Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Solución de problemas de configuración del filtro de firewall

Use la siguiente información para solucionar problemas de configuración del filtro de firewall.

La configuración del filtro de firewall devuelve un mensaje No hay espacio disponible en TCAM

Problema

Description

Cuando la configuración de un filtro de firewall supera la cantidad de espacio disponible en la memoria direccionable por contenido ternario (TCAM), el sistema devuelve el mensaje siguiente :syslogd

Un conmutador devuelve este mensaje durante la operación de confirmación si el filtro de firewall que se ha aplicado a un puerto, VLAN o interfaz de capa 3 supera la cantidad de espacio disponible en la tabla TCAM. No se aplica el filtro, pero la operación de confirmación para la configuración del filtro de firewall se completa en el módulo CLI.

Solución

Cuando la configuración de un filtro de firewall supera la cantidad de espacio disponible en la tabla TCAM, debe configurar un nuevo filtro de firewall con menos términos de filtro para que los requisitos de espacio para el filtro no superen el espacio disponible en la tabla TCAM.

Puede realizar cualquiera de los procedimientos siguientes para corregir el problema:

Para eliminar el filtro y su enlace y aplicar el nuevo filtro de firewall más pequeño al mismo enlace:

  1. Elimine el filtro y su enlace a puertos, VLAN o interfaces de capa 3. Por ejemplo:

  2. Confirme los cambios:

  3. Configure un filtro más pequeño con menos términos que no supere la cantidad de espacio TCAM disponible. Por ejemplo:

  4. Aplique (enlace) el nuevo filtro de firewall a un puerto, VLAN o interfaz de capa 3. Por ejemplo:

  5. Confirme los cambios:

Para aplicar un nuevo filtro de firewall y sobrescribir el enlace existente, pero no eliminar el filtro original:

  1. Configure un filtro de firewall con menos términos que el filtro original:

  2. Aplique el filtro de firewall a las interfaces de puerto, VLAN o capa 3 para sobrescribir el enlace del filtro original, por ejemplo:

    Dado que no puede aplicar más de un filtro de firewall por VLAN por dirección, el enlace del filtro de firewall original a la VLAN se sobrescribe con el nuevo filtro de firewall.new-ingress-vlan-rogue-block

  3. Confirme los cambios:

Nota:

El filtro original no se elimina y sigue estando disponible en la configuración.

Recuentos de filtros de paquetes previamente descartados

Problema

Description

Si configura dos o más filtros en la misma dirección para una interfaz física y uno de los filtros incluye un contador, el contador será incorrecto si se dan las siguientes circunstancias:

  • Configure primero el filtro que se aplica a los paquetes para descartar determinados paquetes. Por ejemplo, imagine que tiene un filtro VLAN que acepta paquetes enviados a direcciones 10.10.1.0/24 y descarta implícitamente los paquetes enviados a cualquier otra dirección. El filtro se aplica a la VLAN en la dirección de salida y la interfaz xe-0/0/1 es miembro de esa VLAN.admin

  • Configure un filtro posterior para aceptar y contar los paquetes que se descartan del primer filtro. En este ejemplo, tiene un filtro de puerto que acepta y cuenta los paquetes enviados a direcciones 192.168.1.0/24 que también se aplica a xe-0/0/1 en la dirección de salida.

El filtro VLAN de salida se aplica primero y descarta correctamente los paquetes enviados a las direcciones 192.168.1.0/24. El filtro de puerto de salida se aplica a continuación y cuenta los paquetes descartados como paquetes coincidentes. Los paquetes no se reenvían, pero el contador que muestra el filtro de puerto de salida es incorrecto.

Recuerde que el orden en que se aplican los filtros depende de la dirección en la que se aplican, como se indica aquí:

Filtros de entrada:

  1. Filtro de puerto (capa 2)

  2. Filtro VLAN

  3. Filtro de enrutador (capa 3)

Filtros de salida:

  1. Filtro de enrutador (capa 3)

  2. Filtro VLAN

  3. Filtro de puerto (capa 2)

Solución

Este es el comportamiento esperado.

No se cuentan los paquetes coincidentes

Problema

Description

Si configura dos filtros de salida con contadores para una interfaz física y un paquete coincide con ambos filtros, sólo uno de los contadores incluye ese paquete.

Por ejemplo:

  • Configure un filtro de puerto de salida con un contador para la interfaz xe-0/0/1.

  • Configure un filtro VLAN de salida con un contador para la VLAN y la interfaz xe-0/0/1 es miembro de esa VLAN.admin

  • Un paquete coincide con ambos filtros.

En este caso, el paquete es contado por sólo uno de los contadores, aunque coincida con ambos filtros.

Solución

Este es el comportamiento esperado.

Restablecimiento del contador al editar el filtro

Problema

Description

Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término del mismo filtro se establece en 0, incluido el contador implícito para cualquier aplicador de policía al que haga referencia el filtro. Considere los siguientes ejemplos:

  • Suponga que el filtro tiene , y , y que cada término tiene un contador que ya ha contado paquetes coincidentes.term1term2term3 Si edita alguno de los términos de alguna manera, los contadores de todos los términos se restablecen a 0.

  • Suponga que el filtro tiene y .term1term2 Supongamos también que tiene un modificador de acción y que el contador implícito del aplicador ya ha contado 1000 paquetes coincidentes.term2policer Si edita o de alguna manera, el contador del policía al que hace referencia se restablece a 0.term1term2term2

Solución

Este es el comportamiento esperado.

No se pueden incluir acciones de prioridad de pérdida y de policía en el mismo plazo

Problema

Description

No puede incluir las dos acciones siguientes en el mismo término de filtro de firewall en un conmutador serie QFX:

  • loss-priority

  • policer

Si lo hace, verá el siguiente mensaje de error cuando intenta confirmar la configuración: "No se puede admitir la acción de la policía si se configura la prioridad de pérdida".

Solución

Este es el comportamiento esperado.

No se puede filtrar de salida cierto tráfico que se origina en el conmutador QFX

Problema

Description

En un conmutador de la serie QFX, no puede filtrar cierto tráfico con un filtro de firewall aplicado en la dirección de salida si el tráfico se origina en el conmutador QFX. Esta limitación se aplica al tráfico de control para protocolos como ICMP (ping), STP, LACP, etc.

Solución

Este es el comportamiento esperado.

La condición de coincidencia de filtro de firewall no funciona con la tunelización Q-in-Q

Problema

Description

Si crea un filtro de firewall que incluye una condición de coincidencia de o y aplica el filtro en la entrada a un puerto troncal que participa en una VLAN de servicio, la condición de coincidencia no funciona si Q-in-Q EtherType no está 0x8100.dot1q-tagdot1q-user-priority (Cuando la tunelización Q-in-Q está habilitada, se supone que las interfaces troncales forman parte de la red del proveedor de servicios o del centro de datos y, por lo tanto, participan en las VLAN de servicio).

Solución

Este es el comportamiento esperado. Para establecer Q-in-Q EtherType en 0x8100, introduzca la instrucción en el nivel de jerarquía.set dot1q-tunneling ethertype 0x8100[edit ethernet-switching-options] También debe configurar el otro extremo del vínculo para utilizar el mismo Ethertype.

Filtros de firewall de salida con VLAN privadas

Problema

Description

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro también se aplica a las VLAN secundarias que son miembros de la VLAN principal cuando el tráfico sale con la etiqueta VLAN principal o la etiqueta VLAN aislada, como se indica a continuación:

  • Tráfico reenviado desde un puerto troncal de VLAN secundario a un puerto promiscuo (troncal o acceso)

  • Tráfico reenviado desde un puerto de troncalización de VLAN secundario que lleva una VLAN aislada a un puerto de troncalización de PVLAN.

  • Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal VLAN secundario

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal de VLAN secundario

  • Tráfico reenviado desde un puerto comunitario a un puerto promiscuo (troncal o acceso)

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro no se aplica al tráfico que sale con una etiqueta VLAN de comunidad, como se indica a continuación:

  • Tráfico reenviado desde un puerto troncal comunitario a un puerto troncal PVLAN

  • Tráfico reenviado desde un puerto de troncalización de VLAN secundario que lleva una VLAN de comunidad a un puerto de troncalización de PVLAN

  • Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal comunitario

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal comunitario

Si aplica un filtro de firewall en la dirección de salida a una VLAN de comunidad, se aplican los siguientes comportamientos:

  • El filtro se aplica al tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal de la comunidad (porque el tráfico sale con la etiqueta VLAN de la comunidad).

  • El filtro se aplica al tráfico reenviado desde un puerto de comunidad a un puerto troncal PVLAN (porque el tráfico sale con la etiqueta VLAN de comunidad).

  • El filtro no se aplica al tráfico reenviado desde un puerto de la comunidad a un puerto promiscuo (porque el tráfico sale con la etiqueta VLAN principal o sin etiquetar).

Solución

Estos son comportamientos esperados. Sólo se producen si se aplica un filtro de firewall a una VLAN privada en la dirección de salida y no se producen si se aplica un filtro de firewall a una VLAN privada en la dirección de entrada.

No se admite el filtrado de salida del tráfico L2PT

Problema

Description

El filtrado de salida del tráfico L2PT no se admite en el conmutador QFX3500. Es decir, si configura L2PT para tunelizar un protocolo en una interfaz, tampoco puede utilizar un filtro de firewall para filtrar el tráfico de ese protocolo en esa interfaz en la dirección de salida. Si confirma una configuración para este fin, el filtro de firewall no se aplica al tráfico tunelizado L2PT.

Solución

Este es el comportamiento esperado.

No se pueden descartar paquetes BGP en determinadas circunstancias

Problema

Description

Los paquetes BGP con un valor de tiempo de vida (TTL) mayor que 1 no se pueden descartar mediante un filtro de firewall aplicado a una interfaz de circuito cerrado o aplicado en la entrada a una interfaz de capa 3. Los paquetes BGP con un valor TTL de 1 o 0 se pueden descartar mediante un filtro de firewall aplicado a una interfaz de circuito cerrado o aplicado en la entrada a una interfaz de capa 3.

Solución

Este es el comportamiento esperado.

Estadísticas no válidas para Policer

Problema

Description

Si aplica un aplicador de dos colores de velocidad única en más de 128 términos en un filtro de firewall, el resultado del comando muestra datos incorrectos para el aplicador.show firewall

Solución

Este es el comportamiento esperado.

Los policías pueden limitar los filtros de salida

Problema

Description

En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de 1024 entradas. Se usan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los aplicadores de policía consumen dos entradas porque una se usa para paquetes verdes y otra se usa para paquetes no verdes, independientemente del tipo de aplicador). Si el TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma 512 policías de salida (de dos colores, de tres colores o una combinación de ambos tipos de policía), todas las entradas de memoria de los contadores se agotan. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos adicionales:

  • Suponga que configura filtros de salida que incluyen un total de 512 policías y ningún contador. Más adelante en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de contraacción. Ninguno de los términos de este filtro está confirmado porque no hay suficiente espacio TCAM para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que están ocupadas 1000 entradas TCAM. Más adelante en el archivo de configuración se incluyen los dos filtros de salida siguientes:

    • Filtro A con 20 términos y 20 contadores. Todos los términos de este filtro se confirman porque hay suficiente espacio TCAM para todos los contadores.

    • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo cuatro están disponibles).

Solución

Puede evitar este problema asegurándose de que los términos del filtro de firewall de salida con acciones de contador se colocan antes en el archivo de configuración que los términos que incluyen aplicadores de directiva. En esta circunstancia, Junos OS confirma a los aplicadores incluso si no hay suficiente espacio TCAM para los contadores implícitos. Por ejemplo, suponga lo siguiente:

  • Tiene términos de filtro de firewall de salida 1024 con acciones contrarias.

  • Más adelante en el archivo de configuración tendrá un filtro de salida con 10 términos. Ninguno de los términos tiene contadores, pero uno tiene un modificador de acción de policía.

Puede confirmar correctamente el filtro con 10 términos aunque no haya suficiente espacio TCAM para los contadores implícitos del policía. El policía se compromete sin los contadores.