Dépannage des filtres de pare-feu
Utilisez les informations suivantes pour dépanner la configuration du filtre de votre pare-feu.
Dépannage des commutateurs QFX10000
Cette section décrit les problèmes spécifiques aux commutateurs QFX10000 :
- Ne pas combiner les conditions de correspondance pour différents calques
- Les paquets de couche 2 ne peuvent pas être ignorés avec les filtres de pare-feu
- Le filtre de pare-feu Protect-RE (loopback) ne filtre pas les paquets appliqués aux interfaces EM0
Ne pas combiner les conditions de correspondance pour différents calques
Sur les commutateurs QFX10000, ne combinez pas les conditions de correspondance pour la couche 2 et toute autre couche dans un family ethernet-switching
filtre. (Par exemple, n’incluez pas de conditions qui correspondent aux adresses MAC et aux adresses IP dans le même filtre.) Si vous le faites, le filtre sera validé avec succès mais ne fonctionnera pas. Le message de journal suivant s’affiche également : L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.
Les paquets de couche 2 ne peuvent pas être ignorés avec les filtres de pare-feu
Problème
Description
Les paquets de contrôle de couche 2 (L2) tels que le protocole LLDP (Link Layer Discovery Protocol) et l’unité de données du protocole de pont (BPDU) ne peuvent pas être ignorés à l’aide de filtres de pare-feu.
Solution
Configurez la protection contre le déni de service distribué (DDoS) sur le paquet de contrôle L2 et définissez la bande passante agrégée du mécanisme de contrôle et les valeurs de rafale sur la valeur minimale de 1. Par exemple,
[edit system ddos-protection protocols protocol name]
user@host# set aggregate bandwidth 1
[edit system ddos-protection protocols protocol name]
user@host# set aggregate burst 1
Le filtre de pare-feu Protect-RE (loopback) ne filtre pas les paquets appliqués aux interfaces EM0
Dépannage d’autres commutateurs
Cette section décrit les problèmes spécifiques aux commutateurs QFX autres que les commutateurs QFX10000. Ces informations s’appliquent également aux commutateurs OCX1100 et EX4600.
- La configuration du filtre de pare-feu renvoie le message Aucun espace disponible dans TCAM
- Le filtre compte les paquets précédemment abandonnés
- Paquets correspondants non comptés
- Réinitialisation du compteur lors de l’édition du filtre
- Impossible d’inclure les actions de priorité de perte et de mécanisme de contrôle dans le même terme
- Impossible de filtrer la sortie de certains trafics provenant du commutateur QFX
- La condition de correspondance du filtre de pare-feu ne fonctionne pas avec le tunneling Q-in-Q
- Filtres de pare-feu de sortie avec VLAN privés
- Filtrage sortant du trafic L2PT non pris en charge
- Impossible d’abandonner des paquets BGP dans certaines circonstances
- Statistiques non valides pour Policer
- Les mécanismes de contrôle peuvent limiter les filtres de sortie
La configuration du filtre de pare-feu renvoie le message Aucun espace disponible dans TCAM
Problème
Description
Lorsqu’une configuration de filtre de pare-feu dépasse la quantité d’espace TCAM (Ternary Content Addressable Memory) disponible, le système renvoie le message suivant syslogd
:
No space available in tcam. Rules for filter filter-name will not be installed.
Un commutateur renvoie ce message pendant l’opération de validation si le filtre de pare-feu qui a été appliqué à un port, un VLAN ou une interface de couche 3 dépasse la quantité d’espace disponible dans la table TCAM. Le filtre n’est pas appliqué, mais l’opération de validation pour la configuration du filtre de pare-feu est terminée dans le module CLI.
Solution
Lorsqu’une configuration de filtre de pare-feu dépasse la quantité d’espace table TCAM disponible, vous devez configurer un nouveau filtre de pare-feu avec moins de termes de filtre afin que l’espace requis pour le filtre ne dépasse pas l’espace disponible dans la table TCAM.
Vous pouvez effectuer l’une des procédures suivantes pour corriger le problème :
Pour supprimer le filtre et sa liaison et appliquer le nouveau filtre de pare-feu plus petit à la même liaison :
Supprimez le filtre et sa liaison aux ports, VLAN ou interfaces de couche 3. Par exemple :
[edit] user@switch# delete firewall family ethernet-switching filter ingress-vlan-rogue-block user@switch# delete vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# delete vlans employee-vlan filter input ingress-vlan-rogue-block
Validez les modifications :
[edit] user@switch# commit
Configurez un filtre plus petit avec moins de termes qui ne dépasse pas la quantité d’espace TCAM disponible. Par exemple :
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block ...
Appliquez (liez) le nouveau filtre de pare-feu à un port, un VLAN ou une interface de couche 3. Par exemple :
[edit] user@switch# set vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
Validez les modifications :
[edit] user@switch# commit
Pour appliquer un nouveau filtre de pare-feu et remplacer la liaison existante, mais pas supprimer le filtre d’origine :
Configurez un filtre de pare-feu avec moins de termes que le filtre d’origine :
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block...
Appliquez le filtre de pare-feu aux interfaces de port, de VLAN ou de couche 3 pour écraser la liaison du filtre d’origine, par exemple :
[edit] user@switch# set vlans employee-vlan description "smaller filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
Étant donné que vous ne pouvez pas appliquer plus d’un filtre de pare-feu par VLAN et par direction, la liaison du filtre de pare-feu d’origine au VLAN est remplacée par le nouveau filtre
new-ingress-vlan-rogue-block
de pare-feu .Validez les modifications :
[edit] user@switch# commit
Le filtre d’origine n’est pas supprimé et est toujours disponible dans la configuration.
Le filtre compte les paquets précédemment abandonnés
Problème
Description
Si vous configurez deux filtres ou plus dans la même direction pour une interface physique et que l’un des filtres inclut un compteur, celui-ci sera incorrect si les circonstances suivantes s’appliquent :
Vous configurez d’abord le filtre appliqué aux paquets pour qu’il ignore certains paquets. Par exemple, imaginez que vous disposez d’un filtre VLAN qui accepte les paquets envoyés à des adresses 10.10.1.0/24 et rejette implicitement les paquets envoyés à d’autres adresses. Vous appliquez le filtre au VLAN dans la direction de sortie, et l’interface
admin
xe-0/0/1 est membre de ce VLAN.Vous configurez ensuite un filtre pour qu’il accepte et compte les paquets abandonnés par le premier filtre. Dans cet exemple, vous disposez d’un filtre de port qui accepte et compte les paquets envoyés aux adresses 192.168.1.0/24 qui est également appliqué à xe-0/0/1 dans la direction de sortie.
Le filtre VLAN de sortie est appliqué en premier et ignore correctement les paquets envoyés aux adresses 192.168.1.0/24. Le filtre de port de sortie est ensuite appliqué et compte les paquets rejetés comme des paquets correspondants. Les paquets ne sont pas transférés, mais le compteur affiché par le filtre du port de sortie est incorrect.
N’oubliez pas que l’ordre dans lequel les filtres sont appliqués dépend de la direction dans laquelle ils sont appliqués, comme indiqué ici :
Filtres d’entrée :
Filtre Port (couche 2)
Filtre VLAN
Filtre de routeur (couche 3)
Filtres de sortie :
Filtre de routeur (couche 3)
Filtre VLAN
Filtre Port (couche 2)
Solution
Il s’agit d’un comportement attendu.
Paquets correspondants non comptés
Problème
Description
Si vous configurez deux filtres de sortie avec des compteurs pour une interface physique et qu’un paquet correspond aux deux filtres, un seul des compteurs inclut ce paquet.
Par exemple :
Vous configurez un filtre de port de sortie avec un compteur pour l’interface xe-0/0/1.
Vous configurez un filtre VLAN sortant avec un compteur pour le VLAN, et l’interface
admin
xe-0/0/1 est membre de ce VLAN.Un paquet correspond aux deux filtres.
Dans ce cas, le paquet n’est compté que par l’un des compteurs, même s’il correspond aux deux filtres.
Solution
Il s’agit d’un comportement attendu.
Réinitialisation du compteur lors de l’édition du filtre
Problème
Description
Si vous modifiez un terme de filtre de pare-feu, la valeur de tout compteur associé à n’importe quel terme dans le même filtre est définie sur 0, y compris le compteur implicite de tout mécanisme de contrôle référencé par le filtre. Prenons les exemples suivants :
Supposons que votre filtre a ,
term2
etterm3
, et que chaque terme a un compteur qui aterm1
déjà compté les paquets correspondants. Si vous modifiez l’un des termes de quelque manière que ce soit, les compteurs de tous les termes sont réinitialisés à 0.Supposons que votre filtre a
term1
etterm2
. Supposons également que a unpolicer
modificateur d’action et queterm2
le compteur implicite du mécanisme de contrôle a déjà compté 1000 paquets correspondants. Si vous modifiezterm1
outerm2
de quelque manière que ce soit, le compteur du mécanisme de contrôle référencé parterm2
est remis à 0.
Solution
Il s’agit d’un comportement attendu.
Impossible d’inclure les actions de priorité de perte et de mécanisme de contrôle dans le même terme
Problème
Description
Vous ne pouvez pas inclure les deux actions suivantes dans le même terme de filtre de pare-feu dans un commutateur QFX Series :
loss-priority
policer
Dans ce cas, le message d’erreur suivant s’affiche lorsque vous tentez de valider la configuration : « Impossible de prendre en charge l’action du contrôleur si la priorité des pertes est configurée. »
Solution
Il s’agit d’un comportement attendu.
Impossible de filtrer la sortie de certains trafics provenant du commutateur QFX
Problème
Description
Sur un commutateur QFX Series, vous ne pouvez pas filtrer certains trafics avec un filtre de pare-feu appliqué dans la direction de sortie si le trafic provient du commutateur QFX. Cette limitation s’applique au trafic de contrôle pour des protocoles tels que ICMP (ping), STP, LACP, etc.
Solution
Il s’agit d’un comportement attendu.
La condition de correspondance du filtre de pare-feu ne fonctionne pas avec le tunneling Q-in-Q
Problème
Description
Si vous créez un filtre de pare-feu qui inclut une condition de correspondance de ou dot1q-user-priority
et que vous appliquez le filtre en entrée à un port de dot1q-tag
jonction qui fait partie d’un VLAN de service, la condition de correspondance ne fonctionne pas si l’EtherType Q-in-Q n’est pas 0x8100. (Lorsque la tunnelisation Q-in-Q est activée, les interfaces jonction sont supposées faire partie du réseau du fournisseur de services ou du centre de données et donc faire partie des VLAN de service.)
Solution
Il s’agit d’un comportement attendu. Pour définir l’EtherType Q-in-Q sur 0x8100, entrez l’instruction set dot1q-tunneling ethertype 0x8100 au niveau de la [edit ethernet-switching-options]
hiérarchie. Vous devez également configurer l’autre extrémité de la liaison pour qu’elle utilise le même Ethertype.
Filtres de pare-feu de sortie avec VLAN privés
Problème
Description
Si vous appliquez un filtre de pare-feu dans le sens de la sortie à un VLAN principal, le filtre s’applique également aux VLAN secondaires membres du VLAN principal lorsque le trafic sort avec la balise VLAN principale ou la balise VLAN isolée, comme indiqué ci-dessous :
Trafic transféré d’un port trunk VLAN secondaire vers un port de proximité (trunk ou accès)
Trafic transféré d’un port trunk VLAN secondaire qui transporte un VLAN isolé vers un port trunk PVLAN.
Trafic transféré d’un port de proximité (trunk ou accès) vers un port trunk VLAN secondaire
Trafic transféré à partir d’un port trunk PVLAN. vers un port trunk VLAN secondaire
Trafic transféré d’un port communautaire vers un port de proximité (jonction ou accès)
Si vous appliquez un filtre de pare-feu dans le sens de la sortie vers un VLAN principal, le filtre ne s’applique pas au trafic sortant avec une balise VLAN communautaire, comme indiqué ci-dessous :
Trafic transféré d’un port trunk communautaire vers un port trunk PVLAN
Trafic transféré d’un port trunk VLAN secondaire qui transporte un VLAN communautaire vers un port trunk PVLAN
Trafic transféré d’un port de proximité (jonction ou accès) vers un port trunk communautaire
Trafic transféré à partir d’un port trunk PVLAN. vers un port trunk communautaire
Si vous appliquez un filtre de pare-feu dans le sens de la sortie à un VLAN communautaire, les comportements suivants s’appliquent :
Le filtre est appliqué au trafic transféré à partir d’un port de proximité (jonction ou accès) vers un port de jonction communautaire (car le trafic sort avec la balise VLAN communautaire).
Le filtre est appliqué au trafic transféré d’un port communautaire vers un port trunk PVLAN (car le trafic sort avec la balise VLAN communautaire).
Le filtre n’est pas appliqué au trafic transféré d’un port communautaire vers un port de promiscuité (car le trafic sort avec la balise VLAN principale ou non balisée).
Solution
Ce sont des comportements attendus. Ils ne se produisent que si vous appliquez un filtre de pare-feu à un VLAN privé dans le sens de sortie et ne se produisent pas si vous appliquez un filtre de pare-feu à un VLAN privé dans le sens d’entrée.
Filtrage sortant du trafic L2PT non pris en charge
Problème
Description
Le filtrage sortant du trafic L2PT n’est pas pris en charge sur le commutateur QFX3500. En d’autres termes, si vous configurez L2PT pour tunneliser un protocole sur une interface, vous ne pouvez pas utiliser de filtre de pare-feu pour filtrer le trafic de ce protocole sur cette interface dans le sens de sortie. Si vous validez une configuration à cet effet, le filtre de pare-feu n’est pas appliqué au trafic tunnelisé L2PT.
Solution
Il s’agit d’un comportement attendu.
Impossible d’abandonner des paquets BGP dans certaines circonstances
Problème
Description
Les paquets BGP dont la durée de vie (TTL) est supérieure à 1 ne peuvent pas être ignorés à l’aide d’un filtre de pare-feu appliqué à une interface de bouclage ou appliqué à l’entrée d’une interface de couche 3. Les paquets BGP avec une valeur TTL de 1 ou 0 peuvent être ignorés à l’aide d’un filtre de pare-feu appliqué à une interface de bouclage ou appliqué à l’entrée d’une interface de couche 3.
Solution
Il s’agit d’un comportement attendu.
Statistiques non valides pour Policer
Problème
Description
Si vous appliquez un mécanisme de contrôle bicolore à taux unique dans plus de 128 termes dans un filtre de pare-feu, la sortie de la show firewall
commande affiche des données incorrectes pour le mécanisme de contrôle.
Solution
Il s’agit d’un comportement attendu.
Les mécanismes de contrôle peuvent limiter les filtres de sortie
Problème
Description
Sur certains commutateurs, le nombre de mécanismes de contrôle de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque agent de contrôle dispose de deux marqueurs implicites qui occupent deux entrées dans un TCAM à 1024 entrées. Ceux-ci sont utilisés pour les compteurs, y compris les compteurs qui sont configurés en tant que modificateurs d’action dans les termes de filtre de pare-feu. (Les mécanismes de contrôle utilisent deux entrées, car l’une est utilisée pour les paquets verts et l’autre pour les paquets non verts, quel que soit le type de mécanisme de contrôle.) Si le TCAM est saturé, vous ne pouvez plus valider les filtres de pare-feu de sortie qui ont des conditions avec des compteurs. Par exemple, si vous configurez et validez 512 mécanismes de contrôle de sortie (bicolores, tricolores ou une combinaison des deux types de mécanismes de contrôle), toutes les entrées de mémoire des compteurs sont utilisées. Si, plus loin dans votre fichier de configuration, vous insérez des filtres de pare-feu de sortie supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est validé, car il n’y a pas d’espace mémoire disponible pour les compteurs.
Voici d’autres exemples :
Supposons que vous configuriez des filtres de sortie qui incluent un total de 512 mécanismes de contrôle et aucun compteur. Plus loin dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 a un modificateur de contre-action. Aucun des termes de ce filtre n’est validé, car il n’y a pas assez d’espace TCAM pour le compteur.
Supposons que vous configuriez des filtres de sortie qui incluent un total de 500 mécanismes de contrôle, de sorte que 1000 entrées TCAM sont occupées. Plus loin dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :
Filtre A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont validés, car il y a suffisamment d’espace TCAM pour tous les compteurs.
Le filtre B vient après le filtre A et possède cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est validé car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seulement quatre sont disponibles.)
Solution
Vous pouvez éviter ce problème en veillant à ce que les termes de filtre de pare-feu de sortie avec contre-actions soient placés plus tôt dans votre fichier de configuration que les termes qui incluent des mécanismes de contrôle. Dans ce cas, Junos OS valide les mécanismes de contrôle même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Par exemple, supposons ce qui suit :
Vous disposez de 1024 termes de filtre de pare-feu de sortie avec des contre-actions.
Plus loin dans votre fichier de configuration, vous avez un filtre de sortie avec 10 termes. Aucun des termes n’a de compteur, mais l’un d’entre eux a un modificateur d’action de contrôleur.
Vous pouvez valider le filtre avec 10 termes même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du contrôleur. Le policier s’engage sans les compteurs.