Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Die Anzahl der zu erstellenden Firewallfilter planen

Maximale Anzahl unterstützter Firewallfilter

Tabelle 1 zeigt die maximale Anzahl an Firewall-Filtern an, die jeder Switch unterstützt. Die Gesamtanzahl der aggregierten Filter wird angewendet. Auf den switches QFX5200 und QFX5210 können Sie insgesamt 768 Begriffe in die Eingangsrichtung und 1.024 Begriffe in die Ausgaberichtung anwenden. Die tatsächliche Anzahl der von einem Switch unterstützten Filter hängt davon ab, wie die Filter im ternary Content Addressable Memory (TCAM) gespeichert werden.

Für QFX5120-48Y- und EX4650-Switches, auf denen Junos OS Release 20.3R1 oder höher ausgeführt wird, kann der Befehl die Standardsystem-Begrenzung für [set chassis loopback-firewall-optimization Loopback-Filterbedingungen auf 768 für IPv6 und 1152 Bedingungen für IPv4 erhöhen.

Um zu sehen, wie viele Filter bereits auf dem Switch programmiert sind, geben Sie den Befehl show pfe filter hw summary ein. Auf QFX5220-Switches können Sie die Anzahl der Filter im Shell-Modus anzeigen. Geben Sie den Befehl und Typ an der Eingabeaufforderung in den Shell-Modus ein, um start shellcli-pfe auf den PFE-CLI zu zugreifen.

Tabelle 1: Maximale Anzahl unterstützter Firewallfilter
Filtertyp QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

Eindringen

768

1536

1536

6144

768

8.192

Ausstieg

1024

1024

2048

1024 oder 2048

1024

512 (QFX5220)

8.192

So erhöhen Sie die Anzahl der Firewall-Filter

Sie können die Anzahl der Firewall-Filter auf Ihrem Gerät auf unterschiedliche Weise erhöhen:

  • (QFX5220) Um mehr als 512 ausgehende VLAN-Filter zu erstellen, geben Sie die erste VLAN-ID als 6, die zweite VLAN-ID als 7, die dritte VLAN-ID als 5 und so weiter an. Für jedes von Ihnen konfigurierte VLAN erhöht sich die Anzahl um 1 und wird mit der VLAN-ID 1029 fortsetzt. Wenn Sie weniger als 512 ausgehende VLAN-Filter erstellen möchten, die Gesamtanzahl der Begriffe in diesen Filtern jedoch über 512 sein soll, stellen Sie sicher, dass Sie Ihre VLAN-IDs auf die gleiche Weise nummerieren. Andernfalls bleibt die Gesamtzahl der zulässigen Begriffe oder Filter kleiner als 1024 und bei 512.

  • Die Anzahl der Junos OS der 19.1R1 kann mit dieser Option die Anzahl der ausgehenden VLAN-Firewall-Filter auf dem QFX5110 von 1024 auf 2048 egress-to-ingress erhöhen. Sie fügen diese Option in die from Hierarchie [edit firewall] ein.

    Beginnend ab Junos OS Evolved Release 19.4R2 können Sie bis zu 2000 Egress-Firewall-Filter auf dem QFX5220 konfigurieren, indem Sie die Option unter der Anweisung auf der Hierarchieebene egress-scaleeracl-profile einsingen. [edit system packet-forwarding-option firewall] Diese Funktion wird nur in der Ausgangsrichtung (beim Verlassen des Geräts ausgehender Datenverkehr) unterstützt.

    Beachten Sie bei der Konfiguration dieser Funktion folgende Punkte:

    • Sie können keine Filter mit den gleichen Bedingungen auf verschiedene EGNs oder Layer 3-Schnittstellen anwenden.

    • Sie können die Ausgangsskalierung nicht auf GRE-Schnittstellen anwenden.

    • Wenn ein Paket mehreren Filtern mit verschiedenen Qualifikationsschnittstellen entspricht und Sie es auf verschiedenen Ausgangsschnittstellen anwenden, kann dies zu unvorhersehbarem Verhalten führen.

    • Sie können die Option nur egress-scale im globalen Modus konfigurieren. Die neue CLI-Konfiguration wird im globalen Modus bereitgestellt. Sobald ein Benutzer eine ERACL-Gruppe im Egress-Scale-Modus (Ausgangs- bis Ingress-Modus) konfiguriert hat, kann er ERACL nicht mehr auf die ältere Art konfigurieren, d. h. ohne IFP-Tcam-Space zu verwenden. Mit anderen Worten, ERACL im gemischten Modus wird nicht unterstützt.

TCAM

Ternary Content Addressable Memory (TCAM) für Firewall-Filter ist in Slices unterteilt, die 256 Begriffe aufnehmen. Wenn Sie einen Firewall-Filter konfigurieren, müssen alle Begriffe in einem Arbeitsspeicherbereich in Filtern desselben Typs und in der gleichen Richtung angewendet werden. Ein Arbeitsspeicher bleibt gespeichert, sobald Sie einen Filter festlegen. Wenn Sie beispielsweise einen Portfilter erstellen und ihn in die Eingangsrichtung anwenden, wird ein Arbeitsspeicherbereich reserviert, der nur Eingangs-Portfilter speichert. Wenn Sie nur einen Ingress-Portfilter erstellen und anwenden und dieser Filter nur einen Begriff hat, wird der Rest dieses Slices nicht verwendet und ist für andere Filtertypen nicht verfügbar.

Anmerkung:

In einer EVPN-Umgebung unterstützen QFX5200 512 TCAM-Einträge.

Beispielsweise erstellen Sie 256 Ingress-Portfilter mit einem Begriff, sodass ein Arbeitsspeicher gefüllt ist. Dadurch stehen zwei weitere Speichersegmente für Ingress-Filter zur Verfügung. (In diesem Fall beträgt die maximale Anzahl von Ingress-Bedingungen 768.) Wenn Sie dann einen Ingress-Layer 3-Filter mit einem Begriff erstellen und anwenden, wird ein weiterer Arbeitsspeicherbereich für Ingress-Layer 3-Filter reserviert. Wie bereits zuvor wird der Rest des Slices nicht mehr verwendet und für verschiedene Filtertypen nicht verfügbar. Es steht jetzt ein Arbeitsspeicher für jeden Filtertyp ingress zur Verfügung.

Gehen Sie jetzt davon aus, dass Sie einen VLAN-Ingress-Filter erstellen und anwenden. Der letzte Arbeitsspeicher bleibt für VLAN-Ingress-Filter reserviert. Arbeitsspeicherzuweisung für Ingress-Filter (einmal mehr als ein Begriff pro Filter) besteht in:

  • Teil 1: Gefüllt mit 256 Ingress-Port-Filtern. Sie können keine mehr Ingress-Port-Filter commitn.

  • Teil 2: Enthält einen ingress-Layer 3-Filter mit einem Begriff. Sie können 255 weitere Begriffe ingress-Layer 3-Filter festlegen.

  • Teil 3: Enthält einen Ingress-VLAN-Filter mit einem Begriff. Sie können 255 weitere Begriffe ingressige VLAN-Filter festlegen.

Dies ist ein weiteres Beispiel. Nehmen wir an, Dass Sie 257 Einding-Portfilter mit einem Begriff pro Filter erstellen, d. a. einen Begriff, den ein einzelner Arbeitsspeicher enthalten kann. Wenn Sie die Filter anwenden und die Konfiguration commit übernehmen, wird der Filterspeicher wie:

  • Teil 1: Gefüllt mit 256 Ingress-Port-Filtern. Sie können keine mehr Ingress-Port-Filter anwenden.

  • Teil 2: Enthält einen Ingress-Port-Filter. Sie können 255 weitere Begriffe ingress-Port-Filter anwenden.

  • Teil 3: Dieser Slice ist nicht zugewiesen. Sie können 256 Ingress-Filter beliebiger Art (Port, Layer 3 oder VLAN) erstellen und anwenden, doch alle Filter müssen vom selben Typ sein.

Anmerkung:

Alle oben genannten Beispiele gelten auch für Egress-Filter. Der Unterschied besteht in der Verwendung von vier Speichersegmenten, da IPv4- und IPv6-Layer-3-Filter in separaten Slices gespeichert werden. Die Speichersegmente für Egress-Filter haben die gleiche Größe wie die von Ingress-Filtern. Daher ist die maximale Anzahl von Filtern gleich (1024).

Vermeiden sie die Konfiguration zu vieler Filter

Wenn Sie gegen eine dieser Beschränkungen verstoßen und eine Konfiguration festlegen, die nicht ihren Anforderungen konform ist, Junos OS übermäßige Filter aus. Wenn Sie beispielsweise 300-Ingress-Port-Filter und 300-Ingress-Layer-3-Filter konfigurieren und versuchen, die Konfiguration zu übernehmen, führt Junos OS die folgenden Schritte aus (gehen wir erneut von einem Begriff pro Filter aus):

  • Akzeptiert die 300-Ingress-Port-Filter (die in zwei Speichersegmenten gespeichert werden).

  • Akzeptiert die ersten Layer-3-Filter, die 256 Einding-Filter verarbeiten (sie werden im dritten Arbeitsspeicher gespeichert).

  • Die verbleibenden 44 Eingress-Layer 3-Filter werden abgelehnt.

Anmerkung:

Stellen Sie sicher, dass Sie die übermäßigen Filter aus der Konfiguration löschen (z. B. die verbleibenden 44 Ingress-Layer 3-Filter), bevor Sie das Gerät neu starten. Wenn Sie ein Gerät mit einer nicht konformen Konfiguration neu starten, ist es schwer vorherzusagen, welche Filter nach dem Neustart installiert wurden. In dem oben genannten Beispiel konnten die ursprünglich abgelehnten 44 Eingress-Layer 3-Filter installiert und 44 der ursprünglich akzeptierten Portfilter abgelehnt werden.

Konfiguration von TCAM-Fehlermeldungen

Wenn Ihnen der TCAM-Platz fehlt und Sie keinen Firewall-Filter installieren können, können Sie Ihren Switch so konfigurieren, dass er Fehlermeldungen wie folgt sendet:

  • Geben set system syslog file filename pfe emergency Sie ein, um Fehlermeldungen an eine Syslog-Datei zu senden.

  • Geben set system syslog console pfe emergency Sie ein, um Fehlermeldungen an die Konsole zu senden.

  • Geben set system syslog user user-login pfe emergency Sie ein, um Fehlermeldungen an eine SSH-Terminalsitzung zu senden.

So können Policer Egress-Filter begrenzen

Auf einigen Switches kann die Anzahl der von Ihnen konfigurierten Egress-Policer die Gesamtzahl der zulässigen Firewall-Filter beeinträchtigen. Jeder Policer verfügt über zwei implizite Zähler, die zwei Einträge in einer 1024-Eingangs-TCAM enthalten. Diese werden für Zähler verwendet, einschließlich Zähler, die als Aktionsmoderatoren in Firewall-Filter-Bedingungen konfiguriert werden. (Policer verbrauchen zwei Einträge, da eine für grüne Pakete und eine für nichtgreensige Pakete unabhängig vom Policer-Typ verwendet wird.) Wenn die TCAM vollständig wird, können Sie keine ausgehenden Firewall-Filter mehr mit Bedingungen mit Leistungsindikatoren festlegen. Wenn Sie beispielsweise 512 Ausgangs-Policer (zwei Farben, drei Farben oder eine Kombination beider Policer-Typen) konfigurieren und commit, werden alle Speichereinträge für Zähler genutzt. Wenn Sie später in Ihrer Konfigurationsdatei zusätzliche Egress-Firewall-Filter mit Begriffen einfügen, die auch Zähler enthalten, werden keine der Begriffe in diesen Filtern zugesagt, da kein verfügbarer Speicherplatz für die Leistungszähler vorhanden ist.

Dies sind einige weitere Beispiele:

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 512 Policer und keine Zähler enthalten. Später in Ihrer Konfigurationsdatei enthalten Sie einen weiteren Ausgangsfilter mit 10 Begriffen, von denen 1 einen Zähler ändert. Keine der Bedingungen in diesem Filter wird zugesagt, da nicht genügend TCAM-Bereich für den Zähler vorhanden ist.

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 500 Policer umfassen, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei enthalten Sie die folgenden zwei Egress-Filter:

    • Filtern Sie A mit 20 Begriffen und 20 Zählern. Alle Bedingungen in diesem Filter werden zugesagt, da für alle Zähler ausreichend TCAM-Platz zur Verfügung steht.

    • Filter B kommt hinter Filter A und hat fünf Begriffe und fünf Zähler. Keine der Bedingungen in diesem Filter wird zugesagt, da nicht genug Speicherplatz für alle Leistungsindikatoren zur Verfügung steht. (Fünf TCAM-Anmeldungen sind erforderlich, aber nur vier sind verfügbar.)

Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Begriffe mit ausgehenden Firewall-Filter mit Gegenmaßnahmen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall engagiert Junos OS Policer, auch wenn nicht genug TCAM-Bereich für implizite Zähler vorhanden ist. Gehen Sie beispielsweise von folgendem aus:

  • Es gibt Begriffe für 1024-Firewall-Filter mit Gegenmaßnahmen.

  • Später in Ihrer Konfigurationsdatei wird ein Ausgangsfilter mit 10 Bedingungen angezeigt. Keine der Begriffe hat Zähler, aber bei einer wird eine Policer-Aktion ändern.

Sie können den Filter erfolgreich mit 10 Bedingungen festlegen, obwohl es nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers gibt. Der Policer wird ohne die Zähler engagiert.

Planung für filterspezifische Policer

Sie können Policer so konfigurieren, dass sie filterspezifisch sind. Das bedeutet, Junos OS unabhängig davon, wie oft ein Policer referenziert wird, nur eine Policer-Instanz erstellt. In diesem Fall wird die Begrenzung der Srate aggregiert angewendet. Wenn Sie also einen Policer konfigurieren, um den Datenverkehr zu verwerfen, der 1 Gbit/s überschreitet, und als Referenz diesen Policer in drei verschiedenen Bedingungen, beträgt die vom Filter zugelassene Gesamtbandbreite 1 Gbit/s. Das Verhalten eines filterspezifischen Policers wird jedoch davon beeinflusst, wie die Firewall-Filterbedingungen, die auf den Policer verweisen, im ternary Content Addressable Memory (TCAM) gespeichert werden. Wenn Sie einen filterspezifischen Policer erstellen und in mehreren Firewall-Filterbedingungen referenzieren, ermöglicht der Policer mehr Datenverkehr als erwartet, wenn die Begriffe in verschiedenen TCAM-Slices gespeichert werden. Wenn Sie beispielsweise einen Policer konfigurieren, um Datenverkehr, der 1 Gbit/s überschreitet, zu verwerfen und den Policer in drei verschiedenen Bedingungen zu referenzieren, die in drei separaten Speichersegmenten gespeichert sind, beträgt die vom Filter zugelassene Gesamtbandbreite 3 Gbit/s und nicht 1 Gbit/s.

Um ein unerwartetes Verhalten zu verhindern, nutzen Sie die oben genannten Informationen zu den TCAM-Teilsegmenten, um Ihre Konfigurationsdatei zu organisieren. So werden alle Firewall-Filter-Begriffe, die auf einen bestimmten filterspezifischen Policer verweisen, im selben TCAM-Slice gespeichert.

Planung für filterbasierte Weiterleitung

Sie können Firewall-Filter zusammen mit virtuellen Routinginstanzen verwenden, um verschiedene Routen für Pakete anzugeben, die in ihren Netzwerken übertragen werden können. Zum Einrichten dieser Funktion, die als filterbasierte Weiterleitung bezeichnet wird, geben Sie ein Filter- und Übereinstimmungskriterien an, und geben Sie dann die virtuelle Routinginstanz an, an die Pakete gesendet werden soll. Auf diese Weise verwendete Filter verbrauchen auch Speicher in einer zusätzlichen TCAM. Weitere Informationen finden Sie unter Verstehen von FIP-Snooping, FBF und MVR-Filter-Skalierbarkeit. Der Abschnitt FBF-Filter VFP-TCAM-Verbrauch in diesem Thema befasst sich insbesondere mit der Anzahl unterstützter Filter bei verwendung filterbasierter Weiterleitung.

Anmerkung:

Filterbasierte Weiterleitung funktioniert auf einigen Switches nicht mit IPv6-Schnittstellen Juniper Switches.

Release-Verlaufstabelle
Release
Beschreibung
19.4R2-EVO
Beginnend ab Junos OS Evolved Release 19.4R2 können Sie bis zu 2000 Egress-Firewall-Filter auf dem QFX5220 konfigurieren, indem Sie die Option unter der Anweisung auf der Hierarchieebene egress-scaleeracl-profile einsingen. [edit system packet-forwarding-option firewall]
19.1R1
Die Anzahl der Junos OS der 19.1R1 kann mit dieser Option die Anzahl der ausgehenden VLAN-Firewall-Filter auf dem QFX5110 von 1024 auf 2048 egress-to-ingress erhöhen.