Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防火墙过滤器配置故障排除

使用以下信息对防火墙过滤器配置进行故障排除。

防火墙过滤器配置返回 TCAM 消息中没有可用空间

Description

当防火墙过滤器配置超过可用的三元内容可寻址内存(TCAM)空间量时,系统将返回以下syslogd消息:

如果已应用到端口、VLAN 或第 3 层接口的防火墙过滤器超过 TCAM 表中的可用空间量,交换机在提交操作期间将返回此消息。未应用过滤器,但在 CLI 模块中完成了防火墙过滤器配置的提交操作。

解决方案

如果防火墙过滤器配置超过可用 TCAM 表空间量,则必须使用较少的过滤器术语配置新的防火墙过滤器,以便过滤器的空间要求不要超过 TCAM 表中的可用空间。

您可以执行以下任一过程来纠正问题:

要删除过滤器及其绑定并将新的较小防火墙过滤器应用于相同的绑定:

  1. 删除过滤器及其与端口、V VPN 或第 3 层接口的绑定。例如:

  2. 提交更改:

  3. 使用不超过可用 TCAM 空间量的较少术语配置较小的过滤器。例如:

  4. 将新防火墙过滤器应用于(绑定)端口、VLAN 或第 3 层接口。例如:

  5. 提交更改:

要应用新的防火墙过滤器并覆盖现有绑定,但不删除原始过滤器:

  1. 使用少于原始过滤器的术语配置防火墙过滤器:

  2. 将防火墙过滤器应用于端口、VLAN 或第 3 层接口以覆盖原始过滤器的绑定,例如:

    由于在每个 VLAN 每个方向不能应用多个防火墙过滤器,因此原始防火墙过滤器到 VLAN 的绑定将被新的防火墙过滤器new-ingress-vlan-rogue-block覆盖。

  3. 提交更改:

注:

原始过滤器不会删除,仍可在配置中使用。

过滤器计数先前丢弃的数据包

说明

如果您在物理接口的同一方向上配置两个或更多过滤器,并且其中一个过滤器包含计数器,则在以下情况适用时,计数器将不正确:

  • 首先配置应用于数据包的过滤器以丢弃某些数据包。例如,假设您有一个 VLAN 过滤器,可接受发送到 10.10.1.0/24 地址的数据包,并隐式丢弃发送至任何其他地址的数据包。您将过滤器应用到输出admin方向上的 VLAN,并且接口 xe-0/0/1 是该 vlan 的成员。

  • 您可以配置后续过滤器以接受和统计由第一个过滤器丢弃的数据包。在此示例中,您有一个端口过滤器,可接受并计算发送至 192.168.1.0/24 地址的数据包,并在输出方向上同时应用于 xe-0/0/1。

首先应用出口 VLAN 过滤器并正确丢弃发送至 192.168.1.0/24 地址的数据包。随后将应用出口端口过滤器,并将丢弃的数据包计为匹配的数据包。数据包不会转发,但出口端口过滤器显示的计数器不正确。

请注意,过滤器的应用顺序取决于其应用方向,如下所示:

入口过滤器:

  1. 端口(第2层)过滤器

  2. VLAN 过滤器

  3. 路由器(第3层)过滤器

出口过滤器:

  1. 路由器(第3层)过滤器

  2. VLAN 过滤器

  3. 端口(第2层)过滤器

解决方案

这是预期的行为。

未计数的匹配数据包

说明

如果使用物理接口的计数器配置两个出口过滤器,并且数据包与两个过滤器都匹配,则只有其中一个计数器包括该数据包。

例如:

  • 为接口 xe-0/0/1 的计数器配置出口端口过滤器。

  • 您可使用adminvlan 的计数器配置出口 VLAN 过滤器,并且接口 xe-0/0/1 是该 vlan 的成员。

  • 数据包与两个过滤器都匹配。

在这种情况下,数据包仅由一个计数器计数,即使它与两个过滤器匹配。

解决方案

这是预期的行为。

编辑过滤器时的计数器复位

说明

如果编辑防火墙过滤器术语,与同一过滤器中任何术语相关联的任何计数器的值均设置为0,包括过滤器所引用的任何监管器的隐式计数器。请考虑以下示例:

  • 假设您的过滤器具有term1term2term3,并且每个术语都有一个已盘点匹配数据包的计数器。如果您以任何方式编辑任何条款,则所有术语的计数器都将重置为0。

  • 假设您的过滤器具有term1term2。还假定term2具有policer action 修饰符且监管器的隐性计数器已计算1000匹配数据包。如果您进行term1编辑term2或以任何方式进行, term2则将监管器参考的计数器重置为0。

解决方案

这是预期的行为。

不能在同一术语中包括丢失优先级和监管器操作

说明

在 QFX 系列交换机的同一个防火墙过滤器术语中,不能同时包含以下两个操作:

  • loss-priority

  • policer

如果您这样做,当您尝试提交配置时,您会看到以下错误消息:"如果配置了丢失优先级,则不支持策略程序操作。"

解决方案

这是预期的行为。

无法出口过滤源自 QFX 交换机的某些信息流

说明

在 QFX 系列交换机上,如果信息流产生在 QFX 交换机上,则不能过滤在输出方向上应用的防火墙过滤器的某些流量。此限制适用于 ICMP (ping)、STP、LACP 等协议的控制流量。

解决方案

这是预期的行为。

防火墙过滤器匹配条件不与 q 入 Q 通道一起使用

Description

如果您创建的防火墙过滤器包含的匹配条件dot1q-tagdot1q-user-priority将输入的过滤器应用到参与服务 VLAN 的中继端口,那么如果 q-q EtherType 未0x8100,则 match 条件不起作用。(当启用 Q in Q 通道时,中继接口将被视为服务提供商或数据中心网络的一部分,因此参与服务 Vlan。)

解决方案

这是预期的行为。要设置 Q-in-Q EtherType 0x8100,请在 层次结构级别 set dot1q-tunneling ethertype 0x8100 输入 [edit ethernet-switching-options] 语句。您还必须将链路的另一端配置为使用相同的 Ethertype。

带有专用 Vlan 的出口防火墙过滤器

说明

如果您将输出方向上的防火墙过滤器应用于主 VLAN,则该过滤器也适用于作为主 VLAN 成员的辅助 Vlan (当流量 egresses 具有主 vlan 标记或隔离 VLAN 标记时),如下所列:

  • 从辅助 VLAN 中继端口转发到混杂端口(中继或接入)的流量

  • 从辅助 VLAN 中继端口转发的流量,将隔离 VLAN 传送到 PVLAN 中继端口。

  • 从混杂端口(中继或访问)转发到辅助 VLAN 中继端口的流量

  • 从 PVLAN 中继端口转发的流量。至辅助 VLAN 中继端口

  • 从社区端口转发到混杂端口(中继或接入)的流量

如果将输出方向上的防火墙过滤器应用于主 VLAN,则过滤器不会应用于egresses 与社区 vlan 标记进行通信的流量,如下所列:

  • 从社区中继端口转发至 PVLAN 中继端口的流量

  • 从将一个社区 VLAN 传送到 PVLAN 中继端口的辅助 VLAN 中继端口转发的流量

  • 从混杂端口(中继或接入)转发到社区中继端口的流量

  • 从 PVLAN 中继端口转发的流量。到社区中继端口

如果您将输出方向上的防火墙过滤器应用于社区 VLAN,则以下行为适用:

  • 过滤器适用于从混杂端口(干线或接入)转发至社区中继端口的流量(因为 egresses 与社区 VLAN 标记通信)。

  • 过滤器适用于从社区端口转发至 PVLAN 中继端口的流量(因为与社区 VLAN 标记的信息流 egresses)。

  • 该过滤器会应用于从社区端口转发到混杂端口的流量(因为流量 egresses 带有主 VLAN 标记或未标记)。

解决方案

这些是预期的行为。仅当您将防火墙过滤器应用于输出方向上的专用 VLAN,并且在输入方向将防火墙过滤器应用于专用 VLAN 时,才会发生这些情况。

不支持出口过滤 L2PT 流量

说明

QFX3500 交换机上不支持出口过滤 L2PT 流量。也就是说,如果您将 L2PT 配置为在接口上将一个协议隧道,则也不能使用防火墙过滤器来按输出方向在该接口上过滤该协议的流量。如果您提交配置以实现此目的,则不会将防火墙过滤器应用于 L2PT 通道流量。

解决方案

这是预期的行为。

某些情况下不能丢弃 BGP 数据包

说明

使用应用于回传接口的防火墙过滤器或将其应用于第3层接口时,无法丢弃其生存时间(TTL)值大于1的 BGP 数据包。TTL 值为1或0的 BGP 数据包可使用应用于回传接口的防火墙过滤器或应用于第3层接口的输入丢弃。

解决方案

这是预期的行为。

监管器的无效统计信息

Description

如果在一个防火墙过滤器中对128以上的术语应用单速率双色监管器,则该show firewall命令的输出将显示监管器的错误数据。

解决方案

这是预期的行为。

监管器可限制出口过滤器

说明

在某些交换机上,您配置的出口监管器的数量会影响允许的出口防火墙过滤器的总数。每个监管器都有两个隐性计数器,用于在1024条目 TCAM 中占用两个条目。它们用于计数器,包括配置为防火墙过滤器术语中的操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,而与监管器类型无关,一个用于 nongreen 数据包。)如果 TCAM 变满,您将无法提交带有计数器的术语的任何更多出口防火墙过滤器。例如,如果您配置并提交512出口监管器(双色、三色或两种监管器类型的组合),则计数器的所有内存条目都将被占用。如果稍后在您的配置文件中插入额外的出口防火墙过滤器,其中还包括计数器在内的术语,则不会提交这些过滤器中的任何条款,因为没有用于计数器的可用内存空间。

下面是一些附加示例:

  • 假设您配置的出口过滤器总共包括512监管器和无计数器。稍后在配置文件中包含包含10个术语的其他出口过滤器,其中有一个计数器操作修饰符。由于没有足够的 TCAM 空间用于计数器,此过滤器中的条款均未提交。

  • 假设您配置的出口过滤器总共包括500监管器,因此 1000 TCAM 条目已被占用。稍后在配置文件中包括以下两个出口过滤器:

    • 过滤 A,20个术语和20个计数器。此过滤器中的所有术语均已提交,因为有足够的 TCAM space 用于所有计数器。

    • 过滤器 B 位于过滤器 A 之后,包含五个术语和五个计数器。由于没有足够的内存空间可用于所有计数器,此过滤器中的任何条款均未提交。(需要五个 TCAM 条目,但只有四项可用。)

解决方案

您可以通过确保在您的配置文件中放置带有计数器操作的出口防火墙条款比包含监管器的术语来避免此问题。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管器。例如,假设以下内容:

  • 您有1024出口防火墙过滤器术语和计数器操作。

  • 稍后在您的配置文件中,您有一个包含10个条款的出口过滤器。任何条款都没有计数器,但一个没有监管器操作修饰符。

即使没有足够的 TCAM 空间用于监管器的隐式计数器,也可以使用10个条件成功提交过滤器。监管器在没有计数器的情况下提交。