规划要创建的防火墙过滤器数量
支持的防火墙过滤器的最大数量
表 1显示了每台交换机支持的最大防火墙过滤器数。总在聚合中应用过滤器数量。例如,在 QFX5200 和 QFX5210 交换机上,您可以在输入方向上共768个术语,并在输出方向上应用1024个术语。交换机支持的实际过滤器数量取决于过滤器在三元内容寻址内存(TCAM)中的存储方式。
对于运行 Junos OS Junos OS 版本 20.3R1 或更高版本的 QFX5120-48Y 和 EX4650 交换机,您可以启用 命令将环路过滤器术语的默认系统限制提高 [set chassis loopback-firewall-optimization 至 IPv6 的 768 和 IPv4 的 1152 个术语。
| 过滤器类型 | QFX3500, QFX3600 | QFX5100, EX4600 | QFX5120, EX4650 | QFX5110 | QFX5200, QFX5210, QFX5220 | QFX10000 |
入口 |
768 |
1536 |
1536 |
6144 |
768 |
8192 |
进出 |
1024 |
1024 |
2048 |
1024或2048 |
1024 512 (QFX5220) |
8192 |
如何增加防火墙过滤器数量
您可以通过多种方式增加设备上防火墙过滤器的数量:
(QFX5220)要创建超过 512 个出口 VLAN 过滤器,请指定第一个 VLAN ID 为 6,将第二个 VLAN ID 指定为 7,将第三个 VLAN ID 指定为 5 ,以此类推。对于您配置的每个 VLAN,该数字增加1,并继续通过 VLAN ID 1029。如果您要创建的出口 VLAN 过滤器数少于512个,但希望这些过滤器中的条款总数超过512,请确保您以相同方式编号 VLAN Id。否则,允许的条款或过滤器总数将小于1024,并将保留为512。
从 Junos OS Release 19.1 R1 开始,您可以使用选项将
egress-to-ingressQFX5110 上的出口 VLAN 防火墙过滤器数从1024增加到2048。您可以在from层次结构中[edit firewall]的语句下包括此选项。从 Junos OS 演化版 19.4R2 开始,您可以在 QFX5220 上配置多达 2000 个出口防火墙过滤器,方法为在 层次结构级别包含 语句
egress-scaleeracl-profile[edit system packet-forwarding-option firewall]下的选项。只有出口方向(路由信息流退出设备)才支持此功能。配置此功能时,请考虑以下事项:
不能将匹配条件相同的过滤器应用于不同的出口 V VPN 或第 3 层接口。
您不能在 GRE 接口上应用出口扩展。
如果数据包匹配具有不同资格的多个过滤器,并且您在不同出口接口上应用,则可能会导致不可预测的行为。
只能在全局
egress-scale模式下配置 选项。新的 cli 配置将在全局模式下提供。一旦用户以出口规模(出口到入口)模式配置 ERACL 组,它将无法以旧方式配置 ERACL,例如,无需使用 IFP 摄像机空间。换言之,不支持混合模式中的 ERACL。
TCAM
防火墙过滤器的三元内容寻址内存(TCAM)划分为容纳256术语的片。配置防火墙过滤器时,内存片中的所有术语都必须位于相同类型的过滤器中,并且以相同的方向应用。一旦提交过滤器,就会保留内存片。例如,如果您创建端口过滤器并在输入方向上应用,则会保留内存片,仅存储入口端口过滤器。如果您仅创建并应用一个入口端口过滤器,并且该过滤器只有一个术语,则此扇区的其余部分将不再使用,并且对于其他过滤器类型不可用。
在 EVPN 环境中,QFX5200系列交换机最多支持 512 个 TCAM 条目。
例如,假设您创建并应用 256 个入口端口过滤器,其中每个搜索词一个术语,以便填充一个内存切片。这会使两个内存扇区可用于入口过滤器。(在这种情况下,入口术语的最大数量为768。)如果随后使用一个术语创建和应用入口第3层过滤器,则会为入口第3层过滤器保留另一个内存片。与以前一样,切片的其余部分不可用,不可用于不同的过滤器类型。现在,任何入口过滤器类型都有一个存储器扇区可用。
现在,假设您已创建并应用 VLAN 入口过滤器。最终内存片是为 VLAN 入口过滤器保留的。为入口过滤器分配内存(再次假设每个过滤器一项)为:
片1:用256入口端口过滤器填充。您不能再提交任何入口端口过滤器。
片2:包含一个带有一个术语的入口第3层过滤器。您可以在入口第3层过滤器中提交255更多术语。
片3:包含一个带有一个术语的入口 VLAN 过滤器。您可以在入口 VLAN 过滤器中提交255更多术语。
下面是另一个示例。假设您为每个过滤器创建 257 个入口端口过滤器,其中每个过滤器一个术语 ,也就是说,您创建的术语比单个内存切片可以容纳的术语多一个。当您应用过滤器并提交配置时,过滤器内存分配为:
片1:用256入口端口过滤器填充。您不能再应用更多的入口端过滤器。
片2:包含一个入口端口过滤器。您可在入口端口过滤器中应用255个术语。
片3:未分配此切片。您可以在任何类型(端口、第3层或 VLAN)的入口过滤器中创建并应用256术语,但所有过滤器的类型必须相同。
以上所有示例也适用于出口过滤器。区别在于使用四个内存切片,因为 IPv4 和 IPv6 第3层过滤器存储在单独的片中。出口过滤器的内存片大小与入口过滤器相同,因此最大过滤器数为相同(1024)。
避免配置太多过滤器
如果您违反任何这些限制并提交不合规的配置,Junos OS 会拒绝过多的过滤器。例如,如果您配置300入口端口过滤器和300入口第3层过滤器并尝试提交配置,Junos OS 执行以下操作(同样假定每个过滤器一个术语):
接受300入口端口过滤器(将其存储在两个内存片中)。
接受前256入口第3层过滤器 it 进程(将其存储在第三个内存切片中)。
拒绝其余44入口第3层过滤器。
重新启动设备之前,请确保从配置中删除过多的过滤器(例如,其余的44入口层过滤器)。如果重新启动配置不兼容的设备,则很难预测重新启动之后安装了哪些过滤器。使用上面的示例,最初拒绝的44入口3层过滤器可能已安装,而原来被接受的端口过滤器的44可能被拒绝。
配置 TCAM 错误消息
如果您缺乏 TCAM 空间且无法安装防火墙过滤器,您可以将交换机配置为通过以下方式发送错误消息:
Enter
set system syslog file filename pfe emergency将错误消息发送到 syslog 文件。Enter
set system syslog console pfe emergency将错误消息发送到控制台。Enter
set system syslog user user-login pfe emergency将错误消息发送至 SSH 终端会话。
如何使用配置文件扩大防火墙过滤器的规模
配置防火墙过滤器时,防火墙过滤器配置中的 术语 语句提供了一组广泛的匹配条件。匹配条件是数据包必须包含的字段和值,可视为匹配。您可以根据需求定义一个或多个匹配条件。当数据包与过滤器匹配时,设备将执行术语中指定的操作。防火墙过滤器的可扩展性通常取决于使用的匹配条件数量。
在典型的部署场景中,您只需要使用一个匹配条件的子集。引入配置文件后,您可以使用其中一个预定义匹配条件可用的防火墙过滤器配置文件来增加用于实现最大扩展的防火墙过滤器数量。
您可以为系列 inet 和基于以太网的交换配置防火墙过滤器配置文件。在 [edit system packet-forwarding-options firewall] 层次结构级别使用配置文件配置语句来配置防火墙过滤器配置文件。
对防火墙过滤器配置文件进行更改(通过选择配置文件,或从一个配置文件移动到另一个配置文件)时,数据包转发引擎将重新启动,这会造成流量中断。
下表介绍了防火墙过滤器配置文件以及 inet 和基于以太网的交换的预定义匹配条件。
| 家族类型 | 防火墙过滤器配置文件 | 匹配条件(预定义) | 配置层次结构 |
|---|---|---|---|
| inet (IPv4/IPv6) | profile1 |
ip-source 前缀列表 协议 接下来标头 源端口 目标端口 首个分片 是分段 icmp-代码 icmp 类型 tcp 建立 tcp-初始 tcp 标志 |
[edit system packet-forwarding-options firewall profiles inet profile1] |
| profile2 |
ip-源地址 ip6-source-address ip-source 前缀列表 ip6-source-prefix-list 协议 接下来标头 源端口 目标端口 首个分片 是分段 icmp-代码 icmp 类型 tcp 建立 tcp-初始 tcp 标志 dscp 优先 信息流类 减 跳跃-限制 |
[edit system packet-forwarding-options firewall profiles inet profile2] |
|
| 以太网交换 | profile1 |
源 mac 地址 目标-mac 地址 |
[edit system packet-forwarding-options firewall profiles ethernet-switching profile1] |
| profile2 |
源 mac 地址 目标-mac 地址 ether 类型 ip-源地址 ip-source 前缀列表 ip 协议 源端口 目标端口 接下来标头 |
[edit system packet-forwarding-options firewall profiles ethernet-switching profile2] |
|
选择防火墙过滤器配置文件时,必须应用作为预定义匹配条件子集一部分的匹配条件。如果应用不是防火墙过滤器配置文件预定义匹配条件子集的匹配条件,则会发生提交错误。例如,如果选择 inet 过滤器并应用匹配条件 as ,且该条件不是预定义匹配条件的一部分,则提交操作期间将会显示一个错误,表示匹配不是 profile1ip-destination-addressip-destination-addressprofile1 inet 过滤器的一部分。
您可以使用 CLI show pfe filter hw profile-info 命令查看防火墙过滤器配置文件的详细信息。
为了实现最大防火墙过滤器规模,建议应用接口级别(第 2 层或第 3 层)过滤器,并在不同的数据包处理管道的接口上均匀分配过滤器。每组接口都映射到一个数据包处理管道,用于处理在这些接口上收到的数据包。在这种情况下,防火墙过滤器会安装到映射到相应接口的数据包处理管道的 TCAM 内存空间中。
当数据包进入接口时,防火墙过滤器会根据匹配条件对数据包处理管道中的数据包执行过滤操作,然后再退出出口接口。如果有多个数据包处理管道,当数据包通过多个接口进入设备时,防火墙过滤器对通过相应数据包处理管道的数据包执行过滤操作。让接口级别过滤器在不同数据包处理管道的接口上平均分布,提供更好的扩展能力
您可以使用 CLI 命令查看每个物理接口映射到的数据包处理 show pfe filter hw port-pipe-info 管道的详细信息。此命令的输出CLI数据包处理管道上安装的防火墙过滤器的信息。您可以使用这些信息来跨管道计划和分配防火墙过滤器,以实现最大扩展。
以下 CLI 命令的示例输出显示每个物理接口映射到的数据包处理管道 show pfe filter hw port-pipe-info 的详细信息:
user@host> show pfe filter hw port-pipe-info IFD Pipe et-0/0/0 1 et-0/0/1 1 ... et-0/0/10 0
监管器如何限制出口过滤器
在某些交换机上,您配置的出口监管器的数量会影响允许的出口防火墙过滤器的总数。每个监管器都有两个隐性计数器,用于在1024条目 TCAM 中占用两个条目。它们用于计数器,包括配置为防火墙过滤器术语中的操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,而与监管器类型无关,一个用于 nongreen 数据包。)如果 TCAM 变满,您将无法提交带有计数器的术语的任何更多出口防火墙过滤器。例如,如果您配置并提交512出口监管器(双色、三色或两种监管器类型的组合),则计数器的所有内存条目都将被占用。如果稍后在您的配置文件中插入额外的出口防火墙过滤器,其中还包括计数器在内的术语,则不会提交这些过滤器中的任何条款,因为没有用于计数器的可用内存空间。
下面是一些更多示例:
假设您配置的出口过滤器总共包括512监管器和无计数器。稍后在配置文件中包含包含10个术语的其他出口过滤器,其中有一个计数器操作修饰符。由于没有足够的 TCAM 空间用于计数器,此过滤器中的条款均未提交。
假设您配置的出口过滤器总共包括500监管器,因此 1000 TCAM 条目已被占用。稍后在配置文件中包括以下两个出口过滤器:
过滤 A,20个术语和20个计数器。此过滤器中的所有术语均已提交,因为有足够的 TCAM space 用于所有计数器。
过滤器 B 位于过滤器 A 之后,包含五个术语和五个计数器。由于没有足够的内存空间可用于所有计数器,此过滤器中的任何条款均未提交。(需要五个 TCAM 条目,但只有四项可用。)
您可以通过确保在您的配置文件中放置带有计数器操作的出口防火墙条款,而不是包括监管器的术语,从而阻止此问题发生。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管器。例如,假设以下内容:
您有1024出口防火墙过滤器术语和计数器操作。
稍后在您的配置文件中,您有一个包含10个条款的出口过滤器。任何条款都没有计数器,但一个没有监管器操作修饰符。
即使没有足够的 TCAM 空间用于监管器的隐式计数器,也可以使用10个条件成功提交过滤器。监管器在没有计数器的情况下提交。
规划特定于过滤的监管器
您可以将监管器配置为特定于过滤器。这意味着无论监管器是多少次被引用,Junos OS 都只创建一个监管器实例。这样做时,将综合应用速率限制,因此,如果将策略程序配置为丢弃超过 1 Gbps 的流量,并且以三种不同术语引用该策略程序,则过滤器允许的总带宽为 1 Gbps。但是,过滤特定监管器的行为会受到以下几个方面的影响:如何将引用监管器的防火墙过滤器术语存储在三元内容寻址内存(TCAM)中。如果您创建了特定于过滤器的监管器并在多个防火墙过滤器术语中引用,则当这些术语存储在不同的 TCAM 片中时,监管器允许的流量比预期的多。例如,如果将策略程序配置为丢弃超过 1 Gbps 的信息流,并引用三个单独内存切片中存储的三种不同术语中的策略程序,则过滤器允许的总带宽为 3 Gbps,而非 1 Gbps。
为避免发生这种意外行为,请使用上面有关 TCAM 切片的信息来组织您的配置文件,使引用特定过滤器的监管器的所有防火墙过滤器术语均存储在相同的 TCAM 片中。
基于过滤器的转发规划
您可以将防火墙过滤器与虚拟路由实例一起使用,以便为要在其网络中传播的数据包指定不同的路由。要设置此功能(称为基于过滤器的转发),请指定过滤器和匹配标准,然后指定要将数据包发送到的虚拟路由实例。以此方式使用的过滤器也会占用额外 TCAM 的内存。有关详细信息,请参阅了解 FIP 侦听、FBF 和 MVR 过滤器可扩展性。本主题中的 FBF 过滤器 VFP TCAM 消耗 部分专门介绍使用基于过滤器的转发时支持的过滤器数量。
基于过滤器的转发不适用于某些 Juniper 交换机上的 IPv6 接口。