Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

规划要创建的防火墙过滤器数量

支持的防火墙过滤器的最大数量

表 1显示了每台交换机支持的最大防火墙过滤器数。总在聚合中应用过滤器数量。例如,在 QFX5200 和 QFX5210 交换机上,您可以在输入方向上共768个术语,并在输出方向上应用1024个术语。交换机支持的实际过滤器数量取决于过滤器在三元内容寻址内存(TCAM)中的存储方式。

对于运行 Junos OS Junos OS 版本 20.3R1 或更高版本的 QFX5120-48Y 和 EX4650 交换机,您可以启用 命令将环路过滤器术语的默认系统限制提高 [set chassis loopback-firewall-optimization 至 IPv6 的 768 和 IPv4 的 1152 个术语。

要查看交换机上已编程了多少个过滤器,请输入 show pfe filter hw summary 命令。在QFX5220交换机上,使用 shell 模式查看过滤器数量。要进入外壳模式,请输入start shell命令,并cli-pfe在提示时键入访问 PFE CLI 模式。

表 1: 支持的防火墙过滤器的最大数量
过滤器类型 QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

入口

768

1536

1536

6144

768

8192

进出

1024

1024

2048

1024或2048

1024

512 (QFX5220)

8192

如何增加防火墙过滤器数量

您可以通过多种方式增加设备上防火墙过滤器的数量:

  • (QFX5220)要创建超过 512 个出口 VLAN 过滤器,请指定第一个 VLAN ID 为 6,将第二个 VLAN ID 指定为 7,将第三个 VLAN ID 指定为 5 ,以此类推。对于您配置的每个 VLAN,该数字增加1,并继续通过 VLAN ID 1029。如果您要创建的出口 VLAN 过滤器数少于512个,但希望这些过滤器中的条款总数超过512,请确保您以相同方式编号 VLAN Id。否则,允许的条款或过滤器总数将小于1024,并将保留为512。

  • 从 Junos OS Release 19.1 R1 开始,您可以使用选项将egress-to-ingress QFX5110 上的出口 VLAN 防火墙过滤器数从1024增加到2048。您可以在from层次结构中[edit firewall]的语句下包括此选项。

    从 Junos OS 演化版 19.4R2 开始,您可以在 QFX5220 上配置多达 2000 个出口防火墙过滤器,方法为在 层次结构级别包含 语句 egress-scaleeracl-profile[edit system packet-forwarding-option firewall] 下的选项。只有出口方向(路由信息流退出设备)才支持此功能。

    配置此功能时,请考虑以下事项:

    • 不能将匹配条件相同的过滤器应用于不同的出口 V VPN 或第 3 层接口。

    • 您不能在 GRE 接口上应用出口扩展。

    • 如果数据包匹配具有不同资格的多个过滤器,并且您在不同出口接口上应用,则可能会导致不可预测的行为。

    • 只能在全局 egress-scale 模式下配置 选项。新的 cli 配置将在全局模式下提供。一旦用户以出口规模(出口到入口)模式配置 ERACL 组,它将无法以旧方式配置 ERACL,例如,无需使用 IFP 摄像机空间。换言之,不支持混合模式中的 ERACL。

TCAM

防火墙过滤器的三元内容寻址内存(TCAM)划分为容纳256术语的片。配置防火墙过滤器时,内存片中的所有术语都必须位于相同类型的过滤器中,并且以相同的方向应用。一旦提交过滤器,就会保留内存片。例如,如果您创建端口过滤器并在输入方向上应用,则会保留内存片,仅存储入口端口过滤器。如果您仅创建并应用一个入口端口过滤器,并且该过滤器只有一个术语,则此扇区的其余部分将不再使用,并且对于其他过滤器类型不可用。

注:

在 EVPN 环境中,QFX5200系列交换机最多支持 512 个 TCAM 条目。

例如,假设您创建并应用 256 个入口端口过滤器,其中每个搜索词一个术语,以便填充一个内存切片。这会使两个内存扇区可用于入口过滤器。(在这种情况下,入口术语的最大数量为768。)如果随后使用一个术语创建和应用入口第3层过滤器,则会为入口第3层过滤器保留另一个内存片。与以前一样,切片的其余部分不可用,不可用于不同的过滤器类型。现在,任何入口过滤器类型都有一个存储器扇区可用。

现在,假设您已创建并应用 VLAN 入口过滤器。最终内存片是为 VLAN 入口过滤器保留的。为入口过滤器分配内存(再次假设每个过滤器一项)为:

  • 片1:用256入口端口过滤器填充。您不能再提交任何入口端口过滤器。

  • 片2:包含一个带有一个术语的入口第3层过滤器。您可以在入口第3层过滤器中提交255更多术语。

  • 片3:包含一个带有一个术语的入口 VLAN 过滤器。您可以在入口 VLAN 过滤器中提交255更多术语。

下面是另一个示例。假设您为每个过滤器创建 257 个入口端口过滤器,其中每个过滤器一个术语 ,也就是说,您创建的术语比单个内存切片可以容纳的术语多一个。当您应用过滤器并提交配置时,过滤器内存分配为:

  • 片1:用256入口端口过滤器填充。您不能再应用更多的入口端过滤器。

  • 片2:包含一个入口端口过滤器。您可在入口端口过滤器中应用255个术语。

  • 片3:未分配此切片。您可以在任何类型(端口、第3层或 VLAN)的入口过滤器中创建并应用256术语,但所有过滤器的类型必须相同。

注:

以上所有示例也适用于出口过滤器。区别在于使用四个内存切片,因为 IPv4 和 IPv6 第3层过滤器存储在单独的片中。出口过滤器的内存片大小与入口过滤器相同,因此最大过滤器数为相同(1024)。

避免配置太多过滤器

如果您违反任何这些限制并提交不合规的配置,Junos OS 会拒绝过多的过滤器。例如,如果您配置300入口端口过滤器和300入口第3层过滤器并尝试提交配置,Junos OS 执行以下操作(同样假定每个过滤器一个术语):

  • 接受300入口端口过滤器(将其存储在两个内存片中)。

  • 接受前256入口第3层过滤器 it 进程(将其存储在第三个内存切片中)。

  • 拒绝其余44入口第3层过滤器。

注:

重新启动设备之前,请确保从配置中删除过多的过滤器(例如,其余的44入口层过滤器)。如果重新启动配置不兼容的设备,则很难预测重新启动之后安装了哪些过滤器。使用上面的示例,最初拒绝的44入口3层过滤器可能已安装,而原来被接受的端口过滤器的44可能被拒绝。

配置 TCAM 错误消息

如果您缺乏 TCAM 空间且无法安装防火墙过滤器,您可以将交换机配置为通过以下方式发送错误消息:

  • Enter set system syslog file filename pfe emergency将错误消息发送到 syslog 文件。

  • Enter set system syslog console pfe emergency将错误消息发送到控制台。

  • Enter set system syslog user user-login pfe emergency将错误消息发送至 SSH 终端会话。

监管器如何限制出口过滤器

在某些交换机上,您配置的出口监管器的数量会影响允许的出口防火墙过滤器的总数。每个监管器都有两个隐性计数器,用于在1024条目 TCAM 中占用两个条目。它们用于计数器,包括配置为防火墙过滤器术语中的操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,而与监管器类型无关,一个用于 nongreen 数据包。)如果 TCAM 变满,您将无法提交带有计数器的术语的任何更多出口防火墙过滤器。例如,如果您配置并提交512出口监管器(双色、三色或两种监管器类型的组合),则计数器的所有内存条目都将被占用。如果稍后在您的配置文件中插入额外的出口防火墙过滤器,其中还包括计数器在内的术语,则不会提交这些过滤器中的任何条款,因为没有用于计数器的可用内存空间。

下面是一些更多示例:

  • 假设您配置的出口过滤器总共包括512监管器和无计数器。稍后在配置文件中包含包含10个术语的其他出口过滤器,其中有一个计数器操作修饰符。由于没有足够的 TCAM 空间用于计数器,此过滤器中的条款均未提交。

  • 假设您配置的出口过滤器总共包括500监管器,因此 1000 TCAM 条目已被占用。稍后在配置文件中包括以下两个出口过滤器:

    • 过滤 A,20个术语和20个计数器。此过滤器中的所有术语均已提交,因为有足够的 TCAM space 用于所有计数器。

    • 过滤器 B 位于过滤器 A 之后,包含五个术语和五个计数器。由于没有足够的内存空间可用于所有计数器,此过滤器中的任何条款均未提交。(需要五个 TCAM 条目,但只有四项可用。)

您可以通过确保在您的配置文件中放置带有计数器操作的出口防火墙条款,而不是包括监管器的术语,从而阻止此问题发生。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管器。例如,假设以下内容:

  • 您有1024出口防火墙过滤器术语和计数器操作。

  • 稍后在您的配置文件中,您有一个包含10个条款的出口过滤器。任何条款都没有计数器,但一个没有监管器操作修饰符。

即使没有足够的 TCAM 空间用于监管器的隐式计数器,也可以使用10个条件成功提交过滤器。监管器在没有计数器的情况下提交。

规划特定于过滤的监管器

您可以将监管器配置为特定于过滤器。这意味着无论监管器是多少次被引用,Junos OS 都只创建一个监管器实例。这样做时,将综合应用速率限制,因此,如果将策略程序配置为丢弃超过 1 Gbps 的流量,并且以三种不同术语引用该策略程序,则过滤器允许的总带宽为 1 Gbps。但是,过滤特定监管器的行为会受到以下几个方面的影响:如何将引用监管器的防火墙过滤器术语存储在三元内容寻址内存(TCAM)中。如果您创建了特定于过滤器的监管器并在多个防火墙过滤器术语中引用,则当这些术语存储在不同的 TCAM 片中时,监管器允许的流量比预期的多。例如,如果将策略程序配置为丢弃超过 1 Gbps 的信息流,并引用三个单独内存切片中存储的三种不同术语中的策略程序,则过滤器允许的总带宽为 3 Gbps,而非 1 Gbps。

为避免发生这种意外行为,请使用上面有关 TCAM 切片的信息来组织您的配置文件,使引用特定过滤器的监管器的所有防火墙过滤器术语均存储在相同的 TCAM 片中。

基于过滤器的转发规划

您可以将防火墙过滤器与虚拟路由实例一起使用,以便为要在其网络中传播的数据包指定不同的路由。要设置此功能(称为基于过滤器的转发),请指定过滤器和匹配标准,然后指定要将数据包发送到的虚拟路由实例。以此方式使用的过滤器也会占用额外 TCAM 的内存。有关详细信息,请参阅了解 FIP 侦听、FBF 和 MVR 过滤器可扩展性。本主题中的 FBF 过滤器 VFP TCAM 消耗 部分专门介绍使用基于过滤器的转发时支持的过滤器数量。

注:

基于过滤器的转发不适用于某些 Juniper 交换机上的 IPv6 接口。

发布历史记录表
版本
说明
19.4R2-EVO
从 Junos OS 演化版 19.4R2 开始,您可以在 QFX5220 上配置多达 2000 个出口防火墙过滤器,方法为在 层次结构级别包含 语句 egress-scaleeracl-profile[edit system packet-forwarding-option firewall] 下的选项。
19.1R1
从 Junos OS Release 19.1 R1 开始,您可以使用选项将egress-to-ingress QFX5110 上的出口 VLAN 防火墙过滤器数从1024增加到2048。