Fehlerbehebung bei Firewall-Filtern
Verwenden Sie die folgenden Informationen zur Fehlerbehebung bei der Konfiguration Ihres Firewallfilters.
Fehlerbehebung QFX10000 Switches
In diesem Abschnitt werden Probleme beschrieben, die für QFX10000 Switches spezifisch sind:
- Kombinieren Sie keine Übereinstimmungsbedingungen für verschiedene Layer
- Layer-2-Pakete können nicht mit Firewall-Filtern verworfen werden
- Der Firewall-Filter Protect-RE (Loopback) filtert keine Pakete, die auf EM0-Schnittstellen angewendet wurden
Kombinieren Sie keine Übereinstimmungsbedingungen für verschiedene Layer
Kombinieren Sie auf QFX10000-Switches keine Übereinstimmungsbedingungen für Layer 2 und andere Layer in einem family ethernet-switching Filter. (Fügen Sie z. B. keine Bedingungen, die mit MAC-Adressen und IP-Adressen übereinstimmen, in denselben Filter ein.) Wenn Sie dies tun, wird der Filter erfolgreich festgeschrieben, funktioniert aber nicht. Außerdem wird die folgende Protokollmeldung angezeigt: L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.
Layer-2-Pakete können nicht mit Firewall-Filtern verworfen werden
Problem
Beschreibung
Layer-2-Kontrollpakete (L2) wie Link Layer Discovery Protocol (LLDP) und Bridge Protocol Data Unit (BPDU) können nicht mit Firewall-Filtern verworfen werden.
Lösung
Konfigurieren Sie den DDoS-Schutz (Distributed Denial-of-Service) auf dem L2-Steuerpaket, und legen Sie die aggregierte Policer-Bandbreite und die Burst-Werte auf den Mindestwert 1 fest. Zum Beispiel
[edit system ddos-protection protocols protocol name]
user@host# set aggregate bandwidth 1
[edit system ddos-protection protocols protocol name]
user@host# set aggregate burst 1
Der Firewall-Filter Protect-RE (Loopback) filtert keine Pakete, die auf EM0-Schnittstellen angewendet wurden
Fehlerbehebung bei anderen Switches
In diesem Abschnitt werden Probleme beschrieben, die für andere QFX-Switches als QFX10000 Switches spezifisch sind. Diese Informationen gelten auch für OCX1100 Switches und EX4600-Switches.
- Die Firewall-Filterkonfiguration gibt die Meldung "Kein Speicherplatz im TCAM verfügbar" zurück.
- Filteranzahl zuvor verworfenes Paket
- Übereinstimmende Pakete werden nicht gezählt
- Zurücksetzen des Zählers beim Bearbeiten von Filtern
- Verlustpriorität und Polizeiaktionen können nicht im selben Begriff enthalten sein
- Bestimmter Datenverkehr, der vom QFX-Switch stammt, kann nicht ausgegeben werden
- Firewall-Filter-Übereinstimmungsbedingung funktioniert nicht mit Q-in-Q-Tunneling
- Ausgangs-Firewall-Filter mit privaten VLANs
- Ausgangsfilterung von L2PT-Datenverkehr wird nicht unterstützt
- BGP-Pakete können unter bestimmten Umständen nicht verworfen werden
- Ungültige Statistik für Policer
- Policer können Ausgangsfilter begrenzen
Die Firewall-Filterkonfiguration gibt die Meldung "Kein Speicherplatz im TCAM verfügbar" zurück.
Problem
Beschreibung
Wenn eine Firewallfilterkonfiguration die Menge des verfügbaren TCAM-Speicherplatzes (Ternary Content Addressable Memory) überschreitet, gibt das System die folgende syslogd Meldung zurück:
No space available in tcam. Rules for filter filter-name will not be installed.
Ein Switch gibt diese Meldung während des Commit-Vorgangs zurück, wenn der Firewall-Filter, der auf einen Port, ein VLAN oder eine Layer-3-Schnittstelle angewendet wurde, den in der TCAM-Tabelle verfügbaren Speicherplatz überschreitet. Der Filter wird nicht angewendet, aber der Commit-Vorgang für die Firewall-Filterkonfiguration wird im CLI-Modul abgeschlossen.
Lösung
Wenn eine Firewallfilterkonfiguration den verfügbaren TCAM-Tabellenbereich überschreitet, müssen Sie einen neuen Firewallfilter mit weniger Filterbegriffen konfigurieren, damit der Speicherplatzbedarf für den Filter den verfügbaren Speicherplatz in der TCAM-Tabelle nicht überschreitet.
Sie können eines der folgenden Verfahren ausführen, um das Problem zu beheben:
So löschen Sie den Filter und seine Bindung und wenden den neuen kleineren Firewallfilter auf dieselbe Bindung an:
Löschen Sie den Filter und seine Bindung an Ports, VLANs oder Layer-3-Schnittstellen. Beispiele:
[edit] user@switch# delete firewall family ethernet-switching filter ingress-vlan-rogue-block user@switch# delete vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# delete vlans employee-vlan filter input ingress-vlan-rogue-block
Übernehmen Sie die Änderungen:
[edit] user@switch# commit
Konfigurieren Sie einen kleineren Filter mit weniger Begriffen, der den verfügbaren TCAM-Speicherplatz nicht überschreitet. Beispiele:
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block ...
Wenden Sie den neuen Firewall-Filter auf einen Port, ein VLAN oder eine Layer-3-Schnittstelle an (binden). Beispiele:
[edit] user@switch# set vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
Übernehmen Sie die Änderungen:
[edit] user@switch# commit
So wenden Sie einen neuen Firewallfilter an und überschreiben die vorhandene Bindung, löschen aber nicht den ursprünglichen Filter:
Konfigurieren Sie einen Firewallfilter mit weniger Begriffen als der ursprüngliche Filter:
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block...
Wenden Sie den Firewall-Filter auf die Port-, VLAN- oder Layer-3-Schnittstellen an, um die Bindung des ursprünglichen Filters zu überschreiben, z. B.:
[edit] user@switch# set vlans employee-vlan description "smaller filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
Da Sie nicht mehr als einen Firewall-Filter pro VLAN und Richtung anwenden können, wird die Bindung des ursprünglichen Firewall-Filters an das VLAN mit dem neuen Firewall-Filter
new-ingress-vlan-rogue-blocküberschrieben.Übernehmen Sie die Änderungen:
[edit] user@switch# commit
Der ursprüngliche Filter wird nicht gelöscht und steht weiterhin in der Konfiguration zur Verfügung.
Filteranzahl zuvor verworfenes Paket
Problem
Beschreibung
Wenn Sie zwei oder mehr Filter in die gleiche Richtung für eine physische Schnittstelle konfigurieren und einer der Filter einen Zähler enthält, ist der Zähler falsch, wenn die folgenden Umstände zutreffen:
Sie konfigurieren den Filter, der zuerst auf Pakete angewendet wird, um bestimmte Pakete zu verwerfen. Stellen Sie sich beispielsweise vor, Sie haben einen VLAN-Filter, der Pakete akzeptiert, die an 10.10.1.0/24-Adressen gesendet werden, und Pakete, die an andere Adressen gesendet werden, implizit verwirft. Sie wenden den Filter in Ausgaberichtung auf das
adminVLAN an, und die Schnittstelle xe-0/0/1 ist Mitglied dieses VLANs.Sie konfigurieren einen nachfolgenden Filter so, dass Pakete akzeptiert und gezählt werden, die vom ersten Filter verworfen werden. In diesem Beispiel haben Sie einen Portfilter, der Pakete akzeptiert und zählt, die an die Adressen 192.168.1.0/24 gesendet werden, der auch auf xe-0/0/1 in Ausgangsrichtung angewendet wird.
Der Ausgangs-VLAN-Filter wird zuerst angewendet und verwirft Pakete, die an 192.168.1.0/24-Adressen gesendet werden, korrekt. Als nächstes wird der Ausgangsportfilter angewendet, der die verworfenen Pakete als übereinstimmende Pakete zählt. Die Pakete werden nicht weitergeleitet, aber der vom Ausgangsportfilter angezeigte Zähler ist falsch.
Denken Sie daran, dass die Reihenfolge, in der Filter angewendet werden, von der Richtung abhängt, in der sie angewendet werden, wie hier angegeben:
Eingangsfilter:
Filter "Port (Layer 2)"
VLAN-Filter
Router (Layer 3)-Filter
Ausgangsfilter:
Router (Layer 3)-Filter
VLAN-Filter
Filter "Port (Layer 2)"
Lösung
Dies ist das erwartete Verhalten.
Übereinstimmende Pakete werden nicht gezählt
Problem
Beschreibung
Wenn Sie zwei Ausgangsfilter mit Leistungsindikatoren für eine physische Schnittstelle konfigurieren und ein Paket mit beiden Filtern übereinstimmt, enthält nur einer der Leistungsindikatoren dieses Paket.
Beispiele:
Sie konfigurieren einen Ausgangsportfilter mit einem Zähler für die Schnittstelle xe-0/0/1.
Sie konfigurieren einen Ausgangs-VLAN-Filter mit einem Zähler für das
adminVLAN, und die Schnittstelle xe-0/0/1 ist Mitglied dieses VLANs.Ein Paket stimmt mit beiden Filtern überein.
In diesem Fall wird das Paket nur von einem der Zähler gezählt, obwohl es mit beiden Filtern übereinstimmt.
Lösung
Dies ist das erwartete Verhalten.
Zurücksetzen des Zählers beim Bearbeiten von Filtern
Problem
Beschreibung
Wenn Sie einen Firewallfilterbegriff bearbeiten, wird der Wert eines beliebigen Indikators, der einem beliebigen Begriff im selben Filter zugeordnet ist, auf 0 gesetzt, einschließlich des impliziten Zählers für alle Policer, auf die der Filter verweist. Betrachten Sie die folgenden Beispiele:
Angenommen, Ihr Filter hat
term1, undterm3, und jeder Begriff hat einenterm2Zähler, der bereits übereinstimmende Pakete gezählt hat. Wenn Sie einen der Begriffe in irgendeiner Weise bearbeiten, werden die Zähler für alle Begriffe auf 0 zurückgesetzt.Angenommen, Ihr Filter hat
term1undterm2. Nehmen wir außerdem an, dass esterm2einenpolicerAktionsmodifizierer hat und der implizite Zähler des Policers bereits 1000 übereinstimmende Pakete gezählt hat. Wenn Sie Änderungen vornehmenterm1oderterm2in irgendeiner Weise, wird der Zähler für den Policer, auf den verwiesen wirdterm2, auf 0 zurückgesetzt.
Lösung
Dies ist das erwartete Verhalten.
Verlustpriorität und Polizeiaktionen können nicht im selben Begriff enthalten sein
Problem
Beschreibung
Sie können die beiden folgenden Aktionen nicht in denselben Firewall-Filterbegriff in einem Switch der QFX-Serie einschließen:
loss-prioritypolicer
Wenn Sie dies tun, wird die folgende Fehlermeldung angezeigt, wenn Sie versuchen, die Konfiguration zu bestätigen: "Polizeiaktionen können nicht unterstützt werden, wenn die Verlustpriorität konfiguriert ist."
Lösung
Dies ist das erwartete Verhalten.
Bestimmter Datenverkehr, der vom QFX-Switch stammt, kann nicht ausgegeben werden
Problem
Beschreibung
Auf einem Switch der QFX-Serie können Sie bestimmten Datenverkehr nicht mit einem in Ausgangsrichtung angewendeten Firewall-Filter filtern, wenn der Datenverkehr vom QFX-Switch stammt. Diese Einschränkung gilt für die Steuerung des Datenverkehrs für Protokolle wie ICMP (Ping), STP, LACP usw.
Lösung
Dies ist das erwartete Verhalten.
Firewall-Filter-Übereinstimmungsbedingung funktioniert nicht mit Q-in-Q-Tunneling
Problem
Beschreibung
Wenn Sie einen Firewall-Filter erstellen, der die Übereinstimmungsbedingung dot1q-tag oder dot1q-user-priority enthält, und den Filter bei der Eingabe auf einen Trunk-Port anwenden, der an einem Service-VLAN teilnimmt, funktioniert die Übereinstimmungsbedingung nicht, wenn der Q-in-Q-EtherType nicht 0x8100 ist. (Wenn Q-in-Q-Tunneling aktiviert ist, wird davon ausgegangen, dass Trunk-Schnittstellen Teil des Service Provider- oder Datencenter-Netzwerks sind und daher an Service-VLANs teilnehmen.)
Lösung
Dies ist das erwartete Verhalten. Um den Q-in-Q-EtherType auf 0x8100 zu setzen, geben Sie die set dot1q-tunneling ethertype 0x8100 Anweisung auf Hierarchieebene [edit ethernet-switching-options] ein. Sie müssen auch das andere Ende der Verknüpfung so konfigurieren, dass derselbe Ethertyp verwendet wird.
Ausgangs-Firewall-Filter mit privaten VLANs
Problem
Beschreibung
Wenn Sie einen Firewall-Filter in Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter auch für die sekundären VLANs, die Mitglieder des primären VLANs sind, wenn der Datenverkehr mit dem primären VLAN-Tag oder dem isolierten VLAN-Tag ausgeht, wie unten aufgeführt:
Datenverkehr, der von einem sekundären VLAN-Trunk-Port an einen promiskuitiven Port (Trunk oder Access) weitergeleitet wird
Datenverkehr, der von einem sekundären VLAN-Trunk-Port, der ein isoliertes VLAN trägt, an einen PVLAN-Trunk-Port weitergeleitet wird.
Datenverkehr, der von einem promiskuitiven Port (Trunk oder Zugriff) an einen sekundären VLAN-Trunk-Port weitergeleitet wird
Datenverkehr, der von einem PVLAN-Trunk-Port weitergeleitet wird. an einen sekundären VLAN-Trunk-Port
Datenverkehr, der von einem Community-Port zu einem promiskuitiven Port (Trunk oder Access) weitergeleitet wird
Wenn Sie einen Firewall-Filter in Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter nicht für Datenverkehr, der mit einem Community-VLAN-Tag ausgeht, wie unten aufgeführt:
Datenverkehr, der von einem Community-Trunk-Port an einen PVLAN-Trunk-Port weitergeleitet wird
Datenverkehr, der von einem sekundären VLAN-Trunk-Port, der ein Community-VLAN trägt, an einen PVLAN-Trunk-Port weitergeleitet wird
Datenverkehr, der von einem promiskuitiven Port (Trunk oder Access) an einen Community-Trunk-Port weitergeleitet wird
Datenverkehr, der von einem PVLAN-Trunk-Port weitergeleitet wird. zu einem Community-Trunk-Port
Wenn Sie einen Firewall-Filter in Ausgaberichtung auf ein Community-VLAN anwenden, gelten die folgenden Verhaltensweisen:
Der Filter wird auf Datenverkehr angewendet, der von einem promiskuitiven Port (Trunk oder Zugriff) an einen Community-Trunk-Port weitergeleitet wird (da der Datenverkehr mit dem Community-VLAN-Tag ausgeht).
Der Filter wird auf Datenverkehr angewendet, der von einem Community-Port an einen PVLAN-Trunk-Port weitergeleitet wird (da der Datenverkehr mit dem Community-VLAN-Tag ausgeht).
Der Filter wird nicht auf Datenverkehr angewendet, der von einem Community-Port an einen promiskuitiven Port weitergeleitet wird (da der Datenverkehr mit dem primären VLAN-Tag oder nicht getaggt ausgeht).
Lösung
Dies sind erwartete Verhaltensweisen. Sie treten nur auf, wenn Sie einen Firewall-Filter auf ein privates VLAN in Ausgaberichtung anwenden, und nicht, wenn Sie einen Firewall-Filter auf ein privates VLAN in Eingaberichtung anwenden.
Ausgangsfilterung von L2PT-Datenverkehr wird nicht unterstützt
Problem
Beschreibung
Die Ausgangsfilterung von L2PT-Datenverkehr wird auf dem QFX3500 Switch nicht unterstützt. Das heißt, wenn Sie L2PT so konfigurieren, dass ein Protokoll auf einer Schnittstelle getunnelt wird, können Sie nicht auch einen Firewallfilter verwenden, um den Datenverkehr für dieses Protokoll auf dieser Schnittstelle in Ausgaberichtung zu filtern. Wenn Sie eine Konfiguration für diesen Zweck festschreiben, wird der Firewallfilter nicht auf den L2PT-getunnelten Datenverkehr angewendet.
Lösung
Dies ist das erwartete Verhalten.
BGP-Pakete können unter bestimmten Umständen nicht verworfen werden
Problem
Beschreibung
BGP-Pakete mit einem TTL-Wert (Time-to-Live) größer als 1 können nicht mit einem Firewall-Filter verworfen werden, der auf eine Loopback-Schnittstelle oder auf die Eingabe in eine Layer-3-Schnittstelle angewendet wird. BGP-Pakete mit einem TTL-Wert von 1 oder 0 können mithilfe eines Firewall-Filters verworfen werden, der auf eine Loopback-Schnittstelle oder auf die Eingabe in eine Layer-3-Schnittstelle angewendet wird.
Lösung
Dies ist das erwartete Verhalten.
Ungültige Statistik für Policer
Policer können Ausgangsfilter begrenzen
Problem
Beschreibung
Bei einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Ausgangs-Policer auf die Gesamtzahl der zulässigen Ausgangs-Firewall-Filter auswirken. Jeder Policer hat zwei implizite Zähler, die zwei Einträge in einem TCAM mit 1024 Einträgen belegen. Diese werden für Leistungsindikatoren verwendet, einschließlich Leistungsindikatoren, die in Firewallfilterbegriffen als Aktionsmodifizierer konfiguriert sind. (Policer verbrauchen zwei Einträge, da einer für grüne Pakete und einer für nicht-grüne Pakete verwendet wird, unabhängig vom Polizeityp.) Wenn das TCAM voll wird, können Sie keine weiteren Ausgangs-Firewallfilter mit Termen mit Zählern festlegen. Wenn Sie z. B. 512 Ausgangs-Policer konfigurieren und festschreiben (zweifarbig, dreifarbig oder eine Kombination aus beiden Policer-Typen), werden alle Speichereinträge für Zähler aufgebraucht. Wenn Sie später in der Konfigurationsdatei zusätzliche Ausgangsfirewallfilter mit Begriffen einfügen, die auch Leistungsindikatoren enthalten, wird für keinen der Begriffe in diesen Filtern ein Commit ausgeführt, da kein Speicherplatz für die Leistungsindikatoren verfügbar ist.
Hier sind einige weitere Beispiele:
Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 512 Policer und keine Leistungsindikatoren enthalten. Später in der Konfigurationsdatei fügen Sie einen weiteren Ausgangsfilter mit 10 Termen ein, von denen 1 über einen Gegenaktionsmodifizierer verfügt. Keiner der Begriffe in diesem Filter ist festgeschrieben, da nicht genügend TCAM-Speicherplatz für den Zähler vorhanden ist.
Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 500 Policer enthalten, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei fügen Sie die folgenden beiden Ausgangsfilter ein:
Filter A mit 20 Begriffen und 20 Leistungsindikatoren. Für alle Begriffe in diesem Filter wird ein Commit ausgeführt, da genügend TCAM-Speicherplatz für alle Leistungsindikatoren vorhanden ist.
Filter B kommt nach Filter A und hat fünf Terme und fünf Indikatoren. Für keinen der Begriffe in diesem Filter wurde ein Commit ausgeführt, da nicht genügend Speicherplatz für alle Leistungsindikatoren vorhanden ist. (Fünf TCAM-Einträge sind erforderlich, aber nur vier sind verfügbar.)
Lösung
Sie können dieses Problem vermeiden, indem Sie sicherstellen, dass Ausdrücke für Egress-Firewallfilter mit Gegenaktionen früher in der Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall führt Junos OS einen Commit für Policer aus, auch wenn nicht genügend TCAM-Speicherplatz für die impliziten Zähler vorhanden ist. Nehmen Sie zum Beispiel Folgendes an:
Sie verfügen über 1024 Ausgangs-Firewall-Filterbegriffe mit Gegenaktionen.
Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keiner der Begriffe hat Zähler, aber einer hat einen Polizeiaktionsmodifikator.
Sie können den Filter mit 10 Begriffen erfolgreich festschreiben, obwohl nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers vorhanden ist. Der Polizist wird ohne die Zähler begangen.