Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Dépannage des filtres de pare-feu

Utilisez les informations suivantes pour dépanner la configuration de votre filtre de pare-feu.

Dépannage des commutateurs QFX10000

Cette section décrit les problèmes spécifiques aux commutateurs QFX10000 :

Ne combinez pas les conditions de correspondance pour différentes couches

Sur les commutateurs QFX10000, ne combinez pas les conditions de correspondance pour la couche 2 et toute autre couche dans un family ethernet-switching filtre. (Par exemple, n’incluez pas de conditions correspondant aux adresses MAC et IP dans le même filtre.) Si vous le faites, le filtre s’validera avec succès, mais ne fonctionnera pas. Le message journal suivant s’affiche également : L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.

Les paquets de couche 2 ne peuvent pas être jetés avec les filtres de pare-feu

Problème

Description

Les paquets de contrôle de couche 2 (L2) tels que le protocole LLDP (Link Layer Discovery Protocol) et l’unité de données du protocole de pont (BPDU) ne peuvent pas être jetés à l’aide de filtres de pare-feu.

Solution

Configurez la protection contre les attaques par déni de service distribué (DDoS) sur le paquet de contrôle de couche 2 et définissez la bande passante agrégée du mécanismes de contrôle et les valeurs d’rafale sur la valeur minimale de 1. Par exemple,

user@host # set aggregate bandwidth 1

user@host # set aggregate burst 1

Le filtre de pare-feu Protect-RE (bouclage) ne filtre pas les paquets appliqués aux interfaces EM0

Problème

Description

Sur les commutateurs QFX10000, le filtre de pare-feu Protect-RE (bouclage) ne filtre pas les paquets appliqués aux interfaces EM0, notamment SNMP, Telnet et d’autres services.

Solution

C’est un comportement attendu.

Dépannage d’autres commutateurs

Cette section décrit les problèmes spécifiques aux commutateurs QFX autres que les commutateurs QFX10000. Ces informations s’appliquent également aux commutateurs OCX1100 et EX4600.

La configuration du filtre de pare-feu ne renvoie aucun espace disponible dans le message TCAM

Problème

Description

Lorsqu’une configuration de filtre de pare-feu dépasse la quantité d’espace TCAM (Ternary Content Addressable Memory) disponible, le système renvoie le message suivant syslogd :

Un commutateur renvoie ce message pendant l’opération de validation si le filtre de pare-feu appliqué à un port, un VLAN ou une interface de couche 3 dépasse la quantité d’espace disponible dans la table TCAM. Le filtre n’est pas appliqué, mais le fonctionnement de validation pour la configuration du filtre de pare-feu est terminé dans le module CLI.

Solution

Lorsqu’une configuration de filtre de pare-feu dépasse la quantité d’espace disponible dans la table TCAM, vous devez configurer un nouveau filtre de pare-feu avec moins de termes de filtre afin que l’espace requis pour le filtre ne dépasse pas l’espace disponible dans la table TCAM.

Vous pouvez effectuer l’une des procédures suivantes pour corriger le problème :

Pour supprimer le filtre et sa liaison et appliquer le nouveau filtre de pare-feu plus petit à la même liaison :

  1. Supprimez le filtre et sa liaison aux ports, VLAN ou interfaces de couche 3. Par exemple :

  2. Validez les modifications :

  3. Configurez un filtre plus petit avec moins de termes qui ne dépassent pas la quantité d’espace TCAM disponible. Par exemple :

  4. Appliquez (lier) le nouveau filtre de pare-feu à un port, un VLAN ou une interface de couche 3. Par exemple :

  5. Validez les modifications :

Pour appliquer un nouveau filtre de pare-feu et remplacer la liaison existante, mais pas pour supprimer le filtre d’origine :

  1. Configurez un filtre de pare-feu avec moins de termes que le filtre d’origine :

  2. Appliquez le filtre de pare-feu au port, au VLAN ou aux interfaces de couche 3 pour remplacer la liaison du filtre d’origine, par exemple :

    Étant donné que vous ne pouvez pas appliquer plus d’un filtre de pare-feu par VLAN par direction, la liaison du filtre de pare-feu d’origine au VLAN est remplacée par le nouveau filtre new-ingress-vlan-rogue-blockde pare-feu .

  3. Validez les modifications :

Remarque :

Le filtre d’origine n’est pas supprimé et reste disponible dans la configuration.

Nombre de filtres précédemment perdus de paquets

Problème

Description

Si vous configurez au moins deux filtres dans la même direction pour une interface physique et que l’un des filtres inclut un compteur, ce compteur sera incorrect si les circonstances suivantes s’appliquent :

  • Vous configurez le filtre qui est appliqué aux paquets avant de rejeter certains paquets. Imaginez par exemple que vous disposez d’un filtre VLAN qui accepte les paquets envoyés à des adresses 10.10.1.0/24 et rejette implicitement les paquets envoyés à d’autres adresses. Vous appliquez le admin filtre au VLAN dans la direction de sortie, et l’interface xe-0/0/1 est membre de ce VLAN.

  • Vous configurez un filtre ultérieur pour accepter et compter les paquets qui sont supprimés par le premier filtre. Dans cet exemple, vous disposez d’un filtre de port qui accepte et compte les paquets envoyés à des adresses 192.168.1.0/24 qui est également appliqué à xe-0/0/1 dans la direction de sortie.

Le filtre VLAN sortant est appliqué en premier et rejette correctement les paquets envoyés aux adresses 192.168.1.0/24. Le filtre de port sortant est ensuite appliqué et compte les paquets jetés en tant que paquets correspondant. Les paquets ne sont pas transféré, mais le compteur affiché par le filtre de port de sortie est incorrect.

N’oubliez pas que l’ordre dans lequel les filtres sont appliqués dépend de la direction dans laquelle ils sont appliqués, comme indiqué ici :

Filtres d’entrant :

  1. Filtre de port (couche 2)

  2. Filtre VLAN

  3. Filtre de routeur (couche 3)

Filtres de sortie :

  1. Filtre de routeur (couche 3)

  2. Filtre VLAN

  3. Filtre de port (couche 2)

Solution

C’est un comportement attendu.

Paquets équivalents non comptés

Problème

Description

Si vous configurez deux filtres de sortie avec des compteurs pour une interface physique et qu’un paquet correspond aux deux filtres, un seul des compteurs inclut ce paquet.

Par exemple :

  • Vous configurez un filtre de port sortant avec un compteur pour l’interface xe-0/0/1.

  • Vous configurez un filtre VLAN sortant avec un compteur pour le VLAN, et l’interface adminxe-0/0/1 est membre de ce VLAN.

  • Un paquet correspond aux deux filtres.

Dans ce cas, le paquet est compté par un seul des compteurs, même s’il correspondait aux deux filtres.

Solution

C’est un comportement attendu.

Réinitialisez le compteur lors de l’édition du filtre

Problème

Description

Si vous modifiez un terme de filtre de pare-feu, la valeur de tout compteur associé à un terme du même filtre est définie sur 0, y compris le compteur implicite pour tout mécanismes de contrôle auquel le filtre fait référence. Prenons les exemples suivants :

  • Supposons que votre filtre comporte term1, term2et , et term3chaque terme a un compteur qui a déjà compté les paquets correspondants. Si vous modifiez l’un des termes de quelque manière que ce soit, les compteurs de tous les termes sont réinitialisation à 0.

  • Supposons que votre filtre comporte term1 et term2. Supposez également qu’il comporte un modificateur d’action policer et que term2 le compteur implicite du mécanismes de contrôle a déjà compté 1 000 paquets correspondant. Si vous modifiez term1 ou term2 de quelque manière que ce soit, le compteur du mécanismes de contrôle auquel vous faites référence term2 est réinitialisé à 0.

Solution

C’est un comportement attendu.

Ne peut pas inclure les actions de priorité des pertes et de mécanismes de contrôle dans le même terme

Problème

Description

Vous ne pouvez pas inclure les deux actions suivantes dans le même terme de filtre de pare-feu dans un commutateur QFX Series :

  • loss-priority

  • policer

Si vous le faites, le message d’erreur suivant s’affiche lorsque vous tentez de valider la configuration : « ne peut pas prendre en charge l’action du mécanismes de contrôle si la priorité des pertes est configurée. »

Solution

C’est un comportement attendu.

Ne peut pas filtrer certains trafics provenant du commutateur QFX

Problème

Description

Sur un commutateur QFX Series, vous ne pouvez pas filtrer certains trafics avec un filtre de pare-feu appliqué dans la direction de sortie si le trafic provient du commutateur QFX. Cette limitation s’applique au trafic de contrôle pour les protocoles tels que ICMP (ping), STP, LACP, etc.

Solution

C’est un comportement attendu.

Condition de correspondance du filtre de pare-feu Ne fonctionne pas avec la tunnelisation Q-in-Q

Problème

Description

Si vous créez un filtre de pare-feu qui inclut une condition de dot1q-tag correspondance et dot1q-user-priority que vous appliquez le filtre en entrée à un port d’agrégation participant à un VLAN de service, la condition de correspondance ne fonctionne pas si le Q-in-Q EtherType n’est pas 0x8100. (Lorsque la tunnelisation Q-in-Q est activée, les interfaces d’agrégation sont supposées faire partie du réseau du fournisseur de services ou du centre de données et donc participer aux VLAN de service.)

Solution

C’est un comportement attendu. Pour définir l’EtherType Q-in-Q sur 0x8100, saisissez l’instruction set dot1q-tunneling ethertype 0x8100 au niveau de la [edit ethernet-switching-options] hiérarchie. Vous devez également configurer l’autre extrémité du lien pour utiliser le même EtherType.

Filtres de pare-feu sortants avec VLAN privés

Problème

Description

Si vous appliquez un filtre de pare-feu dans la direction de sortie à un VLAN principal, ce filtre s’applique également aux VLAN secondaires membres du VLAN principal lorsque le trafic repart avec la balise VLAN principale ou la balise VLAN isolée, comme indiqué ci-dessous :

  • Trafic transféré d’un port trunk VLAN secondaire vers un port promiscuous (trunk ou access)

  • Trafic transféré d’un port trunk VLAN secondaire qui transporte un VLAN isolé vers un port d’agrégation PVLAN.

  • Trafic transféré d’un port promiscuous (trunk ou access) vers un port DLAN secondaire

  • Trafic transféré à partir d’un port d’agrégation PVLAN. vers un port d’agrégation VLAN secondaire

  • Trafic transféré d’un port communautaire vers un port promiscuous (trunk ou access)

Si vous appliquez un filtre de pare-feu dans la direction de sortie à un VLAN principal, ce filtre ne s’applique pas au trafic sortant avec une balise VLAN communautaire, comme indiqué ci-dessous :

  • Trafic transféré d’un port d’agrégation communautaire vers un port d’agrégation PVLAN

  • Trafic transféré d’un port trunk VLAN secondaire qui transporte un VLAN communautaire vers un port d’agrégation PVLAN

  • Trafic transféré d’un port promiscuous (trunk ou access) vers un port d’agrégation communautaire

  • Trafic transféré à partir d’un port d’agrégation PVLAN. vers un port d’agrégation de la communauté

Si vous appliquez un filtre de pare-feu dans la direction de sortie à un VLAN communautaire, les comportements suivants s’appliquent :

  • Le filtre est appliqué au trafic transféré d’un port promiscuous (trunk ou access) vers un port d’agrégation communautaire (car le trafic sortant est transféré à l’aide de la balise VLAN de la communauté).

  • Le filtre est appliqué au trafic transféré d’un port communautaire vers un port d’agrégation PVLAN (car le trafic sortant est transféré avec la balise VLAN de la communauté).

  • Le filtre n’est pas appliqué au trafic transféré d’un port communautaire vers un port promiscuous (car le trafic sortant est avec la balise VLAN principale ou non marqué).

Solution

Ce sont des comportements attendus. Elles se produisent uniquement si vous appliquez un filtre de pare-feu à un VLAN privé dans la direction de sortie et que vous ne le faites pas si vous appliquez un filtre de pare-feu à un VLAN privé dans la direction d’entrée.

Filtrage sortant du trafic L2PT non pris en charge

Problème

Description

Le filtrage sortant du trafic L2PT n’est pas pris en charge sur le commutateur QFX3500. Autrement dit, si vous configurez L2PT pour tunnelner un protocole sur une interface, vous ne pouvez pas utiliser de filtre de pare-feu pour filtrer le trafic de ce protocole sur cette interface dans la direction de sortie. Si vous validez une configuration à cet effet, le filtre de pare-feu n’est pas appliqué au trafic tunnelisé L2PT.

Solution

C’est un comportement attendu.

Ne peut pas laisser tomber les paquets BGP dans certaines circonstances

Problème

Description

Les paquets BGP dont la valeur TTL (time-to-live) supérieure à 1 ne peuvent pas être jetés à l’aide d’un filtre de pare-feu appliqué à une interface de bouclage ou appliqué en entrée à une interface de couche 3. Les paquets BGP d’une valeur TTL de 1 ou 0 peuvent être jetés à l’aide d’un filtre de pare-feu appliqué à une interface de bouclage ou appliqués en entrée à une interface de couche 3.

Solution

C’est un comportement attendu.

Statistiques non valides pour le mécanismes de contrôle

Problème

Description

Si vous appliquez un mécanismes de contrôle bicolore à débit unique en plus de 128 termes dans un filtre de pare-feu, la sortie de la show firewall commande affiche les données incorrectes pour le mécanismes de contrôle.

Solution

C’est un comportement attendu.

Les mécanismes de contrôle peuvent limiter les filtres de sortie

Problème

Description

Sur certains commutateurs, le nombre de mécanismes de contrôle de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque mécanismes de contrôle comporte deux compteurs implicites qui tiennent deux entrées dans une TCAM à 1 024 entrées. Ces derniers sont utilisés pour les compteurs, y compris les compteurs configurés en tant que modificateurs d’action dans les termes de filtre de pare-feu. (Les mécanismes de contrôle consomment deux entrées, car une est utilisée pour les paquets verts et une pour les paquets nongreen, quel que soit le type de mécanismes de contrôle.) Si la TCAM devient complète, vous ne pouvez plus valider les filtres de pare-feu sortants ayant des conditions avec compteurs. Par exemple, si vous configurez et validez 512 policers de sortie (deux couleurs, trois couleurs ou une combinaison des deux types de mécanismes de contrôle), toutes les entrées de mémoire pour les compteurs sont utilisées. Si, plus tard dans votre fichier de configuration, vous insérez des filtres de pare-feu sortants supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est validée car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici d’autres exemples :

  • Supposons que vous configurez des filtres de sortie comprenant un total de 512 mécanismes de contrôle et aucun compteur. Plus tard dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 avec un modificateur de contre-action. Aucun des termes de ce filtre n’est engagé car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposons que vous configurez des filtres de sortie comprenant un total de 500 mécanismes de contrôle, de sorte que 1 000 entrées TCAM sont occupées. Plus tard dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :

    • Filtre A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont validées car il y a assez d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et comporte cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est engagé car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seules quatre sont disponibles.)

Solution

Vous pouvez empêcher ce problème en veillant à ce que les termes de filtre de pare-feu sortant avec contre-actions soient placés plus tôt dans votre fichier de configuration que les termes qui incluent des mécanismes de contrôle. Dans ce cas, Junos OS valide les policers même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Prenons l’exemple suivant :

  • Vous disposez de 1 024 termes de filtre de pare-feu sortant avec contre-actions.

  • Plus tard dans votre fichier de configuration, vous disposez d’un filtre de sortie avec 10 termes. Aucun des termes n’a de compteurs, mais l’un a un modificateur d’action de mécanismes de contrôle.

Vous pouvez valider le filtre avec 10 termes, même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du mécanismes de contrôle. Le policier est commis sans les compteurs.