Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Solución de problemas de configuración de filtros Firewall

 

Utilice la siguiente información para solucionar los problemas de configuración del filtro de Firewall.

La configuración del filtro de Firewall devuelve un espacio no disponible en el mensaje TCAM

Problema

Description: Cuando una configuración de filtro de Firewall supera la cantidad de espacio disponible en la memoria a la que se puede direccionar el contenido syslogd TERNARIO (TCAM), el sistema devuelve el siguiente mensaje:

Un conmutador devolverá este mensaje durante la operación de confirmación si el filtro de firewall que se ha aplicado a una interfaz de puerto, VLAN o capa 3 supera la cantidad de espacio disponible en la tabla TCAM. El filtro no se aplica, pero la operación de confirmación de la configuración del filtro del firewall se completa en el módulo de la CLI.

Solución

Cuando una configuración de filtro de Firewall supera la cantidad de espacio disponible en la tabla TCAM, debe configurar un nuevo filtro de firewall con menos términos de filtro para que los requisitos de espacio para el filtro no superen el espacio disponible en la tabla TCAM.

Puede llevar a cabo cualquiera de los siguientes procedimientos para corregir el problema:

Para eliminar el filtro y su enlace y aplicar el nuevo filtro de Firewall más pequeño al mismo enlace:

  1. Elimine el filtro y su enlace a los puertos, VLAN o interfaces de capa 3. Por ejemplo:
    [edit]

    user@switch# delete firewall family ethernet-switching filter ingress-vlan-rogue-block

    user@switch# delete vlans employee-vlan description "filter to block rogue devices on employee-vlan"

    user@switch# delete vlans employee-vlan filter input ingress-vlan-rogue-block
  2. Confirme los cambios:
    [edit]

    user@switch# commit
  3. Configure un filtro más pequeño con menos términos que no superen la cantidad de espacio de TCAM disponible. Por ejemplo:
    [edit]

    user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block ...
  4. Aplique (enlace) el nuevo filtro de Firewall a una interfaz de puerto, VLAN o capa 3. Por ejemplo:
    [edit]

    user@switch# set vlans employee-vlan description "filter to block rogue devices on employee-vlan"

    user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
  5. Confirme los cambios:
    [edit]

    user@switch# commit

Para aplicar un nuevo filtro de firewall y sobrescribir el enlace existente, pero no eliminar el filtro original:

  1. Configure un filtro de firewall con menos términos que el filtro original:
    [edit]

    user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block...
  2. Aplique el filtro de Firewall a las interfaces de puerto, VLAN o capa 3 para sobrescribir el enlace del filtro—original por ejemplo:
    [edit]

    user@switch# set vlans employee-vlan description "smaller filter to block rogue devices on employee-vlan"

    user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block

    Dado que no puede aplicar más de un filtro de Firewall por VLAN por dirección, el enlace del filtro original del Firewall a la VLAN se sobrescribe con el nuevo filtro new-ingress-vlan-rogue-blockde Firewall.

  3. Confirme los cambios:
    [edit]

    user@switch# commit
Nota

El filtro original no se elimina y sigue estando disponible en la configuración.

El filtro cuenta el paquete descartado anteriormente

Problema

Description: Si configura dos o más filtros en la misma dirección para una interfaz física y uno de ellos incluye un contador, el contador será incorrecto si se dan las circunstancias siguientes:

  • Configure primero el filtro que se aplica a los paquetes para descartar determinados paquetes. Por ejemplo, Imagine que tiene un filtro de VLAN que acepta paquetes enviados a direcciones 10.10.1.0/24 y descarta implícitamente paquetes enviados a cualquier otra dirección. El filtro se aplica a la admin VLAN en la dirección de salida y la interfaz xe-0/0/1 es un miembro de dicha VLAN.

  • Configure un filtro posterior para aceptar y contar los paquetes rechazados por el primer filtro. En este ejemplo, tiene un filtro de puerto que acepta y cuenta paquetes enviados a direcciones 192.168.1.0/24 que también se aplica a Xe-0/0/1 en la dirección de salida.

El filtro de VLAN de salida se aplica primero y descarta correctamente los paquetes enviados a las direcciones 192.168.1.0/24. El filtro del puerto de salida se aplica a continuación y cuenta los paquetes descartados como paquetes coincidentes. Los paquetes no se reenvían, pero el contador que aparece en el filtro del puerto de salida es incorrecto.

Recuerde que el orden en que se aplican los filtros depende de la dirección en la que se aplican, tal y como se indica a continuación:

Filtros de entrada:

  1. Filtro de puerto (capa 2)
  2. Filtro de VLAN
  3. Filtro de enrutador (capa 3)

Filtros de salida:

  1. Filtro de enrutador (capa 3)
  2. Filtro de VLAN
  3. Filtro de puerto (capa 2)

Solución

Este es el comportamiento esperado.

Paquetes coincidentes sin contar

Problema

Description: Si configura dos filtros de salida con contadores para una interfaz física y un paquete coincide con ambos filtros, solo uno de los contadores incluye a ese paquete.

Por ejemplo:

  • Configure un filtro de puerto de salida con un contador para la interfaz xe-0/0/1.

  • Puede configurar un filtro de VLAN de salida con un contador para adminla VLAN y la interfaz xe-0/0/1 es miembro de dicha VLAN.

  • Un paquete coincide con ambos filtros.

En este caso, el paquete se cuenta únicamente por uno de los contadores, aunque coincida con ambos filtros.

Solución

Este es el comportamiento esperado.

Restablecimiento del contador al editar el filtro

Problema

Description: Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término en el mismo filtro se establece en 0, lo que incluye el contador implícito de cualquier policía a la que haga referencia el filtro. Tenga en cuenta los ejemplos siguientes:

  • Suponga que el filtro tiene term1, term2, y term3, y cada término tiene un contador que ya ha contado los paquetes coincidentes. Si modifica cualquiera de los términos de cualquier modo, los contadores de todos los términos se restablecerán en 0.

  • Suponga que el filtro tiene term1 y term2. Supongamos term2 también que policer hay un modificador de acción y que el contador implícito de la policía ya ha contado 1000 paquetes coincidentes. Si modifica term1 o term2 de alguna manera, el contador del responsable de la policía al que term2 se hace referencia se restablece en 0.

Solución

Este es el comportamiento esperado.

No puede incluir medidas de pérdida o prioridad del policía al mismo término

Problema

Description: No puede incluir las dos acciones siguientes en el mismo término de filtro de firewall en un modificador serie QFX:

  • loss-priority

  • policer

Si lo hace, verá el siguiente mensaje de error cuando intente ejecutar la configuración: “no se puede admitir la acción de la policía si la pérdida de prioridad está configurada.”

Solución

Este es el comportamiento esperado.

No se puede filtrar salida determinado tráfico que se origina en el conmutador QFX

Problema

Description: En un conmutador serie QFX, no puede filtrar cierto tráfico con un filtro de cortafuegos aplicado en la dirección de salida si el tráfico se origina en el conmutador QFX. Esta limitación se aplica para controlar el tráfico para protocolos como ICMP (ping), STP, LACP, etc.

Solución

Este es el comportamiento esperado.

La condición de coincidencia de filtro de Firewall no funciona con el túnel Q-in-Q

Problema

Description: Si creas un filtro de firewall que incluya una condición de dot1q-tag coincidencia dot1q-user-priority de or y aplique el filtro en la entrada a un puerto de enlace que participe en una VLAN de servicio, la condición de coincidencia no funcionará si el Ethertype Q-in-Q no está 0x8100. (Cuando está habilitado el túnel Q-in-Q, se supone que las interfaces troncales forman parte del proveedor de servicios o de la red del centro de datos, por lo que participan en las VLAN de servicio).

Solución

Este es el comportamiento esperado. Para establecer el EtherType Q-in-Q a 0x8100, escribe el set dot1q-tunneling ethertype 0x8100 instrucción en el [edit ethernet-switching-options] nivel jerárquico. También debe configurar el otro extremo del vínculo para que utilice el mismo Ethertype.

Filtros de Firewall de salida con VLAN privadas

Problema

Description: Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro también se aplica a las VLAN secundarias que son miembros de la VLAN principal cuando el tráfico salida con la etiqueta de VLAN principal o etiqueta VLAN aislada, como se muestra a continuación:

  • Tráfico reenviado desde una VLAN secundaria puerto de enlace a un puerto promiscuo (troncal o Access)

  • Tráfico reenviado desde una VLAN secundaria puerto de enlace que transporta una VLAN aislada a un puerto troncal PVLAN.

  • Tráfico reenviado desde un puerto promiscuo (troncal o Access) a una VLAN secundaria puerto de enlace

  • Tráfico reenviado desde un puerto troncal PVLAN. a una VLAN secundaria puerto de enlace

  • Tráfico reenviado desde un puerto de la comunidad a un puerto promiscuo (troncal o de acceso)

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro no se aplica al tráfico que se salida con una etiqueta VLAN de la comunidad, como se indica a continuación:

  • Tráfico reenviado desde un puerto de tronco de la comunidad hacia un puerto troncal de PVLAN

  • Tráfico reenviado desde una VLAN secundaria puerto de enlace que transporta una VLAN de la comunidad a un puerto troncal PVLAN

  • Tráfico reenviado desde un puerto promiscuo (troncal o Access) a un puerto de tronco de la comunidad

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal de la comunidad

Si aplica un filtro de firewall en la dirección de salida a una VLAN de comunidad, se aplicarán los comportamientos siguientes:

  • El filtro se aplica al tráfico que se reenvía desde un puerto promiscuo (troncal o de acceso) a un puerto de tronco de la comunidad (porque el tráfico está a la salida con la etiqueta VLAN de la comunidad).

  • El filtro se aplica al tráfico reenviado desde un puerto de la comunidad a un puerto troncal PVLAN (ya que el tráfico está a la salida con la etiqueta VLAN de la comunidad).

  • El filtro no se aplica al tráfico reenviado desde un puerto de la comunidad a un puerto promiscuo (porque el tráfico se queda con la etiqueta de VLAN principal o sin etiquetar).

Solución

Estos son los comportamientos esperados. Solo se producen si aplica un filtro de Firewall a una VLAN privada en la dirección de salida y no ocurre si aplica un filtro de Firewall a una VLAN privada en la dirección de entrada.

No se admite el filtrado de salida del tráfico L2PT

Problema

Description: No se admite el filtrado de salida del tráfico de L2PT en el conmutador QFX3500. Es decir, si configura L2PT para que túnel a un protocolo en una interfaz, no puede usar también un filtro de Firewall para filtrar el tráfico de ese protocolo en esa interfaz en la dirección de salida. Si confirma una configuración para este propósito, el filtro Firewall no se aplica al tráfico de túnel L2PT.

Solución

Este es el comportamiento esperado.

No se pueden colocar paquetes de BGP en determinadas circunstancias

Problema

Description: BGP paquetes con un valor de tiempo de vida (TTL) mayor que 1 no se pueden descartar con un filtro de Firewall aplicado a una interfaz de bucle de retroceso o que se aplica en la entrada a una interfaz de la capa 3. BGP paquetes con valor TTL de 1 o 0 pueden descartarse mediante un filtro de Firewall aplicado a una interfaz de bucle de retroceso o se aplican en la entrada a una interfaz de la capa 3.

Solución

Este es el comportamiento esperado.

Estadísticas no válidas para el Policiale

Problema

Description: Si aplica un policía de dos colores de una sola tasa en más de 128 términos en un filtro de cortafuegos, la salida del show firewall comando mostrará datos incorrectos del mismo.

Solución

Este es el comportamiento esperado.

Las políticas pueden limitar los filtros de salida

Problema

Description: En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de Firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de entrada de 1024. Se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acciones en los términos de filtros de Firewall. (Los enpoliciales utilizan dos entradas porque una se utiliza para los paquetes verdes y la otra se utiliza para los paquetes que no son verdes independientemente del tipo de policíación). Si el TCAM se llena, no podrá confirmar más filtros de Firewall de salida con términos con contadores. Por ejemplo, si configura y confirma 512 políticas de salida (dos colores, tres colores o una combinación de ambos tipos de policíación), se utilizan todas las entradas de memoria para los contadores. Si más adelante en el archivo de configuración inserta filtros adicionales de Firewall de salida con términos que también incluyen contadores, no se confirmará ninguno de los términos de esos filtros porque no hay espacio de memoria disponible para los contadores.

A continuación, encontrará algunos ejemplos adicionales:

  • Suponga que configura filtros de salida que incluyen un total de 512 policiales y ningún contador. Más adelante en el archivo de configuración, incluye otro filtro de salida con 10 términos, uno de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro están confirmados porque no hay espacio en TCAM suficiente para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policiales, por lo que las entradas 1000 TCAM están ocupadas. Más adelante en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

    • Filtrar con 20 términos y 20 contadores. Todos los términos de este filtro están confirmados porque hay suficiente espacio en TCAM para todos los contadores.

    • El filtro B va después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro están confirmados porque no hay suficiente espacio en memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo hay cuatro disponibles.)

Solución

Puede evitar este problema asegurándose de que los términos de filtro de Firewall de salida con acciones de contador se colocan anteriormente en su archivo de configuración que los términos que incluyen policiales. En estas circunstancias, Junos OS confirma las políticas, incluso si no hay suficiente espacio en TCAM para los contadores implícitos. Por ejemplo, supongamos lo siguiente:

  • Dispone de términos de filtro de Firewall de 1024 con acciones de contador.

  • Más adelante en su archivo de configuración tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores pero uno tiene un modificador de acciones de policía.

Puede confirmar correctamente el filtro con 10 términos, aunque no haya espacio TCAM suficiente para los contadores implícitos del policía. El policial se confirma sin los contadores.