Planen der Anzahl der zu erstellenden Firewallfilter

Es gibt mehrere Möglichkeiten, die Anzahl der Firewall-Filter auf Ihrem Gerät zu erhöhen:

• (QFX5220) Um mehr als 512 Ausgangs-VLAN-Filter zu erstellen, geben Sie die erste VLAN-ID als 6, die zweite VLAN-ID als 7, die dritte VLAN-ID als 8 usw. an. Für jedes VLAN, das Sie konfigurieren, erhöht sich die Anzahl um 1 und setzt sich über die VLAN-ID 1029 fort. Wenn Sie weniger als 512 Ausgangs-VLAN-Filter erstellen möchten, aber die Gesamtzahl der Begriffe in diesen Filtern mehr als 512 betragen soll, stellen Sie sicher, dass Sie Ihre VLAN-IDs auf die gleiche Weise nummerieren. Andernfalls beträgt die Gesamtzahl der zulässigen Begriffe oder Filter weniger als 1024 und bleibt bei 512.

• Ab Junos OS Version 19.1R1 können Sie die Anzahl der Firewallfilter für Ausgangs-VLAN auf dem QFX5110 von 1024 auf 2048 erhöhen, indem Sie die egress-to-ingress Option verwenden. Sie fügen diese Option unter der from Anweisung in der [edit firewall] Hierarchie ein.

  Ab Junos OS Evolved Version 19.4R2 können Sie bis zu 2000 Ausgangs-Firewallfilter auf der QFX5220 konfigurieren, indem Sie die egress-scale Option unter der eracl-profile Anweisung auf Hierarchieebene [edit system packet-forwarding-option firewall] einfügen. Diese Funktion wird nur in Ausgangsrichtung (gerouteter Datenverkehr, der das Gerät verlässt) unterstützt.

  Beachten Sie bei der Konfiguration dieser Funktion Folgendes:

  • Es ist nicht möglich, Filter mit denselben Übereinstimmungsbedingungen auf verschiedene Ausgangs-VLANs oder Layer-3-Schnittstellen anzuwenden.

  • Sie können die Ausgangsskalierung nicht auf GRE-Schnittstellen anwenden.

  • Wenn ein Paket mit mehreren Filtern mit unterschiedlichen Qualifizierern übereinstimmt und Sie es auf verschiedene Ausgangsschnittstellen anwenden, kann dies zu unvorhersehbarem Verhalten führen.

  • Sie können die egress-scale Option nur im globalen Modus konfigurieren. Die neue CLI-Konfiguration wird im globalen Modus bereitgestellt. Sobald ein Benutzer die ERACL-Gruppe im Ausgangsskalierungsmodus (Egress to Ingress) konfiguriert hat, kann er ERACL nicht mehr auf die ältere Weise konfigurieren, dh ohne den IFP-Tcam-Speicherplatz zu verwenden. Mit anderen Worten, ERACL im gemischten Modus wird nicht unterstützt.

Der ternäre adressierbare Speicher (TCAM) für Firewallfilter ist in Slices unterteilt, die 256 Begriffe aufnehmen. Wenn Sie einen Firewallfilter konfigurieren, müssen sich alle Begriffe in einem Speicherslice in Filtern desselben Typs befinden und in derselben Richtung angewendet werden. Ein Memory Slice wird reserviert, sobald Sie einen Filter festschreiben. Wenn Sie z. B. einen Portfilter erstellen und ihn in Eingaberichtung anwenden, wird ein Speicher-Slice reserviert, in dem nur Eingangsportfilter gespeichert werden. Wenn Sie nur einen Eingangsportfilter erstellen und anwenden und dieser Filter nur einen Begriff hat, wird der Rest dieses Slices nicht verwendet und ist für andere Filtertypen nicht verfügbar.

Angenommen, Sie erstellen und wenden 256 Eingangsportfilter mit jeweils einem Begriff an, sodass ein Speicherslice gefüllt wird. Dadurch stehen zwei weitere Speicher-Slices für Eingangsfilter zur Verfügung. (In diesem Fall beträgt die maximale Anzahl von Eingangstermen 768.) Wenn Sie dann einen Eingangs-Layer-3-Filter mit einem Begriff erstellen und anwenden, wird ein weiterer Speicher-Slice für Eingangs-Layer-3-Filter reserviert. Wie zuvor ist der Rest des Slices ungenutzt und für verschiedene Filtertypen nicht verfügbar. Jetzt steht ein Speicher-Slice für jeden Eingangsfiltertyp zur Verfügung.

Nehmen wir nun an, dass Sie einen VLAN-Eingangsfilter erstellen und anwenden. Der letzte Speicher-Slice ist für VLAN-Eingangsfilter reserviert. Die Speicherzuweisung für Eingangsfilter (auch hier unter der Annahme eines Begriffs pro Filter) lautet:

• Scheibe 1: Gefüllt mit 256 Eingangsport-Filtern. Sie können keine weiteren Eingangsportfilter festlegen.

• Scheibe 2: Enthält einen Eingangs-Layer-3-Filter mit einem Begriff. Sie können 255 weitere Begriffe in Eingangs-Layer-3-Filtern festschreiben.

• Scheibe 3: Enthält einen Eingangs-VLAN-Filter mit einem Begriff. Sie können 255 weitere Begriffe in Eingangs-VLAN-Filtern festschreiben.

Hier ist ein weiteres Beispiel. Angenommen, Sie erstellen 257 Eingangsportfilter mit einem Begriff pro Filter, d. h., Sie erstellen einen Begriff mehr, als ein einzelner Speicherslice aufnehmen kann. Wenn Sie die Filter anwenden und die Konfiguration bestätigen, lautet die Speicherzuweisung des Filters:

• Scheibe 1: Gefüllt mit 256 Eingangsport-Filtern. Sie können keine weiteren Eingangsportfilter anwenden.

• Scheibe 2: Enthält einen Eingangsportfilter. Sie können 255 weitere Begriffe in Eingangsportfiltern anwenden.

• Scheibe 3: Dieser Slice ist nicht zugewiesen. Sie können 256 Begriffe in Eingangsfiltern eines beliebigen Typs (Port, Layer 3 oder VLAN) erstellen und anwenden, aber alle Filter müssen vom gleichen Typ sein.

Wenn Sie gegen eine dieser Einschränkungen verstoßen und einen Commit für eine Konfiguration ausführen, die nicht konform ist, lehnt Junos OS die übermäßigen Filter ab. Wenn Sie beispielsweise 300 Eingangsportfilter und 300 Eingangs-Layer-3-Filter konfigurieren und versuchen, die Konfiguration zu bestätigen, führt Junos OS Folgendes aus (wiederum unter der Annahme eines Begriffs pro Filter):

• Akzeptiert die 300 Eingangsportfilter (Speicherung in zwei Speicherschichten).

• Akzeptiert die ersten 256 Eingangs-Layer-3-Filter, die es verarbeitet (und speichert sie im dritten Speicher-Slice).

• Lehnt die verbleibenden 44 Eingangs-Layer-3-Filter ab.

Wenn Sie nicht über TCAM-Speicherplatz verfügen und keinen Firewall-Filter installieren können, können Sie Ihren Switch so konfigurieren, dass Fehlermeldungen auf folgende Weise gesendet werden:

• Geben Sie die Eingabetaste set system syslog file filename pfe emergency ein, um Fehlermeldungen an eine Syslog-Datei zu senden.

• Geben Sie die Eingabetaste set system syslog console pfe emergency ein, um Fehlermeldungen an die Konsole zu senden.

• Geben Sie die Eingabetaste set system syslog user user-login pfe emergency ein, um Fehlermeldungen an eine SSH-Terminalsitzung zu senden.

Wenn Sie einen Firewallfilter konfigurieren, stellt die term-Anweisung in der Firewallfilterkonfiguration einen umfangreichen Satz von Übereinstimmungsbedingungen bereit. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können je nach Anforderung eine oder mehrere Übereinstimmungsbedingungen definieren. Wenn ein Paket mit einem Filter übereinstimmt, führt das Gerät die im Begriff angegebene Aktion aus. Die Skalierbarkeit von Firewall-Filtern hängt im Allgemeinen von der Anzahl der verwendeten Übereinstimmungsbedingungen ab.

In typischen Bereitstellungsszenarien müssen Sie nur eine Teilmenge der Übereinstimmungsbedingungen verwenden. Mit der Einführung von Profilen können Sie eines der verfügbaren Firewall-Filterprofile mit vordefinierten Übereinstimmungsbedingungen verwenden, um die Anzahl der verwendeten Firewall-Filter zu erhöhen, um eine maximale Skalierung zu erreichen.

Sie können Firewall-Filterprofile für Family inet und Ethernet-basiertes Switching konfigurieren. Verwenden Sie die Konfigurationsanweisung profiles auf der Hierarchieebene [edit system packet-forwarding-options firewall], um Firewallfilterprofile zu konfigurieren.

In der folgenden Tabelle werden die Firewall-Filterprofile und die vordefinierten Übereinstimmungsbedingungen für inet- und Ethernet-basiertes Switching beschrieben.

Sie können den show pfe filter hw profile-info CLI-Befehl verwenden, um die Details der Firewallfilterprofile anzuzeigen.

Um eine maximale Skalierung der Firewallfilter zu erreichen, wird empfohlen, Filter auf Schnittstellenebene (Layer 2 oder Layer 3) anzuwenden und die Filter gleichmäßig auf die Schnittstellen verschiedener Paketverarbeitungspipelines zu verteilen. Jeder Satz von Schnittstellen wird einer Paketverarbeitungspipeline zugeordnet, die die auf diesen Schnittstellen empfangenen Pakete verarbeitet. In diesem Fall werden die Firewallfilter im TCAM-Speicherbereich der Paketverarbeitungspipeline installiert, der der jeweiligen Schnittstelle zugeordnet ist.

Wenn ein Paket in eine Schnittstelle gelangt, führt der Firewallfilter Filteraktionen für das Paket in der Paketverarbeitungspipeline basierend auf den Übereinstimmungsbedingungen durch, bevor eine Ausgangsschnittstelle verlassen wird. Wenn bei mehreren Paketverarbeitungspipelines Pakete über mehrere Schnittstellen in ein Gerät gelangen, führt der Firewallfilter Filteraktionen für die Pakete durch, die die jeweiligen Paketverarbeitungspipelines durchlaufen. Wenn die Filter auf Schnittstellenebene gleichmäßig auf die Schnittstellen verschiedener Paketverarbeitungspipelines verteilt sind, ergibt sich eine bessere Skalierung

Sie können den show pfe filter hw port-pipe-info CLI-Befehl verwenden, um die Details der Paketverarbeitungspipeline anzuzeigen, der jede physische Schnittstelle zugeordnet ist. Die Ausgabe dieses CLI-Befehls enthält auch Informationen zu den Firewallfiltern, die in einer Paketverarbeitungspipeline installiert sind. Sie können diese Informationen verwenden, um Firewallfilter zu planen und auf Pipelines zu verteilen, um eine maximale Skalierung zu erreichen.

Die folgende Beispielausgabe des show pfe filter hw port-pipe-info CLI-Befehls zeigt die Details der Paketverarbeitungspipeline, der jede physische Schnittstelle zugeordnet ist:

Bei einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Ausgangs-Policer auf die Gesamtzahl der zulässigen Ausgangs-Firewall-Filter auswirken. Jeder Policer hat zwei implizite Zähler, die zwei Einträge in einem TCAM mit 1024 Einträgen belegen. Diese werden für Leistungsindikatoren verwendet, einschließlich Leistungsindikatoren, die in Firewallfilterbegriffen als Aktionsmodifizierer konfiguriert sind. (Policer verbrauchen zwei Einträge, da einer für grüne Pakete und einer für nicht-grüne Pakete verwendet wird, unabhängig vom Polizeityp.) Wenn das TCAM voll wird, können Sie keine weiteren Ausgangs-Firewallfilter mit Termen mit Zählern festlegen. Wenn Sie z. B. 512 Ausgangs-Policer konfigurieren und festschreiben (zweifarbig, dreifarbig oder eine Kombination aus beiden Policer-Typen), werden alle Speichereinträge für Zähler aufgebraucht. Wenn Sie später in der Konfigurationsdatei zusätzliche Ausgangsfirewallfilter mit Begriffen einfügen, die auch Leistungsindikatoren enthalten, wird für keinen der Begriffe in diesen Filtern ein Commit ausgeführt, da kein Speicherplatz für die Leistungsindikatoren verfügbar ist.

Hier sind einige weitere Beispiele:

• Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 512 Policer und keine Leistungsindikatoren enthalten. Später in der Konfigurationsdatei fügen Sie einen weiteren Ausgangsfilter mit 10 Termen ein, von denen 1 über einen Gegenaktionsmodifizierer verfügt. Keiner der Begriffe in diesem Filter ist festgeschrieben, da nicht genügend TCAM-Speicherplatz für den Zähler vorhanden ist.

• Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 500 Policer enthalten, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei fügen Sie die folgenden beiden Ausgangsfilter ein:

  • Filter A mit 20 Begriffen und 20 Leistungsindikatoren. Für alle Begriffe in diesem Filter wird ein Commit ausgeführt, da genügend TCAM-Speicherplatz für alle Leistungsindikatoren vorhanden ist.

  • Filter B kommt nach Filter A und hat fünf Terme und fünf Indikatoren. Für keinen der Begriffe in diesem Filter wurde ein Commit ausgeführt, da nicht genügend Speicherplatz für alle Leistungsindikatoren vorhanden ist. (Fünf TCAM-Einträge sind erforderlich, aber nur vier sind verfügbar.)

Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Ausgangsfirewall-Filterbegriffe mit Gegenaktionen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall führt Junos OS einen Commit für Policer aus, auch wenn nicht genügend TCAM-Speicherplatz für die impliziten Zähler vorhanden ist. Nehmen Sie zum Beispiel Folgendes an:

• Sie verfügen über 1024 Ausgangs-Firewall-Filterbegriffe mit Gegenaktionen.

• Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keiner der Begriffe hat Zähler, aber einer hat einen Polizeiaktionsmodifikator.

Sie können den Filter mit 10 Begriffen erfolgreich festschreiben, obwohl nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers vorhanden ist. Der Polizist wird ohne die Zähler begangen.

Sie können Policer so konfigurieren, dass sie filterspezifisch sind. Dies bedeutet, dass Junos OS nur eine Policer-Instanz erstellt, unabhängig davon, wie oft auf den Policer verwiesen wird. Wenn Sie dies tun, wird die Ratenbegrenzung aggregiert angewendet. Wenn Sie also einen Policer so konfigurieren, dass Datenverkehr verworfen wird, der 1 Gbit/s überschreitet, und diesen Policer in drei verschiedenen Begriffen referenziert wird, beträgt die vom Filter zulässige Gesamtbandbreite 1 Gbit/s. Das Verhalten eines filterspezifischen Policers wird jedoch davon beeinflusst, wie die Firewallfilterbegriffe, die auf den Policer verweisen, im ternären Content Addressable Memory (TCAM) gespeichert werden. Wenn Sie einen filterspezifischen Policer erstellen und in mehreren Firewallfilterbegriffen darauf verweisen, lässt der Policer mehr Datenverkehr als erwartet zu, wenn die Begriffe in verschiedenen TCAM-Slices gespeichert sind. Wenn Sie z. B. einen Policer so konfigurieren, dass Datenverkehr verworfen wird, der 1 Gbit/s überschreitet, und diesen Policer in drei verschiedenen Begriffen referenziert, die in drei separaten Speicherslices gespeichert sind, beträgt die vom Filter zulässige Gesamtbandbreite 3 Gbit/s und nicht 1 Gbit/s.

Um dieses unerwartete Verhalten zu verhindern, verwenden Sie die obigen Informationen zu TCAM-Slices, um Ihre Konfigurationsdatei so zu organisieren, dass alle Firewall-Filterbegriffe, die auf einen bestimmten filterspezifischen Policer verweisen, im selben TCAM-Slice gespeichert werden.

Sie können Firewall-Filter zusammen mit virtuellen Routing-Instanzen verwenden, um verschiedene Routen für Pakete anzugeben, die in ihren Netzwerken übertragen werden sollen. Um diese Funktion einzurichten, die als filterbasierte Weiterleitung bezeichnet wird, geben Sie einen Filter und Übereinstimmungskriterien an und geben dann die virtuelle Routinginstanz an, an die Pakete gesendet werden sollen. Filter, die auf diese Weise verwendet werden, verbrauchen auch Speicher in einem zusätzlichen TCAM. Weitere Informationen finden Sie unter Grundlegendes zu FIP-Snooping, FBF und Skalierbarkeit von MVR-Filtern . Der Abschnitt FBF-Filter-VFP-TCAM-Verbrauch in diesem Thema befasst sich speziell mit der Anzahl der unterstützten Filter bei Verwendung der filterbasierten Weiterleitung.