Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fehlerbehebung bei Firewall-Filtern

Verwenden Sie die folgenden Informationen zur Fehlerbehebung bei Ihrer Konfiguration von Firewall-Filtern.

Fehlerbehebung bei QFX10000-Switches

In diesem Abschnitt werden Probleme beschrieben, die spezifisch für QFX10000 sind:

Nicht Bedingungen für unterschiedliche Ebenen kombinieren

Kombinieren QFX10000 Bedingungen für Layer 2 und jede andere Ebene in einem family ethernet-switching Filter nicht. (Fügen Sie beispielsweise keine Bedingungen ein, die MAC-Adressen und IP-Adressen im selben Filter enthalten.) Wenn Sie dies tun, committ dieser Filter erfolgreich, funktioniert aber nicht. Außerdem sehen Sie die folgende Protokollnachricht: L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.

Layer-2-Pakete können nicht mit Firewall-Filtern verworfen werden

Problem

Beschreibung

Kontrollpakete für Layer 2 (L2), wie das Link Layer Discovery Protocol (LLDP) und die Bridge Protocol Data Unit (BPDU), können nicht mit Firewall-Filtern verworfen werden.

Lösung

Konfigurieren Sie Denial-of-Service (DDoS)-Schutz auf dem L2-Steuerungspaket und legen Sie die aggregierten Policer-Bandbreiten- und Burst-Werte auf den Minimalwert 1 fest. Zum Beispiel

user@host # set aggregate bandwidth 1

user@host # set aggregate burst 1

Protect-RE (Loopback) Firewall-Filter Filter Filtert pakete, die auf EM0-Schnittstellen angewendet werden, nicht

Problem

Beschreibung

Auf QFX10000 Switches filtert der Protect-RE-Firewall-Filter (Loopback) keine Pakete, die auf EM0-Schnittstellen wie SNMP, Telnet und andere Dienste angewendet werden.

Lösung

Damit wird ein solches Verhalten erwartet.

Fehlerbehebung bei anderen Switches

In diesem Abschnitt werden Probleme beschrieben, die spezifisch für andere QFX-Switches als QFX10000 sind. Diese Informationen gelten auch für Switches OCX1100 Switches EX4600 Switches.

Konfiguration des Firewall-Filters gibt in TCAM-Nachricht keinen Verfügbaren Platz zurück

Problem

Beschreibung

Wenn eine Firewall-Filterkonfiguration den verfügbaren TCAM-Bereich (Ternary Content Addressable Memory) überschreitet, wird folgende Nachricht syslogd zurückgegeben:

Ein Switch gibt diese Nachricht während des Commit-Betriebs wieder, wenn der auf einen Port, VLAN oder eine Layer 3-Schnittstelle angewendete Firewall-Filter die in der TCAM-Tabelle verfügbare Platzmenge überschreitet. Der Filter wird nicht angewendet, aber der Commit-Vorgang für die Konfiguration der Firewall-Filter wird im CLI durchgeführt.

Lösung

Wenn eine Firewall-Filterkonfiguration den verfügbaren TCAM-Tabellenbereich überschreitet, müssen Sie einen neuen Firewall-Filter mit weniger Filterbedingungen konfigurieren, damit der Platzbedarf für den Filter nicht den verfügbaren Platz in der TCAM-Tabelle übertrifft.

Sie können eines der folgenden Maßnahmen durchführen, um das Problem zu beheben:

Um den Filter und seine Bindung zu löschen und den neuen, kleineren Firewall-Filter auf die gleiche Bindung anzuwenden:

  1. Löschen Sie den Filter und seine Anbindung an Ports, VLANs oder Layer-3-Schnittstellen. Zum Beispiel:

  2. Commit für die Änderungen:

  3. Konfigurieren Sie einen kleineren Filter mit weniger Bedingungen, die den verfügbaren TCAM-Bereich nicht übersteigen. Zum Beispiel:

  4. Wenden Sie den neuen Firewall-Filter auf einen Port, VLAN oder eine Layer 3-Schnittstelle an (bind). Zum Beispiel:

  5. Commit für die Änderungen:

Um einen neuen Firewall-Filter anzuwenden und die vorhandene Bindung zu überschreiben, den ursprünglichen Filter jedoch nicht zu löschen:

  1. Konfigurieren Sie einen Firewall-Filter mit weniger Begriffen als den ursprünglichen Filter:

  2. Wenden Sie den Firewall-Filter auf die Port-, VLAN- oder Layer 3-Schnittstellen an, um die Bindung des Originalfilters zu überschreiben. Beispiele:

    Da Sie pro VLAN und Richtung nicht mehr als einen Firewall-Filter anwenden können, wird die Bindung des ursprünglichen Firewallfilters an das VLAN mit dem neuen Firewall-Filter new-ingress-vlan-rogue-block überschrieben.

  3. Commit für die Änderungen:

Anmerkung:

Der originale Filter wird nicht gelöscht und bleibt in der Konfiguration verfügbar.

Filteranzahl zuvor eingestelltes Paket

Problem

Beschreibung

Wenn Sie für eine physische Schnittstelle zwei oder mehr Filter in derselben Richtung konfigurieren und einer der Filter einen Zähler enthält, ist der Zähler bei folgenden Umständen inkorrekt:

  • Sie konfigurieren den Filter, der zuerst auf Pakete angewendet wird, um bestimmte Pakete zu verwerfen. Stellen Sie sich beispielsweise vor, Sie verfügen über einen VLAN-Filter, der Pakete, die an 10.10.1.0/24-Adressen gesendet werden, akzeptiert und implizit Pakete, die an andere Adressen gesendet werden, verworfen. Sie wenden den Filter auf das VLAN in der Ausgaberichtung an, und die Schnittstelle admin xe-0/0/1 ist ein Mitglied dieses VLANs.

  • Sie konfigurieren einen nachfolgenden Filter, um Pakete zu akzeptieren und zu zählen, die vom ersten Filter verworfen werden. In diesem Beispiel haben Sie einen Portfilter, der Pakete, die an 192.168.1.1.0/24-Adressen gesendet werden, akzeptiert und zählt, die auch auf xe-0/0/1 in der Ausgangsrichtung angewendet werden.

Der egress VLAN-Filter wird zuerst angewendet und verwerfen die an 192.168.1.0/24-Adressen gesendeten Pakete richtig. Der Egress-Port-Filter wird als nächstes angewendet und zählt die verworfenen Pakete als die abgestimmten Pakete. Die Pakete werden nicht weitergeleitet, aber der vom Ausgangs-Portfilter angezeigte Zähler ist nicht richtig.

Die Reihenfolge, in der Filter angewandt werden, hängt von der Art und Richtung ab, in der sie angewendet werden. Dies ist hier angegeben:

Ingress-Filter:

  1. Port-Filter (Layer 2)

  2. VLAN-Filter

  3. Router-Filter (Layer 3)

Ausgangsfilter:

  1. Router-Filter (Layer 3)

  2. VLAN-Filter

  3. Port-Filter (Layer 2)

Lösung

Damit wird ein solches Verhalten erwartet.

Nicht gezählte übereinstimmende Pakete

Problem

Beschreibung

Wenn Sie zwei Ausgangsfilter mit Zählern für eine physische Schnittstelle konfigurieren und ein Paket mit beiden Filtern entspricht, enthält nur einer der Zähler dieses Paket.

Zum Beispiel:

  • Sie konfigurieren einen Egress Port-Filter mit einem Zähler für die Schnittstelle xe-0/0/1.

  • Sie konfigurieren einen ausgehenden VLAN-Filter mit einem Zähler für das VLAN, und die Schnittstelle admin xe-0/0/1 ist ein Mitglied dieses VLANs.

  • Ein Paket entspricht beiden Filtern.

In diesem Fall wird das Paket von nur einem der Zähler gezählt, obwohl es beide Filter angezeigt hat.

Lösung

Damit wird ein solches Verhalten erwartet.

Zurücksetzen auf Zähler beim Bearbeiten des Filters

Problem

Beschreibung

Wenn Sie einen Begriff für den Firewall-Filter bearbeiten, wird der Wert aller Zähler, die mit einem beliebigen Begriff im selben Filter verknüpft sind, auf 0 festgelegt. Dies gilt auch für den impliziten Zähler für jeden Vom Filter referenzierten Policer. Sehen Sie sich die folgenden Beispiele an:

  • Nehmen wir an, dass Ihr Filter über Zähler verfügt und jeder Begriff einen Zähler hat, der bereits zueinander gezählt term1term2term3 wurde. Wenn Sie eines der Begriffe in irgendeiner Weise bearbeiten, werden die Zähler für alle Begriffe auf 0 zurückgesetzt.

  • Gehen Sie davon aus, dass Ihr Filter term1 dies auf sich hat term2 und . Gehen Sie auch davon aus, dass eine Aktion ändert und der implizite Zähler des Policers bereits term2policer 1000 übereinstimmende Pakete gezählt hat. Wenn Sie den Policer bearbeiten oder in irgendeiner Weise bearbeiten, wird der Zähler für den Policer auf term1term2term2 0 zurückgesetzt.

Lösung

Damit wird ein solches Verhalten erwartet.

Kann im selben Begriff keine Verlustpriorität und Policer-Aktionen enthalten

Problem

Beschreibung

Es können nicht beide der folgenden Aktionen im gleichen Begriff für Firewallfilter in einem Switch der QFX-Serie enthalten:

  • loss-priority

  • policer

Wenn Sie dies tun, sehen Sie die folgende Fehlermeldung, wenn Sie versuchen, die Konfiguration zu commiten: "Kann Policer-Aktionen nicht unterstützen, wenn Verlustpriorität konfiguriert ist."

Lösung

Damit wird ein solches Verhalten erwartet.

Kann bestimmten Datenverkehr auf QFX-Switch nicht filtern

Problem

Beschreibung

Auf einem Switch der QFX-Serie können Sie bestimmten Datenverkehr nicht mit einem Firewall-Filter filtern, der in die Ausgangsrichtung angewendet wird, wenn der Datenverkehr vom QFX-Switch stammt. Diese Einschränkung gilt für die Steuerung des Datenverkehrs für Protokolle wie ICMP (Ping), STP, LACP und so weiter.

Lösung

Damit wird ein solches Verhalten erwartet.

Firewall Filter-Übereinstimmungsbedingung funktioniert nicht mit Q-in-Q-Tunneling

Problem

Beschreibung

Wenn Sie einen Firewall-Filter erstellen, der eine Übereinstimmungsbedingung von enthält, oder den Filter auf einen Trunk-Port anwenden, der in einem Service-VLAN beteiligt ist, funktioniert die dot1q-tagdot1q-user-priority Übereinstimmungsbedingung nicht, wenn Q-in-Q EtherType nicht 0x8100. (Wenn Q-in-Q-Tunneling aktiviert ist, werden Trunkschnittstellen als Teil des Dienstanbieter- oder Datencenternetzwerks und daher an Service-VLANs beteiligt.)

Lösung

Damit wird ein solches Verhalten erwartet. Um Q-in-Q EtherType als 0x8100, geben Sie die set dot1q-tunneling ethertype 0x8100 Anweisung auf der [edit ethernet-switching-options] Hierarchieebene ein. Sie müssen auch das andere Ende der Verbindung konfigurieren, um denselben Ethertype zu verwenden.

Egress Firewall-Filter mit privaten VLANs

Problem

Beschreibung

Wenn Sie einen Firewall-Filter in der Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter auch für die sekundären VLANs, die Mitglieder des primären VLANs sind, wenn der Datenverkehr mit dem primären VLAN-Tag oder einem isolierten VLAN-Tag (wie unten aufgelistet) abzieht:

  • Datenverkehr wird von einem sekundären VLAN-Trunkport an einen Promiscuous-Port (Trunk oder Zugang) weitergeleitet

  • Datenverkehr wird von einem sekundären VLAN-Trunkport weitergeleitet, der ein isoliertes VLAN an einen PVLAN-Trunkport transportiert.

  • Datenverkehr wird von einem Promiscuous-Port (Trunk oder Zugang) an einen sekundären VLAN-Trunkport weitergeleitet

  • Datenverkehr wird von einem PVLAN-Trunkport weitergeleitet. zu einem sekundären VLAN-Trunkport

  • Der Datenverkehr wird von einem Community-Port zu einem Promiscuous-Port (Trunk oder Zugang) weitergeleitet

Wenn Sie einen Firewall-Filter in der Ausgaberichtung auf ein primäres VLAN anwenden, gilt dieser Filter nicht für Datenverkehr, der mit einem VLAN-Tag der Community abfing, wie unten aufgelistet:

  • Datenverkehr wird von einem Trunkport der Community an einen PVLAN-Trunkport weitergeleitet

  • Datenverkehr wird von einem sekundären VLAN-Trunkport weitergeleitet, der ein Community-VLAN an einen PVLAN-Trunkport transportiert

  • Der Datenverkehr wird von einem Promiscuous-Port (Trunk oder Zugang) zu einem Trunkport an einer Community weitergeleitet

  • Datenverkehr wird von einem PVLAN-Trunkport weitergeleitet. zu einem Trunkport mit Community-Port

Wenn Sie einen Firewall-Filter in der Ausgaberichtung an ein Community-VLAN wenden, gelten die folgenden Verhaltensweisen:

  • Der Filter wird auf Datenverkehr angewendet, der von einem Promiscuous-Port (Trunk oder Zugang) zu einem Community-Trunkport weitergeleitet wird (da der Datenverkehr mit dem VLAN-Tag der Community abzieht).

  • Der Filter wird auf Den Datenverkehr angewendet, der von einem Community-Port an einen PVLAN-Trunkport weitergeleitet wird (da der Datenverkehr mit dem Community-VLAN-Tag abzieht).

  • Der Filter wird nicht auf Datenverkehr angewendet, der von einem Community-Port zu einem Promiscuous-Port weitergeleitet wird (da der Datenverkehr mit dem primären VLAN-Tag oder nicht kennzeichnend abfälscht).

Lösung

Bei diesen Verhaltensweisen handelt es sich um erwartete Verhaltensweisen. Sie treten nur auf, wenn Sie einen Firewall-Filter auf ein privates VLAN in der Ausgaberichtung anwenden und nicht auftreten, wenn Sie einen Firewall-Filter auf ein privates VLAN in der Eingangsrichtung anwenden.

Ausgangsfilterung von L2PT-Datenverkehr nicht unterstützt

Problem

Beschreibung

Die Ausgangsfilterung von L2PT-Datenverkehr wird auf dem Switch QFX3500 wird nicht unterstützt. Wenn Sie L2PT zum Tunnelen eines Protokolls an einer Schnittstelle konfigurieren, können Sie nicht auch einen Firewall-Filter verwenden, um den Datenverkehr für dieses Protokoll an dieser Schnittstelle in der Ausgangsrichtung zu filtern. Wenn Sie eine Konfiguration zu diesem Zweck festlegen, wird der Firewall-Filter nicht auf den L2PT-Tunneled-Datenverkehr angewendet.

Lösung

Damit wird ein solches Verhalten erwartet.

Kann Pakete unter bestimmten Bedingungen nicht BGP ablegen

Problem

Beschreibung

BGP-Pakete mit einem TTL-Wert (Time-to-Live) größer 1 können nicht mit einem Firewall-Filter, der auf eine Loopback-Schnittstelle angewendet oder auf Eingaben auf eine Layer 3-Schnittstelle angewendet wird, verworfen werden. BGP mit einem TTL-Wert von 1 oder 0 können mit einem Firewall-Filter, der auf eine Loopback-Schnittstelle angewendet oder auf Eingaben auf eine Layer 3-Schnittstelle angewendet wird, verworfen werden.

Lösung

Damit wird ein solches Verhalten erwartet.

Ungültige Statistiken für Policer

Problem

Beschreibung

Wenn Sie einen Single-Rate-Zwei-Farb-Policer in einem Firewall-Filter in mehr als 128 Bedingungen anwenden, zeigt die Ausgabe des Befehls falsche Daten für den show firewall Policer an.

Lösung

Damit wird ein solches Verhalten erwartet.

Policer können Ausgangsfilter begrenzen

Problem

Beschreibung

Auf einigen Switches kann die Anzahl der von Ihnen konfigurierten Egress-Policer die Gesamtzahl der zulässigen Firewall-Filter beeinträchtigen. Jeder Policer verfügt über zwei implizite Zähler, die zwei Einträge in einer 1024-Eingangs-TCAM enthalten. Diese werden für Zähler verwendet, einschließlich Zähler, die als Aktionsmoderatoren in Firewall-Filter-Bedingungen konfiguriert werden. (Policer verbrauchen zwei Einträge, da eine für grüne Pakete und eine für nichtgreensige Pakete unabhängig vom Policer-Typ verwendet wird.) Wenn die TCAM vollständig wird, können Sie keine ausgehenden Firewall-Filter mehr mit Bedingungen mit Leistungsindikatoren festlegen. Wenn Sie beispielsweise 512 Ausgangs-Policer (zwei Farben, drei Farben oder eine Kombination beider Policer-Typen) konfigurieren und commit, werden alle Speichereinträge für Zähler genutzt. Wenn Sie später in Ihrer Konfigurationsdatei zusätzliche Egress-Firewall-Filter mit Begriffen einfügen, die auch Zähler enthalten, werden keine der Begriffe in diesen Filtern zugesagt, da kein verfügbarer Speicherplatz für die Leistungszähler vorhanden ist.

Dies sind einige weitere Beispiele:

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 512 Policer und keine Zähler enthalten. Später in Ihrer Konfigurationsdatei enthalten Sie einen weiteren Ausgangsfilter mit 10 Begriffen, von denen 1 einen Zähler ändert. Keine der Bedingungen in diesem Filter wird zugesagt, da nicht genügend TCAM-Bereich für den Zähler vorhanden ist.

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 500 Policer umfassen, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei enthalten Sie die folgenden zwei Egress-Filter:

    • Filtern Sie A mit 20 Begriffen und 20 Zählern. Alle Bedingungen in diesem Filter werden zugesagt, da für alle Zähler ausreichend TCAM-Platz zur Verfügung steht.

    • Filter B kommt hinter Filter A und hat fünf Begriffe und fünf Zähler. Keine der Bedingungen in diesem Filter wird zugesagt, da nicht genug Speicherplatz für alle Leistungsindikatoren zur Verfügung steht. (Fünf TCAM-Anmeldungen sind erforderlich, aber nur vier sind verfügbar.)

Lösung

Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Begriffe für ausgehende Firewall-Filter mit Gegenmaßnahmen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall engagiert Junos OS Policer, auch wenn nicht genug TCAM-Bereich für implizite Zähler vorhanden ist. Gehen Sie beispielsweise von folgendem aus:

  • Es gibt Begriffe für 1024-Firewall-Filter mit Gegenmaßnahmen.

  • Später in Ihrer Konfigurationsdatei wird ein Ausgangsfilter mit 10 Bedingungen angezeigt. Keine der Begriffe hat Zähler, aber bei einer wird eine Policer-Aktion ändern.

Sie können den Filter erfolgreich mit 10 Bedingungen festlegen, obwohl es nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers gibt. Der Policer wird ohne die Zähler engagiert.