBF Filter VFP TCAM Consumption neste tópico aborda especificamente o número de filtros suportados ao usar o encaminhamento baseado em filtro.