Fehlerbehebung bei Firewall-Filtern
Verwenden Sie die folgenden Informationen, um Probleme bei der Konfiguration ihrer Firewall-Filter zu beheben.
Fehlerbehebung bei QFX10000-Switches
In diesem Abschnitt werden probleme beschrieben, die speziell für QFX10000-Switches auftreten:
- Kombinieren Sie nicht die Bedingungen für verschiedene Ebenen
- Layer-2-Pakete können nicht mit Firewall-Filtern verworfen werden
- Firewall-Filter protect-RE (Loopback) filtert keine Pakete, die auf EM0-Schnittstellen angewendet werden
Kombinieren Sie nicht die Bedingungen für verschiedene Ebenen
Auf QFX10000-Switches werden die Bedingungen für Layer 2 und andere Layer in einem family ethernet-switching Filter nicht kombiniert. (Schließen Sie beispielsweise keine Bedingungen ein, die MAC-Adressen und IP-Adressen im selben Filter entsprechen.) Wenn Sie dies tun, wird der Filter erfolgreich commit, funktioniert aber nicht. Außerdem wird die folgende Protokollmeldung angezeigt: L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.
Layer-2-Pakete können nicht mit Firewall-Filtern verworfen werden
Problem
Beschreibung
Layer 2 (L2)-Steuerungspakete wie das Link Layer Discovery Protocol (LLDP) und die Bridge Protocol Data Unit (BPDU) können mit Firewall-Filtern nicht verworfen werden.
Lösung
Konfigurieren Sie den DDoS-Schutz (Distributed Denial of Service) auf dem L2-Steuerpaket und setzen Sie die aggregierten Policer-Bandbreiten- und Burst-Werte auf den Mindestwert 1. Zum Beispiel
[edit system ddos-protection protocols protocol name]
user@host # set aggregate bandwidth 1
[edit system ddos-protection protocols protocol name]
user@host # set aggregate burst 1
Firewall-Filter protect-RE (Loopback) filtert keine Pakete, die auf EM0-Schnittstellen angewendet werden
Fehlerbehebung bei anderen Switches
In diesem Abschnitt werden Probleme beschrieben, die für andere QFX-Switches als QFX10000-Switches spezifisch sind. Diese Informationen gelten auch für OCX1100-Switches und EX4600-Switches.
- Firewall-Filterkonfiguration gibt einen in der TCAM-Nachricht verfügbaren Speicherplatz zurück
- Filterzählungen, die zuvor gelöschte Pakete
- Abgleich von Paketen nicht gezählt
- Zähler-Reset beim Bearbeitungsfilter
- Kann verlustpriorität und Policer-Aktionen nicht in derselben Laufzeit enthalten
- Bestimmte auf dem QFX-Switch ausgehende Datenverkehr kann nicht gefiltert werden
- Firewall-Filter entspricht Bedingung nicht mit Q-in-Q-Tunneling
- Ausgangs-Firewall-Filter mit privaten VLANs
- Ausgangsfilterung von L2PT-Datenverkehr nicht unterstützt
- BGP-Pakete können unter bestimmten Umständen nicht fallen
- Ungültige Statistiken für Policer
- Policer können Ausgangsfilter begrenzen
Firewall-Filterkonfiguration gibt einen in der TCAM-Nachricht verfügbaren Speicherplatz zurück
Problem
Beschreibung
Wenn eine Firewall-Filterkonfiguration den verfügbaren TCAM-Speicherplatz (Ternary Content Addressable Memory) übersteigt, gibt das System die folgende syslogd Meldung aus:
No space available in tcam. Rules for filter filter-name will not be installed.
Ein Switch gibt diese Meldung während des Commit-Vorgangs zurück, wenn der Firewall-Filter, der auf einen Port, VLAN oder eine Layer-3-Schnittstelle angewendet wurde, den in der TCAM-Tabelle verfügbaren Speicherplatz übersteigt. Der Filter wird nicht angewendet, aber der Commit-Vorgang für die Konfiguration der Firewall-Filter ist im CLI-Modul abgeschlossen.
Lösung
Wenn eine Firewallfilterkonfiguration den verfügbaren TCAM-Tabellenplatz übersteigt, müssen Sie einen neuen Firewall-Filter mit weniger Filterbedingungen konfigurieren, damit die Platzanforderungen für den Filter den in der TCAM-Tabelle verfügbaren Platz nicht überschreiten.
Sie können eine der folgenden Verfahren ausführen, um das Problem zu beheben:
So löschen Sie den Filter und seine Bindung und wenden den neuen kleineren Firewall-Filter auf dieselbe Bindung an:
Löschen Sie den Filter und seine Bindung an Ports, VLANs oder Layer 3-Schnittstellen. Zum Beispiel:
[edit] user@switch# delete firewall family ethernet-switching filter ingress-vlan-rogue-block user@switch# delete vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# delete vlans employee-vlan filter input ingress-vlan-rogue-block
Übernehmen Sie die Änderungen:
[edit] user@switch# commit
Konfigurieren Sie einen kleineren Filter mit weniger Bedingungen, die den verfügbaren TCAM-Speicherplatz nicht überschreiten. Zum Beispiel:
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block ...
Wenden Sie den neuen Firewall-Filter auf einen Port, ein VLAN oder eine Layer-3-Schnittstelle an (binden). Zum Beispiel:
[edit] user@switch# set vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
Übernehmen Sie die Änderungen:
[edit] user@switch# commit
So wenden Sie einen neuen Firewall-Filter an und überschreiben die vorhandene Bindung, löschen aber den ursprünglichen Filter nicht:
Konfigurieren Sie einen Firewall-Filter mit weniger Begriffen als der ursprüngliche Filter:
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block...
Wenden Sie den Firewall-Filter auf die Port-, VLAN- oder Layer-3-Schnittstellen an, um die Bindung des ursprünglichen Filters zu überschreiben – zum Beispiel:
[edit] user@switch# set vlans employee-vlan description "smaller filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
Da Sie nicht mehr als einen Firewallfilter pro VLAN pro Richtung anwenden können, wird die Bindung des ursprünglichen Firewallfilters an das VLAN mit dem neuen Firewall-Filter
new-ingress-vlan-rogue-blocküberschrieben.Übernehmen Sie die Änderungen:
[edit] user@switch# commit
Der ursprüngliche Filter wird nicht gelöscht und steht in der Konfiguration weiterhin zur Verfügung.
Filterzählungen, die zuvor gelöschte Pakete
Problem
Beschreibung
Wenn Sie zwei oder mehr Filter in derselben Richtung für eine physische Schnittstelle konfigurieren und einer der Filter einen Zähler enthält, ist der Zähler in den folgenden Fällen nicht korrekt:
Sie konfigurieren den Filter, der auf Pakete angewendet wird, um bestimmte Pakete zuerst zu verwerfen. Stellen Sie sich beispielsweise einen VLAN-Filter vor, der Pakete akzeptiert, die an 10.10.1.0/24-Adressen gesendet werden, und implizit Pakete verwirft, die an andere Adressen gesendet werden. Sie wenden den Filter in Ausgaberichtung auf das
adminVLAN an, und die Schnittstelle xe-0/0/1 ist Mitglied dieses VLANs.Sie konfigurieren einen nachfolgenden Filter, um Pakete zu akzeptieren und zu zählen, die vom ersten Filter gelöscht werden. In diesem Beispiel haben Sie einen Portfilter, der Pakete, die an 192.168.1.0/24-Adressen gesendet werden, akzeptiert und zählt, der auch auf xe-0/0/1 in Ausgaberichtung angewendet wird.
Der Ausgangs-VLAN-Filter wird zuerst angewendet und verwirft Pakete, die an 192.168.1.0/24 Adressen gesendet werden, korrekt. Der Ausgangsportfilter wird als nächstes angewendet und zählt die verworfenen Pakete als übereinstimmend. Die Pakete werden nicht weitergeleitet, aber der vom Ausgangsport-Filter angezeigte Zähler ist falsch.
Denken Sie daran, dass die Reihenfolge, in der Filter angewendet werden, von der Richtung abhängt, in der sie angewendet werden, wie hier angegeben:
Eingangsfilter:
Portfilter (Layer 2)
VLAN-Filter
Router (Layer 3)-Filter
Ausgangsfilter:
Router (Layer 3)-Filter
VLAN-Filter
Portfilter (Layer 2)
Lösung
Dies ist ein erwartetes Verhalten.
Abgleich von Paketen nicht gezählt
Problem
Beschreibung
Wenn Sie zwei Ausgangsfilter mit Zählern für eine physische Schnittstelle konfigurieren und ein Paket beide Filter entspricht, enthält nur einer der Leistungsindikatoren dieses Paket.
Zum Beispiel:
Sie konfigurieren einen Ausgangsport-Filter mit einem Zähler für Schnittstelle xe-0/0/1.
Sie konfigurieren einen Ausgangs-VLAN-Filter mit einem Zähler für das
adminVLAN, und die Schnittstelle xe-0/0/1 ist Mitglied dieses VLANs.Ein Paket entspricht beiden Filtern.
In diesem Fall wird das Paket nur von einem der Zähler gezählt, obwohl es mit beiden Filtern übereinstimmte.
Lösung
Dies ist ein erwartetes Verhalten.
Zähler-Reset beim Bearbeitungsfilter
Problem
Beschreibung
Wenn Sie einen Firewall-Filterbegriff bearbeiten, wird der Wert eines jeden Zählers, der einem Begriff im selben Filter zugeordnet ist, auf 0 festgelegt, einschließlich des impliziten Zählers für jeden Policer, auf den der Filter verweist. Sehen Sie sich die folgenden Beispiele an:
Gehen Sie davon aus, dass Ihr Filter
term1undterm2, undterm3, und jeder Begriff einen Zähler hat, der bereits übereinstimmende Pakete gezählt hat. Wenn Sie einen der Begriffe in irgendeiner Weise bearbeiten, werden die Zähler für alle Begriffe auf 0 zurückgesetzt.Gehen Sie davon aus, dass Ihr Filter
term1undterm2. Gehen Sie auch davon aus, dassterm2einpolicerAction-Modifizierer und der implizite Zähler des Policers bereits 1000 übereinstimmende Pakete gezählt hat. Wenn Sie dies bearbeitenterm1oderterm2in irgendeiner Weise, wird der Zähler für den vonterm2referenzierten Policer auf 0 zurückgesetzt.
Lösung
Dies ist ein erwartetes Verhalten.
Kann verlustpriorität und Policer-Aktionen nicht in derselben Laufzeit enthalten
Problem
Beschreibung
Sie können nicht beide der folgenden Aktionen in demselben Firewall-Filterbegriff in einen Switch der QFX-Serie einschließen:
loss-prioritypolicer
Wenn Sie dies tun, wird die folgende Fehlermeldung angezeigt, wenn Sie versuchen, die Konfiguration zu bestätigen: "Die Policer-Aktion kann nicht unterstützt werden, wenn die Verlustpriorität konfiguriert ist."
Lösung
Dies ist ein erwartetes Verhalten.
Bestimmte auf dem QFX-Switch ausgehende Datenverkehr kann nicht gefiltert werden
Problem
Beschreibung
Auf einem Switch der QFX-Serie können Sie bestimmten Datenverkehr nicht mit einem Firewall-Filter filtern, der in Ausgaberichtung angewendet wird, wenn der Datenverkehr vom QFX-Switch stammt. Diese Einschränkung gilt für die Steuerung des Datenverkehrs für Protokolle wie ICMP (Ping), STP, LACP und so weiter.
Lösung
Dies ist ein erwartetes Verhalten.
Firewall-Filter entspricht Bedingung nicht mit Q-in-Q-Tunneling
Problem
Beschreibung
Wenn Sie einen Firewall-Filter mit einer Übereinstimmungsbedingung von dot1q-tag oder dot1q-user-priority auf einen Trunk-Port, der an einem Service-VLAN teilnimmt, anwenden, funktioniert die Übereinstimmungsbedingung nicht, wenn Q-in-Q EtherType nicht 0x8100 ist. (Wenn Q-in-Q-Tunneling aktiviert ist, wird davon ausgegangen, dass Trunk-Schnittstellen Teil des Service Provider- oder Datencenter-Netzwerks sind und somit an Service-VLANs teilnehmen.)
Lösung
Dies ist ein erwartetes Verhalten. Um den Q-in-Q EtherType auf 0x8100 festzulegen, geben Sie die set dot1q-tunneling ethertype 0x8100 Anweisung auf Hierarchieebene [edit ethernet-switching-options] ein. Sie müssen auch das andere Ende des Links konfigurieren, um den gleichen Ethertype zu verwenden.
Ausgangs-Firewall-Filter mit privaten VLANs
Problem
Beschreibung
Wenn Sie einen Firewall-Filter in Der Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter auch für die sekundären VLANs, die Mitglieder des primären VLANs sind, wenn der Datenverkehr mit dem primären VLAN-Tag oder dem isolierten VLAN-Tag geleitet wird, wie unten aufgeführt:
Datenverkehr, der von einem sekundären VLAN-Trunk-Port an einen promiscuous Port (Trunk oder Zugriff) weitergeleitet wird
Datenverkehr wird von einem sekundären VLAN-Trunk-Port, der ein isoliertes VLAN überträgt, an einen PVLAN-Trunk-Port weitergeleitet.
Datenverkehr, der von einem promiscuous Port (Trunk oder Zugriff) an einen sekundären VLAN-Trunk-Port weitergeleitet wird
Datenverkehr wird von einem PVLAN-Trunk-Port weitergeleitet. zu einem sekundären VLAN-Trunk-Port
Datenverkehr, der von einem Community-Port an einen promiscuous Port (Trunk oder Zugriff) weitergeleitet wird
Wenn Sie einen Firewall-Filter in der Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter nicht für den Datenverkehr, der mit einem Community-VLAN-Tag ausgeht, wie unten aufgeführt:
Datenverkehr wird von einem Community Trunk-Port an einen PVLAN-Trunk-Port weitergeleitet
Datenverkehr wird von einem sekundären VLAN-Trunk-Port, der ein Community-VLAN überträgt, an einen PVLAN-Trunk-Port weitergeleitet
Datenverkehr, der von einem promiscuous Port (Trunk oder Zugriff) an einen Community Trunk-Port weitergeleitet wird
Datenverkehr wird von einem PVLAN-Trunk-Port weitergeleitet. zu einem Community-Trunk-Port
Wenn Sie einen Firewall-Filter in Ausgaberichtung auf ein Community-VLAN anwenden, gelten die folgenden Verhaltensweisen:
Der Filter wird auf den Datenverkehr angewendet, der von einem promiscuous Port (Trunk oder Zugriff) an einen Community-Trunk-Port weitergeleitet wird (weil der Datenverkehr mit dem Community-VLAN-Tag abfängt).
Der Filter wird auf den Datenverkehr angewendet, der von einem Community-Port an einen PVLAN-Trunk-Port weitergeleitet wird (weil der Datenverkehr mit dem Community-VLAN-Tag abfängt).
Der Filter wird nicht auf den Datenverkehr angewendet, der von einem Community-Port an einen promiscuous Port weitergeleitet wird (da der Datenverkehr mit dem primären VLAN-Tag oder ohne Tags erfolgt).
Lösung
Das sind erwartete Verhaltensweisen. Sie treten nur auf, wenn Sie einen Firewall-Filter auf ein privates VLAN in der Ausgaberichtung anwenden, und nicht, wenn Sie einen Firewall-Filter in der Eingaberichtung auf ein privates VLAN anwenden.
Ausgangsfilterung von L2PT-Datenverkehr nicht unterstützt
Problem
Beschreibung
Die Ausgangsfilterung von L2PT-Datenverkehr wird auf dem QFX3500-Switch nicht unterstützt. Das heißt, wenn Sie L2PT so konfigurieren, dass ein Protokoll auf einer Schnittstelle tunnelt wird, können Sie auch keinen Firewall-Filter verwenden, um den Datenverkehr für dieses Protokoll auf dieser Schnittstelle in Ausgaberichtung zu filtern. Wenn Sie zu diesem Zweck eine Konfiguration festlegen, wird der Firewall-Filter nicht auf den L2PT-tunnelten Datenverkehr angewendet.
Lösung
Dies ist ein erwartetes Verhalten.
BGP-Pakete können unter bestimmten Umständen nicht fallen
Problem
Beschreibung
BGP-Pakete mit einem Time-to-Live-Wert (TTL) größer als 1 können nicht mit einem Firewall-Filter verworfen werden, der auf eine Loopback-Schnittstelle angewendet wird, oder auf Eingaben auf eine Layer-3-Schnittstelle angewendet werden. BGP-Pakete mit dem TTL-Wert 1 oder 0 können mit einem Firewall-Filter verworfen werden, der auf eine Loopback-Schnittstelle angewendet wird, oder auf Eingaben auf eine Layer-3-Schnittstelle angewendet werden.
Lösung
Dies ist ein erwartetes Verhalten.
Ungültige Statistiken für Policer
Policer können Ausgangsfilter begrenzen
Problem
Beschreibung
Bei einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Ausgangs-Policer auf die Gesamtzahl der zulässigen Ausgangs-Firewall-Filter auswirken. Jeder Policer verfügt über zwei implizite Zähler, die zwei Einträge in einem TCAM mit 1024 Einträgen aufnehmen. Diese werden für Zähler verwendet, einschließlich Zähler, die in den Begriffen der Firewall-Filter als Aktionsmodifizierer konfiguriert sind. (Policer verbrauchen zwei Einträge, da eine für grüne Pakete und eine für nichtgrüne Pakete verwendet wird, unabhängig vom Policer-Typ.) Wenn das TCAM voll ist, können Sie keine weiteren Ausgangs-Firewall-Filter mit Zählern festlegen. Wenn Sie beispielsweise 512 Ausgangs-Policer (zweifarbig, dreifarbig oder eine Kombination aus beiden Policer-Typen) konfigurieren und festlegen, werden alle Speichereinträge für Zähler aufgebraucht. Wenn Sie zu einem späteren Zeitpunkt in Ihrer Konfigurationsdatei zusätzliche Ausgangs-Firewall-Filter mit Begriffen einfügen, die auch Zähler enthalten, wird keiner der Begriffe in diesen Filtern festgelegt, da für die Leistungsindikatoren kein Speicherplatz verfügbar ist.
Hier sind einige weitere Beispiele:
Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 512 Policer und keine Zähler enthalten. Später fügen Sie in Ihrer Konfigurationsdatei einen weiteren Ausgangsfilter mit 10 Begriffen hinzu, von denen 1 über einen Modifizierer für Zähleraktionen verfügt. Keiner der Begriffe in diesem Filter wird festgelegt, da es nicht genügend TCAM-Platz für den Zähler gibt.
Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 500 Policer umfassen, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei schließen Sie die folgenden zwei Ausgangsfilter ein:
Filter A mit 20 Begriffen und 20 Zählern. Alle Begriffe in diesem Filter werden festgelegt, da genügend TCAM-Platz für alle Zähler vorhanden ist.
Filter B kommt nach Filter A und hat fünf Begriffe und fünf Zähler. Keiner der Begriffe in diesem Filter wird festgelegt, da nicht genügend Speicherplatz für alle Zähler vorhanden ist. (Es sind fünf TCAM-Einträge erforderlich, aber nur vier sind verfügbar.)
Lösung
Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Ausgangs-Firewall-Filterbegriffe mit Gegenmaßnahmen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall begeht Junos OS Policer, auch wenn nicht genügend TCAM-Speicherplatz für die impliziten Zähler vorhanden ist. Nehmen wir zum Beispiel folgendes an:
Sie haben 1024 Ausgangs-Firewall-Filterbegriffe mit Gegenmaßnahmen.
Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keiner der Begriffe hat Zähler, aber einer hat einen Policer Action-Modifizierer.
Sie können den Filter mit 10 Begriffen erfolgreich festlegen, obwohl nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers vorhanden ist. Der Polizist wird ohne Gegenwehr engagiert.