Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Planen der Anzahl der zu erstellenden Firewallfilter

So erhöhen Sie die Anzahl der Firewall-Filter

Es gibt mehrere Möglichkeiten, die Anzahl der Firewall-Filter auf Ihrem Gerät zu erhöhen:

  • (QFX5220) Um mehr als 512 Ausgangs-VLAN-Filter zu erstellen, geben Sie die erste VLAN-ID als 6, die zweite VLAN-ID als 7, die dritte VLAN-ID als 8 usw. an. Für jedes VLAN, das Sie konfigurieren, erhöht sich die Anzahl um 1 und setzt sich über die VLAN-ID 1029 fort. Wenn Sie weniger als 512 Ausgangs-VLAN-Filter erstellen möchten, aber die Gesamtzahl der Begriffe in diesen Filtern mehr als 512 betragen soll, stellen Sie sicher, dass Sie Ihre VLAN-IDs auf die gleiche Weise nummerieren. Andernfalls beträgt die Gesamtzahl der zulässigen Begriffe oder Filter weniger als 1024 und bleibt bei 512.

  • Ab Junos OS Version 19.1R1 können Sie die Anzahl der Firewallfilter für Ausgangs-VLAN auf dem QFX5110 von 1024 auf 2048 erhöhen, indem Sie die Option verwenden.egress-to-ingress Sie fügen diese Option unter der Anweisung in der Hierarchie ein. from [edit firewall]

    Ab Junos OS Evolved Version 19.4R2 können Sie bis zu 2000 Ausgangs-Firewallfilter auf der QFX5220 konfigurieren, indem Sie die Option unter der Anweisung auf Hierarchieebene einfügen.egress-scale eracl-profile [edit system packet-forwarding-option firewall] Diese Funktion wird nur in Ausgangsrichtung (gerouteter Datenverkehr, der das Gerät verlässt) unterstützt.

    Beachten Sie bei der Konfiguration dieser Funktion Folgendes:

    • Es ist nicht möglich, Filter mit denselben Übereinstimmungsbedingungen auf verschiedene Ausgangs-VLANs oder Layer-3-Schnittstellen anzuwenden.

    • Sie können die Ausgangsskalierung nicht auf GRE-Schnittstellen anwenden.

    • Wenn ein Paket mit mehreren Filtern mit unterschiedlichen Qualifizierern übereinstimmt und Sie es auf verschiedene Ausgangsschnittstellen anwenden, kann dies zu unvorhersehbarem Verhalten führen.

    • Sie können die Option nur im globalen Modus konfigurieren.egress-scale Die neue CLI-Konfiguration wird im globalen Modus bereitgestellt. Sobald ein Benutzer die ERACL-Gruppe im Ausgangsskalierungsmodus (Egress to Ingress) konfiguriert hat, kann er ERACL nicht mehr auf die ältere Weise konfigurieren, dh ohne den IFP-Tcam-Speicherplatz zu verwenden. Mit anderen Worten, ERACL im gemischten Modus wird nicht unterstützt.

TCAM

Der ternäre adressierbare Speicher (TCAM) für Firewallfilter ist in Slices unterteilt, die 256 Begriffe aufnehmen. Wenn Sie einen Firewallfilter konfigurieren, müssen sich alle Begriffe in einem Speicherslice in Filtern desselben Typs befinden und in derselben Richtung angewendet werden. Ein Memory Slice wird reserviert, sobald Sie einen Filter festschreiben. Wenn Sie z. B. einen Portfilter erstellen und ihn in Eingaberichtung anwenden, wird ein Speicher-Slice reserviert, in dem nur Eingangsportfilter gespeichert werden. Wenn Sie nur einen Eingangsportfilter erstellen und anwenden und dieser Filter nur einen Begriff hat, wird der Rest dieses Slices nicht verwendet und ist für andere Filtertypen nicht verfügbar.

HINWEIS:

In einer EVPN-Umgebung unterstützen die Switches der QFX5200 Serie bis zu 512 TCAM-Einträge.

Angenommen, Sie erstellen und wenden 256 Eingangsportfilter mit jeweils einem Begriff an, sodass ein Speicherslice gefüllt wird. Dadurch stehen zwei weitere Speicher-Slices für Eingangsfilter zur Verfügung. (In diesem Fall beträgt die maximale Anzahl von Eingangstermen 768.) Wenn Sie dann einen Eingangs-Layer-3-Filter mit einem Begriff erstellen und anwenden, wird ein weiterer Speicher-Slice für Eingangs-Layer-3-Filter reserviert. Wie zuvor ist der Rest des Slices ungenutzt und für verschiedene Filtertypen nicht verfügbar. Jetzt steht ein Speicher-Slice für jeden Eingangsfiltertyp zur Verfügung.

Nehmen wir nun an, dass Sie einen VLAN-Eingangsfilter erstellen und anwenden. Der letzte Speicher-Slice ist für VLAN-Eingangsfilter reserviert. Die Speicherzuweisung für Eingangsfilter (auch hier unter der Annahme eines Begriffs pro Filter) lautet:

  • Scheibe 1: Gefüllt mit 256 Eingangsport-Filtern. Sie können keine weiteren Eingangsportfilter festlegen.

  • Scheibe 2: Enthält einen Eingangs-Layer-3-Filter mit einem Begriff. Sie können 255 weitere Begriffe in Eingangs-Layer-3-Filtern festschreiben.

  • Scheibe 3: Enthält einen Eingangs-VLAN-Filter mit einem Begriff. Sie können 255 weitere Begriffe in Eingangs-VLAN-Filtern festschreiben.

Hier ist ein weiteres Beispiel. Angenommen, Sie erstellen 257 Eingangsportfilter mit einem Begriff pro Filter, d. h., Sie erstellen einen Begriff mehr, als ein einzelner Speicherslice aufnehmen kann. Wenn Sie die Filter anwenden und die Konfiguration bestätigen, lautet die Speicherzuweisung des Filters:

  • Scheibe 1: Gefüllt mit 256 Eingangsport-Filtern. Sie können keine weiteren Eingangsportfilter anwenden.

  • Scheibe 2: Enthält einen Eingangsportfilter. Sie können 255 weitere Begriffe in Eingangsportfiltern anwenden.

  • Scheibe 3: Dieser Slice ist nicht zugewiesen. Sie können 256 Begriffe in Eingangsfiltern eines beliebigen Typs (Port, Layer 3 oder VLAN) erstellen und anwenden, aber alle Filter müssen vom gleichen Typ sein.

HINWEIS:

Alle oben genannten Beispiele gelten auch für Ausgangsfilter. Der Unterschied besteht darin, dass vier Speicher-Slices verwendet werden, da IPv4- und IPv6-Layer-3-Filter in separaten Slices gespeichert werden. Die Speicherschichten für Ausgangsfilter haben die gleiche Größe wie die für Eingangsfilter, sodass die maximale Anzahl von Filtern gleich ist (1024).

Vermeiden Sie die Konfiguration von zu vielen Filtern

Wenn Sie gegen eine dieser Einschränkungen verstoßen und einen Commit für eine Konfiguration ausführen, die nicht konform ist, lehnt Junos OS die übermäßigen Filter ab. Wenn Sie beispielsweise 300 Eingangsportfilter und 300 Eingangs-Layer-3-Filter konfigurieren und versuchen, die Konfiguration zu bestätigen, führt Junos OS Folgendes aus (wiederum unter der Annahme eines Begriffs pro Filter):

  • Akzeptiert die 300 Eingangsportfilter (Speicherung in zwei Speicherschichten).

  • Akzeptiert die ersten 256 Eingangs-Layer-3-Filter, die es verarbeitet (und speichert sie im dritten Speicher-Slice).

  • Lehnt die verbleibenden 44 Eingangs-Layer-3-Filter ab.

HINWEIS:

Stellen Sie sicher, dass Sie die übermäßigen Filter (z. B. die verbleibenden 44 Eingangs-Layer-3-Filter) aus der Konfiguration löschen, bevor Sie das Gerät neu starten. Wenn Sie ein Gerät mit einer nicht kompatiblen Konfiguration neu starten, ist es schwer vorherzusagen, welche Filter nach dem Neustart installiert wurden. Im obigen Beispiel könnten die 44 Eingangs-Layer-3-Filter, die ursprünglich abgelehnt wurden, installiert werden, und 44 der ursprünglich akzeptierten Portfilter könnten abgelehnt werden.

TCAM-Fehlermeldungen konfigurieren

Wenn Sie nicht über TCAM-Speicherplatz verfügen und keinen Firewall-Filter installieren können, können Sie Ihren Switch so konfigurieren, dass Fehlermeldungen auf folgende Weise gesendet werden:

  • Geben Sie die Eingabetaste ein, um Fehlermeldungen an eine Syslog-Datei zu senden.set system syslog file filename pfe emergency

  • Geben Sie die Eingabetaste ein, um Fehlermeldungen an die Konsole zu senden.set system syslog console pfe emergency

  • Geben Sie die Eingabetaste ein, um Fehlermeldungen an eine SSH-Terminalsitzung zu senden.set system syslog user user-login pfe emergency

So erhöhen Sie die Skalierung von Firewall-Filtern mithilfe von Profilen

Wenn Sie einen Firewallfilter konfigurieren, stellt die term-Anweisung in der Firewallfilterkonfiguration einen umfangreichen Satz von Übereinstimmungsbedingungen bereit. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können je nach Anforderung eine oder mehrere Übereinstimmungsbedingungen definieren. Wenn ein Paket mit einem Filter übereinstimmt, führt das Gerät die im Begriff angegebene Aktion aus. Die Skalierbarkeit von Firewall-Filtern hängt im Allgemeinen von der Anzahl der verwendeten Übereinstimmungsbedingungen ab.

In typischen Bereitstellungsszenarien müssen Sie nur eine Teilmenge der Übereinstimmungsbedingungen verwenden. Mit der Einführung von Profilen können Sie eines der verfügbaren Firewall-Filterprofile mit vordefinierten Übereinstimmungsbedingungen verwenden, um die Anzahl der verwendeten Firewall-Filter zu erhöhen, um eine maximale Skalierung zu erreichen.

Sie können Firewall-Filterprofile für Family inet und Ethernet-basiertes Switching konfigurieren. Verwenden Sie die Konfigurationsanweisung profiles auf der Hierarchieebene [edit system packet-forwarding-options firewall], um Firewallfilterprofile zu konfigurieren.

HINWEIS:

Wenn Sie Änderungen an den Firewallfilterprofilen vornehmen, indem Sie entweder ein Profil auswählen oder von einem Profil zu einem anderen wechseln, wird die Paketweiterleitungs-Engine neu gestartet, was zu einer Unterbrechung des Datenverkehrsflusses führt.

In der folgenden Tabelle werden die Firewall-Filterprofile und die vordefinierten Übereinstimmungsbedingungen für inet- und Ethernet-basiertes Switching beschrieben.

Tabelle 1: Firewall-Filterprofil und Übereinstimmungsbedingungen
Familientyp Firewall-Filterprofile Übereinstimmungsbedingung (vordefiniert) Konfigurationshierarchie
inet (IPv4/IPv6) profile1

ip-source-address

ip-source-prefix-liste

Protokoll

Nächste-Kopfzeile

Quell-Port

Zielhafen

Erstes Fragment

ist-fragment

ICMP-Code

ICMP-Typ

TCP-etabliert

tcp-initial

TCP-Flags

 [edit system packet-forwarding-options firewall profiles inet profile1]
profile2

IP-Quelladresse

ip6-Quelladresse

ip-source-prefix-liste

ip6-source-prefix-liste

Protokoll

Nächste-Kopfzeile

Quell-Port

Zielhafen

Erstes Fragment

ist-fragment

ICMP-Code

ICMP-Typ

TCP-etabliert

tcp-initial

TCP-Flags

Dscp

Vorrang

traffic-class

Ttl

hop-limit

 [edit system packet-forwarding-options firewall profiles inet profile2]
Ethernet-Switching profile1

source-mac-adresse

MAC-Zieladresse

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
Profil2

source-mac-adresse

MAC-Zieladresse

Äther-Typ

IP-Quelladresse

ip-source-prefix-liste

IP-Protokoll

Quell-Port

Zielhafen

Nächste-Kopfzeile

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
HINWEIS:

Wenn Sie ein Firewallfilterprofil auswählen, müssen Sie eine Übereinstimmungsbedingung anwenden, die Teil der vordefinierten Teilmenge der Übereinstimmungsbedingung ist. Wenn Sie eine Übereinstimmungsbedingung anwenden, die nicht Teil der vordefinierten Teilmenge der Übereinstimmungsbedingung des Firewallfilterprofils ist, tritt ein Commit-Fehler auf. Wenn Sie z. B. für den inet-Filter auswählen und die Übereinstimmungsbedingung als anwenden, die nicht Teil der vordefinierten Übereinstimmungsbedingung ist, wird während des Commit-Vorgangs eine Fehlermeldung angezeigt, die besagt, dass die Übereinstimmung nicht Teil des for-inet-Filters ist.profile1ip-destination-addressip-destination-addressprofile1

Sie können den CLI-Befehl verwenden, um die Details der Firewallfilterprofile anzuzeigen.show pfe filter hw profile-info

HINWEIS:

Das Firewall-Modul unterstützt zwei verschiedene Profile (Profil-eins und Profil-zwei) nur auf ACX EVO-Plattformen. Standardmäßig erstellt pfe profile-two und Benutzer erhalten eine CLI-Option, mit der sie zum anderen Profil wechseln können. Sobald das Profil über die CLI umgeschaltet wurde, wird pfe neu gestartet.

IPV6 IFF-Filter: Profile-one unterstützt sip6 bis zu 128 Bit. Profile-two unterstützt sip6 bis 64bit.

Ipv6 lo0 Filter: Profile-one unterstützt dip6 bis zu 128bit. Profile-two unterstützt dip6 bis zu 64bit.

IPv6-BGP-Flow-Spec-Filter und IPv6-FTF-Filter werden nur in Profil-zwei unterstützt.

Kategorie PMF-Funktionen Profil Zwei Profil Eins

Familie Beliebig

IPv6-IFL-Filter

Ja

Ja
 

IPv6-IFL-Filter – Protokoll-/Syslog-/Ablehnungsaktion

Nein

Nein

Familienfilter

IPv6-IFF-Filter

Ja

Ja
 

IPv6 IFF-Filter - SIP6=128bit Übereinstimmung

Nein

Ja
 

IPv6-IFF-Filter – L4-Übereinstimmungen

Ja

Ja
 

IPv6-IFF-Filter – Protokoll-/Syslog-/Ablehnungsaktion

Ja

Ja

Lo0-Filter

IPv6 Lo0-Filter - Hw-Unterstützung

Ja

Ja
 

IPv6 Lo0-Filter – VRF-Anhang

Ja

Nein
 

IPv6 Lo0-Filter - SW-Unterstützung

Ja

Ja
 

dip6 128bit Übereinstimmung

Nein

Ja

Um eine maximale Skalierung der Firewallfilter zu erreichen, wird empfohlen, Filter auf Schnittstellenebene (Layer 2 oder Layer 3) anzuwenden und die Filter gleichmäßig auf die Schnittstellen verschiedener Paketverarbeitungspipelines zu verteilen. Jeder Satz von Schnittstellen wird einer Paketverarbeitungspipeline zugeordnet, die die auf diesen Schnittstellen empfangenen Pakete verarbeitet. In diesem Fall werden die Firewallfilter im TCAM-Speicherbereich der Paketverarbeitungspipeline installiert, der der jeweiligen Schnittstelle zugeordnet ist.

Wenn ein Paket in eine Schnittstelle gelangt, führt der Firewallfilter Filteraktionen für das Paket in der Paketverarbeitungspipeline basierend auf den Übereinstimmungsbedingungen durch, bevor eine Ausgangsschnittstelle verlassen wird. Wenn bei mehreren Paketverarbeitungspipelines Pakete über mehrere Schnittstellen in ein Gerät gelangen, führt der Firewallfilter Filteraktionen für die Pakete durch, die die jeweiligen Paketverarbeitungspipelines durchlaufen. Wenn die Filter auf Schnittstellenebene gleichmäßig auf die Schnittstellen verschiedener Paketverarbeitungspipelines verteilt sind, ergibt sich eine bessere Skalierung

Sie können den CLI-Befehl verwenden, um die Details der Paketverarbeitungspipeline anzuzeigen, der jede physische Schnittstelle zugeordnet ist.show pfe filter hw port-pipe-info Die Ausgabe dieses CLI-Befehls enthält auch Informationen zu den Firewallfiltern, die in einer Paketverarbeitungspipeline installiert sind. Sie können diese Informationen verwenden, um Firewallfilter zu planen und auf Pipelines zu verteilen, um eine maximale Skalierung zu erreichen.

Die folgende Beispielausgabe des CLI-Befehls zeigt die Details der Paketverarbeitungspipeline, der jede physische Schnittstelle zugeordnet ist:show pfe filter hw port-pipe-info

Wie Policer Ausgangsfilter begrenzen können

Bei einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Ausgangs-Policer auf die Gesamtzahl der zulässigen Ausgangs-Firewall-Filter auswirken. Jeder Policer hat zwei implizite Zähler, die zwei Einträge in einem TCAM mit 1024 Einträgen belegen. Diese werden für Leistungsindikatoren verwendet, einschließlich Leistungsindikatoren, die in Firewallfilterbegriffen als Aktionsmodifizierer konfiguriert sind. (Policer verbrauchen zwei Einträge, da einer für grüne Pakete und einer für nicht-grüne Pakete verwendet wird, unabhängig vom Polizeityp.) Wenn das TCAM voll wird, können Sie keine weiteren Ausgangs-Firewallfilter mit Termen mit Zählern festlegen. Wenn Sie z. B. 512 Ausgangs-Policer konfigurieren und festschreiben (zweifarbig, dreifarbig oder eine Kombination aus beiden Policer-Typen), werden alle Speichereinträge für Zähler aufgebraucht. Wenn Sie später in der Konfigurationsdatei zusätzliche Ausgangsfirewallfilter mit Begriffen einfügen, die auch Leistungsindikatoren enthalten, wird für keinen der Begriffe in diesen Filtern ein Commit ausgeführt, da kein Speicherplatz für die Leistungsindikatoren verfügbar ist.

Hier sind einige weitere Beispiele:

  • Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 512 Policer und keine Leistungsindikatoren enthalten. Später in der Konfigurationsdatei fügen Sie einen weiteren Ausgangsfilter mit 10 Termen ein, von denen 1 über einen Gegenaktionsmodifizierer verfügt. Keiner der Begriffe in diesem Filter ist festgeschrieben, da nicht genügend TCAM-Speicherplatz für den Zähler vorhanden ist.

  • Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 500 Policer enthalten, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei fügen Sie die folgenden beiden Ausgangsfilter ein:

    • Filter A mit 20 Begriffen und 20 Leistungsindikatoren. Für alle Begriffe in diesem Filter wird ein Commit ausgeführt, da genügend TCAM-Speicherplatz für alle Leistungsindikatoren vorhanden ist.

    • Filter B kommt nach Filter A und hat fünf Terme und fünf Indikatoren. Für keinen der Begriffe in diesem Filter wurde ein Commit ausgeführt, da nicht genügend Speicherplatz für alle Leistungsindikatoren vorhanden ist. (Fünf TCAM-Einträge sind erforderlich, aber nur vier sind verfügbar.)

Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Ausgangsfirewall-Filterbegriffe mit Gegenaktionen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall führt Junos OS einen Commit für Policer aus, auch wenn nicht genügend TCAM-Speicherplatz für die impliziten Zähler vorhanden ist. Nehmen Sie zum Beispiel Folgendes an:

  • Sie verfügen über 1024 Ausgangs-Firewall-Filterbegriffe mit Gegenaktionen.

  • Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keiner der Begriffe hat Zähler, aber einer hat einen Polizeiaktionsmodifikator.

Sie können den Filter mit 10 Begriffen erfolgreich festschreiben, obwohl nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers vorhanden ist. Der Polizist wird ohne die Zähler begangen.

Planen für filterspezifische Policer

Sie können Policer so konfigurieren, dass sie filterspezifisch sind. Dies bedeutet, dass Junos OS nur eine Policer-Instanz erstellt, unabhängig davon, wie oft auf den Policer verwiesen wird. Wenn Sie dies tun, wird die Ratenbegrenzung aggregiert angewendet. Wenn Sie also einen Policer so konfigurieren, dass Datenverkehr verworfen wird, der 1 Gbit/s überschreitet, und diesen Policer in drei verschiedenen Begriffen referenziert wird, beträgt die vom Filter zulässige Gesamtbandbreite 1 Gbit/s. Das Verhalten eines filterspezifischen Policers wird jedoch davon beeinflusst, wie die Firewallfilterbegriffe, die auf den Policer verweisen, im ternären Content Addressable Memory (TCAM) gespeichert werden. Wenn Sie einen filterspezifischen Policer erstellen und in mehreren Firewallfilterbegriffen darauf verweisen, lässt der Policer mehr Datenverkehr als erwartet zu, wenn die Begriffe in verschiedenen TCAM-Slices gespeichert sind. Wenn Sie z. B. einen Policer so konfigurieren, dass Datenverkehr verworfen wird, der 1 Gbit/s überschreitet, und diesen Policer in drei verschiedenen Begriffen referenziert, die in drei separaten Speicherslices gespeichert sind, beträgt die vom Filter zulässige Gesamtbandbreite 3 Gbit/s und nicht 1 Gbit/s.

Um dieses unerwartete Verhalten zu verhindern, verwenden Sie die obigen Informationen zu TCAM-Slices, um Ihre Konfigurationsdatei so zu organisieren, dass alle Firewall-Filterbegriffe, die auf einen bestimmten filterspezifischen Policer verweisen, im selben TCAM-Slice gespeichert werden.

Planen der filterbasierten Weiterleitung

Sie können Firewall-Filter zusammen mit virtuellen Routing-Instanzen verwenden, um verschiedene Routen für Pakete anzugeben, die in ihren Netzwerken übertragen werden sollen. Um diese Funktion einzurichten, die als filterbasierte Weiterleitung bezeichnet wird, geben Sie einen Filter und Übereinstimmungskriterien an und geben dann die virtuelle Routinginstanz an, an die Pakete gesendet werden sollen. Filter, die auf diese Weise verwendet werden, verbrauchen auch Speicher in einem zusätzlichen TCAM. Weitere Informationen finden Sie unter Grundlegendes zu FIP-Snooping, FBF und Skalierbarkeit von MVR-Filtern .Understanding FIP Snooping, FBF, and MVR Filter Scalability Der Abschnitt FBF-Filter-VFP-TCAM-Verbrauch in diesem Thema befasst sich speziell mit der Anzahl der unterstützten Filter bei Verwendung der filterbasierten Weiterleitung.

HINWEIS:

Die filterbasierte Weiterleitung funktioniert bei einigen Juniper Switches nicht mit IPv6-Schnittstellen.

Verwandte Themen

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
19.4R2-EVO
Ab Junos OS Evolved Version 19.4R2 können Sie bis zu 2000 Ausgangs-Firewallfilter auf der QFX5220 konfigurieren, indem Sie die Option unter der Anweisung auf Hierarchieebene einfügen.egress-scale eracl-profile [edit system packet-forwarding-option firewall]
19.1R1
Ab Junos OS Version 19.1R1 können Sie die Anzahl der Firewallfilter für Ausgangs-VLAN auf dem QFX5110 von 1024 auf 2048 erhöhen, indem Sie die Option verwenden.egress-to-ingress