Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Dépannage des filtres de pare-feu

Utilisez les informations suivantes pour dépanner la configuration du filtre de votre pare-feu.

Dépannage des commutateurs QFX10000

Cette section décrit les problèmes spécifiques aux commutateurs QFX10000 :

Ne pas combiner les conditions de correspondance pour différents calques

Sur les commutateurs QFX10000, ne combinez pas les conditions de correspondance pour la couche 2 et toute autre couche dans un family ethernet-switching filtre. (Par exemple, n’incluez pas de conditions qui correspondent aux adresses MAC et aux adresses IP dans le même filtre.) Si vous le faites, le filtre sera validé avec succès mais ne fonctionnera pas. Le message de journal suivant s’affiche également : L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.

Les paquets de couche 2 ne peuvent pas être ignorés avec les filtres de pare-feu

Problème

Description

Les paquets de contrôle de couche 2 (L2) tels que le protocole LLDP (Link Layer Discovery Protocol) et l’unité de données du protocole de pont (BPDU) ne peuvent pas être ignorés à l’aide de filtres de pare-feu.

Solution

Configurez la protection contre le déni de service distribué (DDoS) sur le paquet de contrôle L2 et définissez la bande passante agrégée du mécanisme de contrôle et les valeurs de rafale sur la valeur minimale de 1. Par exemple,

user@host# set aggregate bandwidth 1

user@host# set aggregate burst 1

Le filtre de pare-feu Protect-RE (loopback) ne filtre pas les paquets appliqués aux interfaces EM0

Problème

Description

Sur les commutateurs QFX10000, le filtre de pare-feu Protect-RE (bouclage) ne filtre pas les paquets appliqués aux interfaces EM0, y compris SNMP, Telnet et d’autres services.

Solution

Il s’agit d’un comportement attendu.

Dépannage d’autres commutateurs

Cette section décrit les problèmes spécifiques aux commutateurs QFX autres que les commutateurs QFX10000. Ces informations s’appliquent également aux commutateurs OCX1100 et EX4600.

La configuration du filtre de pare-feu renvoie le message Aucun espace disponible dans TCAM

Problème

Description

Lorsqu’une configuration de filtre de pare-feu dépasse la quantité d’espace TCAM (Ternary Content Addressable Memory) disponible, le système renvoie le message suivant syslogd :

Un commutateur renvoie ce message pendant l’opération de validation si le filtre de pare-feu qui a été appliqué à un port, un VLAN ou une interface de couche 3 dépasse la quantité d’espace disponible dans la table TCAM. Le filtre n’est pas appliqué, mais l’opération de validation pour la configuration du filtre de pare-feu est terminée dans le module CLI.

Solution

Lorsqu’une configuration de filtre de pare-feu dépasse la quantité d’espace table TCAM disponible, vous devez configurer un nouveau filtre de pare-feu avec moins de termes de filtre afin que l’espace requis pour le filtre ne dépasse pas l’espace disponible dans la table TCAM.

Vous pouvez effectuer l’une des procédures suivantes pour corriger le problème :

Pour supprimer le filtre et sa liaison et appliquer le nouveau filtre de pare-feu plus petit à la même liaison :

  1. Supprimez le filtre et sa liaison aux ports, VLAN ou interfaces de couche 3. Par exemple :

  2. Validez les modifications :

  3. Configurez un filtre plus petit avec moins de termes qui ne dépasse pas la quantité d’espace TCAM disponible. Par exemple :

  4. Appliquez (liez) le nouveau filtre de pare-feu à un port, un VLAN ou une interface de couche 3. Par exemple :

  5. Validez les modifications :

Pour appliquer un nouveau filtre de pare-feu et remplacer la liaison existante, mais pas supprimer le filtre d’origine :

  1. Configurez un filtre de pare-feu avec moins de termes que le filtre d’origine :

  2. Appliquez le filtre de pare-feu aux interfaces de port, de VLAN ou de couche 3 pour écraser la liaison du filtre d’origine, par exemple :

    Étant donné que vous ne pouvez pas appliquer plus d’un filtre de pare-feu par VLAN et par direction, la liaison du filtre de pare-feu d’origine au VLAN est remplacée par le nouveau filtre new-ingress-vlan-rogue-blockde pare-feu .

  3. Validez les modifications :

REMARQUE :

Le filtre d’origine n’est pas supprimé et est toujours disponible dans la configuration.

Le filtre compte les paquets précédemment abandonnés

Problème

Description

Si vous configurez deux filtres ou plus dans la même direction pour une interface physique et que l’un des filtres inclut un compteur, celui-ci sera incorrect si les circonstances suivantes s’appliquent :

  • Vous configurez d’abord le filtre appliqué aux paquets pour qu’il ignore certains paquets. Par exemple, imaginez que vous disposez d’un filtre VLAN qui accepte les paquets envoyés à des adresses 10.10.1.0/24 et rejette implicitement les paquets envoyés à d’autres adresses. Vous appliquez le filtre au VLAN dans la direction de sortie, et l’interface admin xe-0/0/1 est membre de ce VLAN.

  • Vous configurez ensuite un filtre pour qu’il accepte et compte les paquets abandonnés par le premier filtre. Dans cet exemple, vous disposez d’un filtre de port qui accepte et compte les paquets envoyés aux adresses 192.168.1.0/24 qui est également appliqué à xe-0/0/1 dans la direction de sortie.

Le filtre VLAN de sortie est appliqué en premier et ignore correctement les paquets envoyés aux adresses 192.168.1.0/24. Le filtre de port de sortie est ensuite appliqué et compte les paquets rejetés comme des paquets correspondants. Les paquets ne sont pas transférés, mais le compteur affiché par le filtre du port de sortie est incorrect.

N’oubliez pas que l’ordre dans lequel les filtres sont appliqués dépend de la direction dans laquelle ils sont appliqués, comme indiqué ici :

Filtres d’entrée :

  1. Filtre Port (couche 2)

  2. Filtre VLAN

  3. Filtre de routeur (couche 3)

Filtres de sortie :

  1. Filtre de routeur (couche 3)

  2. Filtre VLAN

  3. Filtre Port (couche 2)

Solution

Il s’agit d’un comportement attendu.

Paquets correspondants non comptés

Problème

Description

Si vous configurez deux filtres de sortie avec des compteurs pour une interface physique et qu’un paquet correspond aux deux filtres, un seul des compteurs inclut ce paquet.

Par exemple :

  • Vous configurez un filtre de port de sortie avec un compteur pour l’interface xe-0/0/1.

  • Vous configurez un filtre VLAN sortant avec un compteur pour le VLAN, et l’interface adminxe-0/0/1 est membre de ce VLAN.

  • Un paquet correspond aux deux filtres.

Dans ce cas, le paquet n’est compté que par l’un des compteurs, même s’il correspond aux deux filtres.

Solution

Il s’agit d’un comportement attendu.

Réinitialisation du compteur lors de l’édition du filtre

Problème

Description

Si vous modifiez un terme de filtre de pare-feu, la valeur de tout compteur associé à n’importe quel terme dans le même filtre est définie sur 0, y compris le compteur implicite de tout mécanisme de contrôle référencé par le filtre. Prenons les exemples suivants :

  • Supposons que votre filtre a , term2et term3, et que chaque terme a un compteur qui a term1déjà compté les paquets correspondants. Si vous modifiez l’un des termes de quelque manière que ce soit, les compteurs de tous les termes sont réinitialisés à 0.

  • Supposons que votre filtre a term1 et term2. Supposons également que a un policer modificateur d’action et que term2 le compteur implicite du mécanisme de contrôle a déjà compté 1000 paquets correspondants. Si vous modifiez term1 ou term2 de quelque manière que ce soit, le compteur du mécanisme de contrôle référencé par term2 est remis à 0.

Solution

Il s’agit d’un comportement attendu.

Impossible d’inclure les actions de priorité de perte et de mécanisme de contrôle dans le même terme

Problème

Description

Vous ne pouvez pas inclure les deux actions suivantes dans le même terme de filtre de pare-feu dans un commutateur QFX Series :

  • loss-priority

  • policer

Dans ce cas, le message d’erreur suivant s’affiche lorsque vous tentez de valider la configuration : « Impossible de prendre en charge l’action du contrôleur si la priorité des pertes est configurée. »

Solution

Il s’agit d’un comportement attendu.

Impossible de filtrer la sortie de certains trafics provenant du commutateur QFX

Problème

Description

Sur un commutateur QFX Series, vous ne pouvez pas filtrer certains trafics avec un filtre de pare-feu appliqué dans la direction de sortie si le trafic provient du commutateur QFX. Cette limitation s’applique au trafic de contrôle pour des protocoles tels que ICMP (ping), STP, LACP, etc.

Solution

Il s’agit d’un comportement attendu.

La condition de correspondance du filtre de pare-feu ne fonctionne pas avec le tunneling Q-in-Q

Problème

Description

Si vous créez un filtre de pare-feu qui inclut une condition de correspondance de ou dot1q-user-priority et que vous appliquez le filtre en entrée à un port de dot1q-tag jonction qui fait partie d’un VLAN de service, la condition de correspondance ne fonctionne pas si l’EtherType Q-in-Q n’est pas 0x8100. (Lorsque la tunnelisation Q-in-Q est activée, les interfaces jonction sont supposées faire partie du réseau du fournisseur de services ou du centre de données et donc faire partie des VLAN de service.)

Solution

Il s’agit d’un comportement attendu. Pour définir l’EtherType Q-in-Q sur 0x8100, entrez l’instruction set dot1q-tunneling ethertype 0x8100 au niveau de la [edit ethernet-switching-options] hiérarchie. Vous devez également configurer l’autre extrémité de la liaison pour qu’elle utilise le même Ethertype.

Filtres de pare-feu de sortie avec VLAN privés

Problème

Description

Si vous appliquez un filtre de pare-feu dans le sens de la sortie à un VLAN principal, le filtre s’applique également aux VLAN secondaires membres du VLAN principal lorsque le trafic sort avec la balise VLAN principale ou la balise VLAN isolée, comme indiqué ci-dessous :

  • Trafic transféré d’un port trunk VLAN secondaire vers un port de proximité (trunk ou accès)

  • Trafic transféré d’un port trunk VLAN secondaire qui transporte un VLAN isolé vers un port trunk PVLAN.

  • Trafic transféré d’un port de proximité (trunk ou accès) vers un port trunk VLAN secondaire

  • Trafic transféré à partir d’un port trunk PVLAN. vers un port trunk VLAN secondaire

  • Trafic transféré d’un port communautaire vers un port de proximité (jonction ou accès)

Si vous appliquez un filtre de pare-feu dans le sens de la sortie vers un VLAN principal, le filtre ne s’applique pas au trafic sortant avec une balise VLAN communautaire, comme indiqué ci-dessous :

  • Trafic transféré d’un port trunk communautaire vers un port trunk PVLAN

  • Trafic transféré d’un port trunk VLAN secondaire qui transporte un VLAN communautaire vers un port trunk PVLAN

  • Trafic transféré d’un port de proximité (jonction ou accès) vers un port trunk communautaire

  • Trafic transféré à partir d’un port trunk PVLAN. vers un port trunk communautaire

Si vous appliquez un filtre de pare-feu dans le sens de la sortie à un VLAN communautaire, les comportements suivants s’appliquent :

  • Le filtre est appliqué au trafic transféré à partir d’un port de proximité (jonction ou accès) vers un port de jonction communautaire (car le trafic sort avec la balise VLAN communautaire).

  • Le filtre est appliqué au trafic transféré d’un port communautaire vers un port trunk PVLAN (car le trafic sort avec la balise VLAN communautaire).

  • Le filtre n’est pas appliqué au trafic transféré d’un port communautaire vers un port de promiscuité (car le trafic sort avec la balise VLAN principale ou non balisée).

Solution

Ce sont des comportements attendus. Ils ne se produisent que si vous appliquez un filtre de pare-feu à un VLAN privé dans le sens de sortie et ne se produisent pas si vous appliquez un filtre de pare-feu à un VLAN privé dans le sens d’entrée.

Filtrage sortant du trafic L2PT non pris en charge

Problème

Description

Le filtrage sortant du trafic L2PT n’est pas pris en charge sur le commutateur QFX3500. En d’autres termes, si vous configurez L2PT pour tunneliser un protocole sur une interface, vous ne pouvez pas utiliser de filtre de pare-feu pour filtrer le trafic de ce protocole sur cette interface dans le sens de sortie. Si vous validez une configuration à cet effet, le filtre de pare-feu n’est pas appliqué au trafic tunnelisé L2PT.

Solution

Il s’agit d’un comportement attendu.

Impossible d’abandonner des paquets BGP dans certaines circonstances

Problème

Description

Les paquets BGP dont la durée de vie (TTL) est supérieure à 1 ne peuvent pas être ignorés à l’aide d’un filtre de pare-feu appliqué à une interface de bouclage ou appliqué à l’entrée d’une interface de couche 3. Les paquets BGP avec une valeur TTL de 1 ou 0 peuvent être ignorés à l’aide d’un filtre de pare-feu appliqué à une interface de bouclage ou appliqué à l’entrée d’une interface de couche 3.

Solution

Il s’agit d’un comportement attendu.

Statistiques non valides pour Policer

Problème

Description

Si vous appliquez un mécanisme de contrôle bicolore à taux unique dans plus de 128 termes dans un filtre de pare-feu, la sortie de la show firewall commande affiche des données incorrectes pour le mécanisme de contrôle.

Solution

Il s’agit d’un comportement attendu.

Les mécanismes de contrôle peuvent limiter les filtres de sortie

Problème

Description

Sur certains commutateurs, le nombre de mécanismes de contrôle de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque agent de contrôle dispose de deux marqueurs implicites qui occupent deux entrées dans un TCAM à 1024 entrées. Ceux-ci sont utilisés pour les compteurs, y compris les compteurs qui sont configurés en tant que modificateurs d’action dans les termes de filtre de pare-feu. (Les mécanismes de contrôle utilisent deux entrées, car l’une est utilisée pour les paquets verts et l’autre pour les paquets non verts, quel que soit le type de mécanisme de contrôle.) Si le TCAM est saturé, vous ne pouvez plus valider les filtres de pare-feu de sortie qui ont des conditions avec des compteurs. Par exemple, si vous configurez et validez 512 mécanismes de contrôle de sortie (bicolores, tricolores ou une combinaison des deux types de mécanismes de contrôle), toutes les entrées de mémoire des compteurs sont utilisées. Si, plus loin dans votre fichier de configuration, vous insérez des filtres de pare-feu de sortie supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est validé, car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici d’autres exemples :

  • Supposons que vous configuriez des filtres de sortie qui incluent un total de 512 mécanismes de contrôle et aucun compteur. Plus loin dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 a un modificateur de contre-action. Aucun des termes de ce filtre n’est validé, car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposons que vous configuriez des filtres de sortie qui incluent un total de 500 mécanismes de contrôle, de sorte que 1000 entrées TCAM sont occupées. Plus loin dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :

    • Filtre A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont validés, car il y a suffisamment d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et possède cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est validé car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seulement quatre sont disponibles.)

Solution

Vous pouvez éviter ce problème en veillant à ce que les termes de filtre de pare-feu de sortie avec contre-actions soient placés plus tôt dans votre fichier de configuration que les termes qui incluent des mécanismes de contrôle. Dans ce cas, Junos OS valide les mécanismes de contrôle même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Par exemple, supposons ce qui suit :

  • Vous disposez de 1024 termes de filtre de pare-feu de sortie avec des contre-actions.

  • Plus loin dans votre fichier de configuration, vous avez un filtre de sortie avec 10 termes. Aucun des termes n’a de compteur, mais l’un d’entre eux a un modificateur d’action de contrôleur.

Vous pouvez valider le filtre avec 10 termes même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du contrôleur. Le policier s’engage sans les compteurs.