Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos filtros de firewall e do modo de serviços de rede aprimorados

Em condições normais, cada filtro de firewall é gerado em dois formatos diferentes - compilado e baseado em termos. O formato compilado é usado pelo kernel do mecanismo de roteamento (RE), FPCs e MS-DPs. O formato baseado em termos é usado por MPCs. Os filtros de firewall compilados são duplicados para cada interface ou interface lógica à qual são aplicados. Os filtros baseados em termos, em vez de serem duplicados, são referenciados por cada interface ou interface lógica.

Quando uma combinação de MPCs e quaisquer outras placas preenchem um chassi, é necessário criar os dois formatos de arquivo de filtro de firewall. Na maioria das redes, a criação de formatos de filtro e qualquer quantidade de duplicação para filtros de firewall compilados não afeta o roteador. No entanto, em redes de gerenciamento de assinantes que incluem milhares de interfaces de assinantes configuradas estaticamente, a criação de filtros em vários formatos e a duplicação desses filtros para cada interface pode utilizar uma grande parte dos recursos de memória do roteador. Você pode usar o modo de Serviços de Rede IP Avançados ou o modo de Serviços de Rede Ethernet Avançados para melhorar a escala e o desempenho específicos dos filtros de roteamento em uma rede de acesso de assinante que usa interfaces de assinante configuradas estaticamente.

Em configurações em que as interfaces são criadas estática ou dinamicamente e os filtros de firewall são aplicados dinamicamente, você deve configurar os serviços de rede do chassi para serem executados no modo aprimorado. Em configurações em que as interfaces são criadas estaticamente e os filtros de firewall são aplicados estaticamente, você deve configurar os serviços de rede do chassi para serem executados no modo aprimorado e também configurar cada filtro de firewall para o modo aprimorado.

Observação:

Não use o modo aprimorado para filtros de firewall destinados ao tráfego do plano de controle. A filtragem do plano de controle é tratada pelo kernel do Mecanismo de Roteamento, que não pode usar o formato baseado em termos dos filtros de modo aprimorado.

A Tabela 1 mostra as opções de configuração ao determinar o uso do modo de serviços de rede aprimorados.

Tabela 1: Modo de serviços de rede aprimorados e determinação do caso de uso do filtro de firewall

Configuração de interface e filtro

Modo aprimorado de chassi necessário

Filtro de firewall modo aprimorado necessário

Interfaces criadas dinamicamente e filtros aplicados dinamicamente

Sim

Não

Interfaces criadas estaticamente e filtros aplicados dinamicamente

Sim

Não

Interfaces criadas estaticamente e filtros aplicados estaticamente

Sim

Sim

Para obter economias significativas de recursos para o roteador, combine a configuração do modo aprimorado de chassi e filtro da seguinte maneira:

  • Instale apenas MPCs no chassi.

    Observação:

    A configuração de serviços de rede de chassi para executar um dos modos de serviços de rede aprimorados resulta no roteador habilitando apenas MPCs e MS-DPCs. Como os MS-DPCs usam o formato de filtro de firewall compilado, um chassi de roteador configurado para um dos modos de serviços de rede aprimorados, a configuração de filtros de firewall padrão (não aprimorados) para uso com qualquer MS-DPCs pode diminuir a eficiência ideal dos recursos.

  • Ao configurar interfaces estáticas no roteador, configure os serviços de rede do chassi para executar o modo de serviços de rede IP aprimorados ou o modo de serviços de rede Ethernet aprimorados.

  • Ao aplicar estaticamente filtros de firewall a interfaces criadas estaticamente, configure todos os filtros de firewall para o modo aprimorado para limitar a criação de filtro apenas ao formato baseado em termos.

    Observação:

    Todos os filtros de firewall que não estão configurados para o modo aprimorado são criados em formato compilado e baseado em termos, mesmo que o chassi esteja executando um dos modos de serviços de rede aprimorados. Somente filtros de firewall baseados em termos (aprimorados) serão gerados, independentemente da configuração da instrução noedit chassis network-services nível de enhanced-mode [] hierarquia, se qualquer uma das seguintes condições for verdadeira:

    • As condições flexíveis de correspondência de filtro são configuradas [edit firewall family family-name filter filter-name term term-name from] nos níveis de hierarquia ou [edit firewall filter filter-name term term-name from] .

    • Uma ação push ou pop de cabeçalho de túnel, como encapsular ou descapsular GRE, é configurada no nível da [edit firewall family family-name filter filter-name term term-name then] hierarquia.

    • As condições de correspondência de protocolo de payload são configuradas [edit firewall family family-name filter filter-name term term-name from] nos níveis de hierarquia ou [edit firewall filter filter-name term term-name from] .

    • Uma correspondência de cabeçalho de extensão é configurada [edit firewall family family-name filter filter-name term term-name from] nos níveis de hierarquia or [edit firewall filter filter-name term term-name from] .

    • É configurada uma condição de correspondência que só funciona com placas MPC, como filtros de ponte de firewall para tráfego IPv6.
    Atenção:

    Qualquer filtro de firewall que atenda aos critérios anteriores não será aplicado à interface de loopback, lo0, de FPCs baseados em DPC. Isso significa que os filtros baseados em termos (aprimorados) configurados para uso na interface de loopback de um FPC baseado em DPC não serão aplicados. Isso deixará o RE desprotegido por esse filtro.

Documentação relacionada