Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtros de firewall e visão geral do modo de serviços de rede aprimorados

Em condições normais, cada filtro de firewall é gerado em dois formatos diferentes: compilado e baseado em termo. O formato compilado é usado pelo kernel, FPCs e MS-DPs do mecanismo de roteamento (RE). O formato baseado em termo é usado por MPCs. Os filtros de firewall compilados são duplicados para cada interface ou interface lógica à qual são aplicados. Os filtros baseados em termo, em vez de serem duplicados, são referenciados por cada interface ou interface lógica.

Quando uma combinação de MPCs e quaisquer outras placas povoam um chassi, a criação de ambos os formatos de arquivo de filtro de firewall é necessária. Na maioria das redes, a criação de formatos de filtro e qualquer quantidade de duplicação para filtros de firewall compilados não afeta o roteador. No entanto, em redes de gerenciamento de assinantes que incluem milhares de interfaces de assinantes configuradas estaticamente, criar filtros em vários formatos e duplicar esses filtros para cada interface pode utilizar uma grande parte dos recursos de memória do roteador. Você pode usar o modo Enhanced IP Network Services ou o modo Enhanced Ethernet Network Services para melhorar o dimensionamento e o desempenho específicos para filtros de roteamento em uma rede de acesso de assinantes que usa interfaces de assinantes configuradas estaticamente.

Nas configurações em que as interfaces são criadas de forma estatística ou dinâmica e os filtros de firewall são aplicados dinamicamente, você deve configurar os serviços de rede do chassi para funcionar em modo aprimorado. Nas configurações em que as interfaces são criadas estaticamente e os filtros de firewall são aplicados estaticamente, você deve configurar serviços de rede de chassi para ser executado em modo aprimorado e também configurar cada filtro de firewall para um modo aprimorado.

Nota:

Não use um modo aprimorado para filtros de firewall destinados ao tráfego de plano de controle. A filtragem de plano de controle é tratada pelo kernel do Mecanismo de Roteamento, que não pode usar o formato baseado em termo dos filtros de modo aprimorados.

A Tabela 1 mostra as opções de configuração ao determinar o uso aprimorado do modo de serviços de rede.

Tabela 1: Modo aprimorado de serviços de rede e determinação de caso de uso de filtro de firewall

Configuração de interface e filtro

Modo aprimorado de chassi necessário

Modo aprimorado de filtro de firewall necessário

Interfaces criadas dinamicamente e filtros aplicados dinamicamente

Sim

Não

Interfaces criadas estaticamente e filtros aplicados dinamicamente

Sim

Não

Interfaces criadas estaticamente e filtros aplicados estaticamente

Sim

Sim

Para obter uma economia significativa de recursos para o roteador, combine a configuração do modo aprimorado do chassi e do filtro da seguinte forma:

  • Instale apenas MPCs no chassi.

    Nota:

    Configurar serviços de rede de chassi para executar um dos modos de serviços de rede aprimorados resulta no roteador habilitando apenas MPCs e MS-DPCs. Como os MS-DPCs usam um formato de filtro de firewall compilado, um chassi de roteador configurado para um dos modos de serviços de rede aprimorados, configurando filtros de firewall padrão (não aprimorados) para uso com quaisquer MS-DPCs pode diminuir a eficiência de recursos ideal.

  • Ao configurar interfaces estáticas no roteador, configure serviços de rede de chassi para executar o modo Enhanced IP Network Services ou o modo Ethernet Network Services aprimorado.

  • Ao aplicar filtros de firewall estaticamente em interfaces criadas estaticamente, configure quaisquer filtros de firewall para um modo aprimorado para limitar a criação do filtro a apenas um formato baseado em termo.

    Nota:

    Quaisquer filtros de firewall que não estejam configurados para um modo aprimorado são criados em formato compilado e baseado em prazo, mesmo que o chassi esteja executando um dos modos de serviços de rede aprimorados. Somente filtros de firewall baseados em termo (aprimorados) serão gerados, independentemente da configuração da enhanced-mode declaração no nível [edit chassis network-services] de hierarquia, se algum dos seguintes for verdadeiro:

    • As condições flexíveis de correspondência de filtros estão configuradas nos níveis de [edit firewall family family-name filter filter-name term term-name from] hierarquia.[edit firewall filter filter-name term term-name from]

    • Um push de cabeçalho de túnel ou ação pop, como o encapsulamento ou descapsulado GRE, é configurado no nível da [edit firewall family family-name filter filter-name term term-name then] hierarquia.

    • As condições de correspondência de protocolo de carga estão configuradas nos níveis de [edit firewall family family-name filter filter-name term term-name from] hierarquia ou [edit firewall filter filter-name term term-name from] de hierarquia.

    • Uma combinação de cabeçalho de extensão está configurada nos níveis de [edit firewall family family-name filter filter-name term term-name from] hierarquia.[edit firewall filter filter-name term term-name from]

    • Uma condição de correspondência é configurada que só funciona com placas MPC, como filtros de ponte de firewall para tráfego IPv6.
    Aviso:

    Qualquer filtro de firewall que atende aos critérios anteriores não será aplicado à interface de loopback, lo0, de FPCs baseados em DPC. Isso significa que os filtros baseados em termo (aprimorados) configurados para uso na interface de loopback de um FPC baseado em DPC não serão aplicados. Isso deixará o RE desprotegido por esse filtro.

Documentação relacionada