Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Planificación del número de filtros de firewall que se van a crear

Cómo aumentar el número de filtros de firewall

Puede aumentar el número de filtros de firewall en su dispositivo de varias maneras:

  • (QFX5220) Para crear más de 512 filtros VLAN de salida, especifique el primer ID de VLAN como 6, el segundo ID de VLAN como 7, el tercer ID de VLAN como 8 y así sucesivamente. Por cada VLAN que configure, el número aumenta en 1 y continúa hasta el ID de VLAN 1029. Si desea crear menos de 512 filtros VLAN de salida, pero desea que el número total de términos en esos filtros sea superior a 512, asegúrese de numerar sus ID de VLAN de la misma manera. De lo contrario, el número total de términos o filtros permitidos será inferior a 1024 y se mantendrá en 512.

  • A partir de Junos OS versión 19.1R1, puede aumentar el número de filtros de firewall VLAN de salida en el QFX5110 de 1024 a 2048 mediante la opción.egress-to-ingress Esta opción se incluye en la instrucción en la jerarquía. from [edit firewall]

    A partir de Junos OS Evolved versión 19.4R2, puede configurar hasta 2000 filtros de firewall de salida en el QFX5220 incluyendo la opción debajo de la instrucción en el nivel de jerarquía.egress-scale eracl-profile [edit system packet-forwarding-option firewall] Esta función solo se admite en la dirección de salida (tráfico enrutado que sale del dispositivo).

    Tenga en cuenta lo siguiente al configurar esta función:

    • No puede aplicar filtros con las mismas condiciones de coincidencia a VLAN de salida o interfaces de capa 3 diferentes.

    • No puede aplicar la escala de salida en interfaces GRE.

    • Si un paquete hace coincidir varios filtros con diferentes calificadores y se aplica en interfaces de salida diferentes, esto puede provocar un comportamiento impredecible.

    • Solo puede configurar la opción en modo global.egress-scale La nueva configuración de CLI se proporcionará en modo global. Una vez que un usuario configura el grupo ERACL en modo de escala de salida (salida a ingreso), no podrá configurar ERACL de la manera anterior, es decir, sin usar el espacio tcam IFP. En otras palabras, ERACL en modo mixto no será compatible.

TCAM

La memoria direccionable de contenido ternario (TCAM) para filtros de firewall se divide en segmentos que admiten 256 términos. Cuando se configura un filtro de firewall, todos los términos de una división de memoria deben estar en filtros del mismo tipo y aplicados en la misma dirección. Una división de memoria se reserva tan pronto como se confirma un filtro. Por ejemplo, si crea un filtro de puerto y lo aplica en la dirección de entrada, se reserva una división de memoria que sólo almacena filtros de puerto de entrada. Si crea y aplica sólo un filtro de puerto de entrada y ese filtro sólo tiene un término, el resto de este segmento no se utiliza y no está disponible para otros tipos de filtro.

Nota:

En un entorno EVPN, los conmutadores de la serie QFX5200 admiten hasta 512 entradas TCAM.

Por ejemplo, supongamos que crea y aplica 256 filtros de puerto de entrada con un término cada uno para llenar una división de memoria. Esto deja dos segmentos de memoria más disponibles para los filtros de entrada. (En este caso, el número máximo de términos de entrada es 768.) Si, a continuación, crea y aplica un filtro de capa 3 de entrada con un término, se reserva otra división de memoria para los filtros de capa 3 de entrada. Como antes, el resto de la división no se usa y no está disponible para diferentes tipos de filtros. Ahora hay una división de memoria disponible para cualquier tipo de filtro de entrada.

Ahora suponga que crea y aplica un filtro de entrada VLAN. El último segmento de memoria está reservado para los filtros de entrada de VLAN. La asignación de memoria para los filtros de entrada (una vez más asumiendo un término por filtro) es:

  • Rebanada 1: Lleno de 256 filtros de puerto de entrada. No puede confirmar más filtros de puerto de entrada.

  • Rebanada 2: Contiene un filtro de capa 3 de entrada con un término. Puede confirmar 255 términos más en los filtros de capa 3 de entrada.

  • Rebanada 3: Contiene un filtro VLAN de entrada con un término. Puede confirmar 255 términos más en los filtros VLAN de entrada.

Aquí hay otro ejemplo. Suponga que crea 257 filtros de puerto de entrada con un término por filtro, es decir, crea un término más del que puede acomodar un solo segmento de memoria. Al aplicar los filtros y confirmar la configuración, la asignación de memoria del filtro es:

  • Rebanada 1: Lleno de 256 filtros de puerto de entrada. No puede aplicar más filtros de puerto de entrada.

  • Rebanada 2: Contiene un filtro de puerto de entrada. Puede aplicar 255 términos más en los filtros del puerto de entrada.

  • Rebanada 3: Esta división no está asignada. Puede crear y aplicar 256 términos en filtros de entrada de cualquier tipo (puerto, capa 3 o VLAN), pero todos los filtros deben ser del mismo tipo.

Nota:

Todos los ejemplos anteriores también se aplican a los filtros de salida. La diferencia es que se utilizan cuatro segmentos de memoria, ya que los filtros IPv4 e IPv6 de capa 3 se almacenan en segmentos independientes. Los segmentos de memoria para los filtros de salida son del mismo tamaño que los de los filtros de entrada, por lo que el número máximo de filtros será el mismo (1024).

Evite configurar demasiados filtros

Si infringe alguna de estas restricciones y confirma una configuración que no es conforme, Junos OS rechaza los filtros excesivos. Por ejemplo, si configura 300 filtros de puerto de entrada y 300 filtros de capa 3 de entrada e intenta confirmar la configuración, Junos OS hará lo siguiente (suponiendo de nuevo un término por filtro):

  • Acepta los 300 filtros de puerto de entrada (almacenándolos en dos segmentos de memoria).

  • Acepta los primeros 256 filtros de entrada de capa 3 que procesa (almacenándolos en el tercer segmento de memoria).

  • Rechaza los 44 filtros de capa 3 de entrada restantes.

Nota:

Asegúrese de eliminar los filtros excesivos (por ejemplo, los 44 filtros de capa 3 de entrada restantes) de la configuración antes de reiniciar el dispositivo. Si reinicia un dispositivo que tiene una configuración no conforme, es difícil predecir qué filtros se instalaron después del reinicio. Usando el ejemplo anterior, los 44 filtros de capa 3 de entrada que se rechazaron originalmente podrían instalarse y 44 de los filtros de puerto que se aceptaron originalmente podrían rechazarse.

Configuración de mensajes de error de TCAM

Si carece de espacio TCAM y no puede instalar un filtro de firewall, puede configurar el conmutador para que envíe mensajes de error de las siguientes maneras:

  • Escriba para enviar mensajes de error a un archivo syslog.set system syslog file filename pfe emergency

  • Escriba para enviar mensajes de error a la consola.set system syslog console pfe emergency

  • Ingrese para enviar mensajes de error a una sesión de terminal SSH.set system syslog user user-login pfe emergency

Cómo aumentar la escala de los filtros de firewall mediante perfiles

Cuando se configura un filtro de firewall, la instrucción term de la configuración del filtro de firewall proporciona un amplio conjunto de condiciones de coincidencia. Las condiciones de coincidencia son los campos y valores que debe contener un paquete para que se considere una coincidencia. Puede definir una o varias condiciones de coincidencia según sus requisitos. Cuando un paquete coincide con un filtro, el dispositivo realiza la acción especificada en el término. La escalabilidad de los filtros de firewall generalmente depende del número de condiciones de coincidencia utilizadas.

En escenarios de implementación típicos, solo necesitará usar un subconjunto de condiciones de coincidencia. Con la introducción de los perfiles, puede utilizar uno de los perfiles de filtro de firewall disponibles con condiciones de coincidencia predefinidas para aumentar el número de filtros de firewall utilizados para lograr la máxima escala.

Puede configurar perfiles de filtros de firewall para la familia inet y la conmutación basada en Ethernet. Utilice la instrucción de configuración de perfiles en el nivel jerárquico [edit system packet-forwarding-options firewall] para configurar los perfiles de filtro de firewall.

Nota:

Cuando se realizan cambios en los perfiles de filtro de firewall, ya sea seleccionando un perfil o moviéndose de un perfil a otro, se reinicia el motor de reenvío de paquetes, lo que provoca la interrupción del flujo de tráfico.

En la tabla siguiente se describen los perfiles de filtro de firewall y las condiciones de coincidencia predefinidas para la conmutación basada en inet y Ethernet.

Tabla 1: Perfil de filtro de firewall y condiciones de coincidencia
Tipo de familia Perfiles de filtro de firewall Condición de coincidencia (predefinida) Jerarquía de configuración
inet (IPv4/IPv6) profile1

ip-source-address

ip-source-prefix-list

Protocolo

siguiente-encabezado

puerto de origen

puerto de destino

primer fragmento

is-fragmento

código icmp

Tipo ICMP

Establecido por TCP

TCP-inicial

Indicadores TCP

[]edit system packet-forwarding-options firewall profiles inet profile1
profile2

dirección de origen IP

dirección de origen ip6

ip-source-prefix-list

ip6-source-prefix-list

Protocolo

siguiente-encabezado

puerto de origen

puerto de destino

primer fragmento

is-fragmento

código icmp

Tipo ICMP

Establecido por TCP

TCP-inicial

Indicadores TCP

Dscp

Precedencia

clase de tráfico

Ttl

límite de salto

[]edit system packet-forwarding-options firewall profiles inet profile2
Conmutación Ethernet profile1

dirección-MAC de origen

dirección-MAC de destino

[]edit system packet-forwarding-options firewall profiles ethernet-switching profile1
perfil2

dirección-MAC de origen

dirección-MAC de destino

tipo éter

dirección de origen IP

ip-source-prefix-list

protocolo ip

puerto de origen

puerto de destino

siguiente-encabezado

[]edit system packet-forwarding-options firewall profiles ethernet-switching profile2
       
Nota:

Cuando seleccione un perfil de filtro de firewall, debe aplicar una condición de coincidencia que forme parte del subconjunto de condición de coincidencia predefinido. Si aplica una condición de coincidencia que no forma parte del subconjunto de condición de coincidencia predefinida del perfil de filtro de firewall, se produce un error de confirmación. Por ejemplo, si selecciona el filtro inet y aplica la condición de coincidencia como , que no forma parte de la condición de coincidencia predefinida, verá un error durante la operación de confirmación que indica que la coincidencia no forma parte del filtro inet .profile1ip-destination-addressip-destination-addressprofile1

Puede usar el comando de la CLI para ver los detalles de los perfiles de filtro del firewall.show pfe filter hw profile-info

Nota:

El módulo de firewall admite dos perfiles diferentes (perfil uno y perfil dos) solo en plataformas ACX EVO. De forma predeterminada, pfe presentará el perfil dos y los usuarios tendrán una opción de CLI para permitirles cambiar al otro perfil. Una vez que el perfil se alterna a través de la CLI, se reiniciará pfe.

Filtro IFF IPV6: El perfil uno admite sip6 de hasta 128 bits. El perfil dos admite sip6 de hasta 64 bits.

Filtro Ipv6 lo0: El perfil uno admite dip6 de hasta 128 bits. El perfil dos admite dip6 de hasta 64 bits.

Los filtros Ipv6-Bgp-flow-spec y los filtros IPv6-FTF solo se admitirán en el perfil dos.

Categoría Características de PMF Perfil Dos Perfil Uno

Familia Cualquiera

Filtro IFL IPv6

 

Filtro IFL IPv6: acción de registro/syslog/rechazo

No

No

Filtro de familia

Filtro IFF IPv6

 

Filtro IFF IPv6 - coincidencia SIP6=128bit

No

 

Filtro IFF IPv6 - Coincidencias L4

 

Filtro IFF IPv6: acción de registro/syslog/rechazo

Filtro Lo0

Filtro IPv6 Lo0 - Soporte HW

 

Filtro Lo0 IPv6 - Datos adjuntos VRF

No

 

Filtro IPv6 Lo0 - SW Support

 

Coincidencia DIP6 de 128 bits

No

Para lograr la máxima escala de filtro de firewall, se recomienda aplicar filtros de nivel de interfaz (capa 2 o capa 3) y distribuir los filtros por igual entre las interfaces de las distintas canalizaciones de procesamiento de paquetes. Cada conjunto de interfaces se asigna a una canalización de procesamiento de paquetes que maneja los paquetes recibidos en esas interfaces. En este caso, los filtros del firewall se instalan en el espacio de memoria TCAM de la canalización de procesamiento de paquetes asignado a la interfaz respectiva.

Cuando un paquete entra en una interfaz, el filtro de firewall realiza acciones de filtrado en el paquete en la canalización de procesamiento de paquetes en función de las condiciones de coincidencia antes de salir de una interfaz de salida. En el caso de varias canalizaciones de procesamiento de paquetes, cuando los paquetes entran en un dispositivo a través de varias interfaces, el filtro de firewall realiza acciones de filtrado en los paquetes que pasan a través de las respectivas canalizaciones de procesamiento de paquetes. Tener los filtros de nivel de interfaz distribuidos equitativamente en las interfaces de diferentes canalizaciones de procesamiento de paquetes da una mejor escala

Puede usar el comando de la CLI para ver los detalles de la canalización de procesamiento de paquetes a la que está asignada cada interfaz física.show pfe filter hw port-pipe-info El resultado de este comando de CLI también proporciona información sobre los filtros de firewall instalados en una canalización de procesamiento de paquetes. Puede usar esta información para planificar y distribuir filtros de firewall entre canalizaciones para lograr la máxima escala.

La siguiente salida de ejemplo del comando CLI muestra los detalles de la canalización de procesamiento de paquetes a la que está asignada cada interfaz física:show pfe filter hw port-pipe-info

Cómo los aplicadores pueden limitar los filtros de salida

En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de 1024 entradas. Se usan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los aplicadores de policía consumen dos entradas porque una se usa para paquetes verdes y otra se usa para paquetes no verdes, independientemente del tipo de aplicador). Si el TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma 512 policías de salida (de dos colores, de tres colores o una combinación de ambos tipos de policía), todas las entradas de memoria de los contadores se agotan. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos más:

  • Suponga que configura filtros de salida que incluyen un total de 512 policías y ningún contador. Más adelante en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de contraacción. Ninguno de los términos de este filtro está confirmado porque no hay suficiente espacio TCAM para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que están ocupadas 1000 entradas TCAM. Más adelante en el archivo de configuración se incluyen los dos filtros de salida siguientes:

    • Filtro A con 20 términos y 20 contadores. Todos los términos de este filtro se confirman porque hay suficiente espacio TCAM para todos los contadores.

    • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo cuatro están disponibles).

Puede evitar que se produzca este problema asegurándose de que los términos del filtro de firewall de salida con acciones de contador se coloquen antes en el archivo de configuración que los términos que incluyen directivas. En esta circunstancia, Junos OS confirma a los aplicadores incluso si no hay suficiente espacio TCAM para los contadores implícitos. Por ejemplo, suponga lo siguiente:

  • Tiene términos de filtro de firewall de salida 1024 con acciones contrarias.

  • Más adelante en el archivo de configuración tendrá un filtro de salida con 10 términos. Ninguno de los términos tiene contadores, pero uno tiene un modificador de acción de policía.

Puede confirmar correctamente el filtro con 10 términos aunque no haya suficiente espacio TCAM para los contadores implícitos del policía. El policía se compromete sin los contadores.

Planeación de políticas específicas de filtro

Puede configurar los aplicadores de políticas para que sean específicos del filtro. Esto significa que Junos OS solo crea una instancia de policía sin importar cuántas veces se haga referencia al aplicador. Al hacerlo, la limitación de velocidad se aplica en conjunto, por lo que si configura un controlador para descartar el tráfico que supera 1 Gbps y hace referencia a ese controlador en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de un controlador de policía específico del filtro se ve afectado por la forma en que los términos de filtro de firewall que hacen referencia al controlador se almacenan en la memoria direccionable de contenido ternario (TCAM). Si crea un aplicador de policía específico del filtro y hace referencia a él en varios términos de filtro de firewall, el controlador permite más tráfico del esperado si los términos se almacenan en distintos segmentos de TCAM. Por ejemplo, si configura un controlador de policía para descartar el tráfico que supera 1 Gbps y hace referencia a ese controlador en tres términos diferentes almacenados en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no de 1 Gbps.

Para evitar que se produzca este comportamiento inesperado, utilice la información anterior sobre los segmentos TCAM para organizar el archivo de configuración, de modo que todos los términos de filtro de firewall que hacen referencia a un aplicador específico del filtro determinado se almacenen en el mismo segmento TCAM.

Planeación del reenvío basado en filtros

Puede usar filtros de firewall junto con instancias de enrutamiento virtual para especificar diferentes rutas para que los paquetes viajen en sus redes. Para configurar esta característica, denominada reenvío basado en filtros, debe especificar un filtro y criterios de coincidencia y, a continuación, especificar la instancia de enrutamiento virtual a la que enviar paquetes. Los filtros utilizados de esta manera también consumen memoria en un TCAM adicional. Consulte Descripción de la supervisión de FIP, FBF y escalabilidad del filtro MVR para obtener más información.Understanding FIP Snooping, FBF, and MVR Filter Scalability En la sección Consumo de TCAM del filtro FBF VFP de este tema se aborda específicamente el número de filtros admitidos cuando se usa el reenvío basado en filtros.

Nota:

El reenvío basado en filtros no funciona con interfaces IPv6 en algunos conmutadores Juniper.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
19.4R2-EVO
A partir de Junos OS Evolved versión 19.4R2, puede configurar hasta 2000 filtros de firewall de salida en el QFX5220 incluyendo la opción debajo de la instrucción en el nivel de jerarquía.egress-scale eracl-profile [edit system packet-forwarding-option firewall]
19.1R1
A partir de Junos OS versión 19.1R1, puede aumentar el número de filtros de firewall VLAN de salida en el QFX5110 de 1024 a 2048 mediante la opción.egress-to-ingress