Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Planification du nombre de filtres de pare-feu à créer

Comment augmenter le nombre de filtres de pare-feu

Vous pouvez augmenter le nombre de filtres de pare-feu sur votre appareil de plusieurs façons :

  • (QFX5220) Pour créer plus de 512 filtres VLAN de sortie, spécifiez le premier ID de VLAN sur 6, le deuxième ID de VLAN sur 7, le troisième ID de VLAN sur 8 et ainsi de suite. Pour chaque VLAN que vous configurez, le nombre augmente de 1 et se poursuit jusqu’à l’ID de VLAN 1029. Si vous souhaitez créer moins de 512 filtres VLAN de sortie, mais que vous souhaitez que le nombre total de termes dans ces filtres soit supérieur à 512, veillez à numéroter vos ID VLAN de la même manière. Dans le cas contraire, le nombre total de termes ou de filtres autorisés sera inférieur à 1024 et restera à 512.

  • À partir de Junos OS version 19.1R1, vous pouvez augmenter le nombre de filtres de pare-feu VLAN de sortie sur le QFX5110 de 1024 à 2048 à l’aide de l’option egress-to-ingress . Vous incluez cette option sous l’instruction from au niveau de la [edit firewall] hiérarchie.

    À partir de Junos OS version 19.4R2 d’Evolved, vous pouvez configurer jusqu’à 2000 filtres de pare-feu de sortie sur le QFX5220 en incluant l’option sous l’instruction egress-scale eracl-profile au niveau de la [edit system packet-forwarding-option firewall] hiérarchie. Cette fonctionnalité est prise en charge uniquement dans le sens sortant (trafic acheminé sortant de l’appareil).

    Tenez compte de ce qui suit lors de la configuration de cette fonctionnalité :

    • Vous ne pouvez pas appliquer des filtres avec les mêmes conditions de correspondance à différents VLAN de sortie ou interfaces de couche 3.

    • Vous ne pouvez pas appliquer la mise à l’échelle de sortie sur les interfaces GRE.

    • Si un paquet fait correspondre plusieurs filtres avec différents qualificateurs et que vous l’appliquez sur différentes interfaces de sortie, cela peut entraîner un comportement imprévisible.

    • Vous ne pouvez configurer l’option qu’en egress-scale mode global. La nouvelle configuration de l’interface de ligne de commande sera fournie en mode global. Une fois qu’un utilisateur configure le groupe ERACL en mode egress-scale (sortie vers entrée), il ne pourra plus configurer ERACL de l’ancienne manière, c’est-à-dire sans utiliser l’espace tcam IFP. En d’autres termes, ERACL en mode mixte ne sera pas pris en charge.

TCAM (en anglais)

La mémoire ternaire adressable de contenu (TCAM) des filtres de pare-feu est divisée en tranches acceptant 256 termes. Lorsque vous configurez un filtre de pare-feu, tous les termes d’une tranche de mémoire doivent être dans des filtres du même type et appliqués dans la même direction. Une tranche de mémoire est réservée dès que vous validez un filtre. Par exemple, si vous créez un filtre de port et que vous l’appliquez dans le sens d’entrée, une tranche de mémoire est réservée qui stocke uniquement les filtres de port d’entrée. Si vous créez et appliquez un seul filtre de port d’entrée et que ce filtre n’a qu’un seul terme, le reste de cette tranche est inutilisé et n’est pas disponible pour les autres types de filtres.

REMARQUE :

Dans un environnement EVPN, les commutateurs QFX5200 Series prennent en charge jusqu’à 512 entrées TCAM.

Par exemple, supposons que vous créiez et appliquiez 256 filtres de ports entrants avec un terme chacun afin qu’une tranche de mémoire soit remplie. Cela laisse deux tranches de mémoire supplémentaires disponibles pour les filtres d’entrée. (Dans ce cas, le nombre maximal de termes d’entrée est de 768.) Si vous créez et appliquez ensuite un filtre de couche 3 d’entrée avec un terme, une autre tranche de mémoire est réservée aux filtres de couche 3 d’entrée. Comme précédemment, le reste de la tranche est inutilisé et n’est pas disponible pour différents types de filtres. Une tranche de mémoire est désormais disponible pour tout type de filtre d’entrée.

Supposons maintenant que vous créiez et appliquiez un filtre d’entrée VLAN. La tranche de mémoire finale est réservée aux filtres d’entrée VLAN. L’allocation de mémoire pour les filtres d’entrée (encore une fois en supposant un terme par filtre) est la suivante :

  • Tranche 1 : Rempli de 256 filtres de port d’entrée. Vous ne pouvez plus valider de filtres de ports entrants.

  • Tranche 2 : Contient un filtre de couche 3 d’entrée avec un terme. Vous pouvez valider 255 termes supplémentaires dans les filtres de couche 3 d’entrée.

  • Tranche 3 : Contient un filtre VLAN d’entrée avec un terme. Vous pouvez valider 255 termes supplémentaires dans les filtres VLAN entrants.

Voici un autre exemple. Supposons que vous créiez 257 filtres de ports d’entrée avec un terme par filtre, c’est-à-dire que vous créez un terme de plus qu’une seule tranche de mémoire ne peut en accueillir. Lorsque vous appliquez les filtres et validez la configuration, l’allocation de mémoire du filtre est la suivante :

  • Tranche 1 : Rempli de 256 filtres de port d’entrée. Vous ne pouvez plus appliquer de filtres de port d’entrée.

  • Tranche 2 : Contient un filtre de port d’entrée. Vous pouvez appliquer 255 termes supplémentaires dans les filtres de ports entrants.

  • Tranche 3 : Cette tranche n’est pas affectée. Vous pouvez créer et appliquer 256 termes dans des filtres d’entrée de n’importe quel type (port, couche 3 ou VLAN), mais tous les filtres doivent être du même type.

REMARQUE :

Tous les exemples ci-dessus s’appliquent également aux filtres de sortie. La différence réside dans l’utilisation de quatre tranches de mémoire, car les filtres IPv4 et IPv6 de couche 3 sont stockés dans des tranches distinctes. Les tranches de mémoire des filtres de sortie sont de la même taille que celles des filtres d’entrée, de sorte que le nombre maximal de filtres sera le même (1024).

Évitez de configurer trop de filtres

Si vous enfreignez l’une de ces restrictions et validez une configuration non conforme, Junos OS rejette les filtres excessifs. Par exemple, si vous configurez 300 filtres de ports entrants et 300 filtres de couche 3 entrants et que vous essayez de valider la configuration, Junos OS effectue les opérations suivantes (en supposant à nouveau un terme par filtre) :

  • Accepte les 300 filtres de ports entrants (en les stockant dans deux tranches de mémoire).

  • Accepte les 256 premiers filtres de couche 3 d’entrée qu’il traite (en les stockant dans la troisième tranche de mémoire).

  • Rejette les 44 filtres de couche 3 d’entrée restants.

REMARQUE :

Assurez-vous de supprimer les filtres excessifs (par exemple, les 44 filtres de couche 3 entrants restants) de la configuration avant de redémarrer l’appareil. Si vous redémarrez un appareil dont la configuration n’est pas conforme, il est difficile de prédire quels filtres ont été installés après le redémarrage. Dans l’exemple ci-dessus, les 44 filtres de couche 3 d’entrée qui ont été rejetés à l’origine peuvent être installés, et 44 des filtres de port qui ont été acceptés à l’origine peuvent être rejetés.

Configuration des messages d’erreur TCAM

Si vous manquez d’espace TCAM et que vous ne parvenez pas à installer un filtre de pare-feu, vous pouvez configurer votre commutateur pour qu’il envoie des messages d’erreur de l’une des manières suivantes :

  • Entrée set system syslog file filename pfe emergency pour envoyer des messages d’erreur à un fichier syslog.

  • Entrée set system syslog console pfe emergency pour envoyer des messages d’erreur à la console.

  • Entrée set system syslog user user-login pfe emergency pour envoyer des messages d’erreur à une session de terminal SSH.

Comment augmenter l’échelle des filtres de pare-feu à l’aide de profils

Lorsque vous configurez un filtre de pare-feu, l’instruction term dans la configuration du filtre de pare-feu fournit un ensemble complet de conditions de correspondance. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considéré comme une correspondance. Vous pouvez définir une ou plusieurs conditions de correspondance en fonction de vos besoins. Lorsqu’un paquet correspond à un filtre, l’équipement effectue l’action spécifiée dans le terme. L’évolutivité des filtres de pare-feu dépend généralement du nombre de conditions de correspondance utilisées.

Dans des scénarios de déploiement typiques, vous n’aurez besoin d’utiliser qu’un sous-ensemble de conditions de correspondance. Avec l’introduction de profils, vous pouvez utiliser l’un des profils de filtre de pare-feu disponibles avec des conditions de correspondance prédéfinies pour augmenter le nombre de filtres de pare-feu utilisés afin d’obtenir une échelle maximale.

Vous pouvez configurer des profils de filtres de pare-feu pour la commutation familiale Inet et Ethernet. Utilisez l’instruction de configuration des profils au niveau de la hiérarchie [edit system packet-forwarding-options firewall] pour configurer les profils de filtre de pare-feu.

REMARQUE :

Lorsque vous modifiez les profils de filtre de pare-feu, soit en sélectionnant un profil, soit en passant d’un profil à un autre, le moteur de transfert de paquets est redémarré, ce qui perturbe le flux de trafic.

Le tableau suivant décrit les profils de filtre de pare-feu et les conditions de correspondance prédéfinies pour la commutation inet et Ethernet.

Tableau 1 : Profil de filtre de pare-feu et conditions de correspondance
Type de famille Profils de filtre de pare-feu Condition de correspondance (prédéfinie) Hiérarchie de configuration
inet (IPv4/IPv6) profile1

ip-source-address

liste_de_préfixes-source-ip

Protocole

en-tête suivant

port_source

port_destination

premier-fragment

is-fragment

code icmp

de type icmp

Établi par TCP

tcp-initial

tcp-flags

 [edit system packet-forwarding-options firewall profiles inet profile1]
profile2

adresse_source ip

adresse_source ip6

liste_de_préfixes-source-ip

liste_de_préfixes-sources ip6

Protocole

en-tête suivant

port_source

port_destination

premier-fragment

is-fragment

code icmp

de type icmp

Établi par TCP

tcp-initial

tcp-flags

Dscp

Priorité

de classe trafic

Ttl

limite de saut

 [edit system packet-forwarding-options firewall profiles inet profile2]
Commutation Ethernet profile1

adresse_mac source

adresse_mac de destination

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
profil2

adresse_mac source

adresse_mac de destination

de type éther

adresse_source ip

liste_de_préfixes-source-ip

protocole IP

port_source

port_destination

en-tête suivant

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
REMARQUE :

Lorsque vous sélectionnez un profil de filtre de pare-feu, vous devez appliquer une condition de correspondance qui fait partie du sous-ensemble de conditions de correspondance prédéfinies. Si vous appliquez une condition de correspondance qui ne fait pas partie du sous-ensemble de condition de correspondance prédéfinie du profil de filtre de pare-feu, une erreur de validation se produit. Par exemple, si vous sélectionnez profile1 le filtre inet et que vous appliquez la condition de correspondance en tant que ip-destination-address, qui ne fait pas partie de la condition de correspondance prédéfinie, une erreur s’affiche lors de l’opération de validation indiquant que la ip-destination-address correspondance ne fait pas partie du filtre inet de profile1 for.

Vous pouvez utiliser la show pfe filter hw profile-info commande CLI pour afficher les détails des profils de filtre de pare-feu.

REMARQUE :

Le module de pare-feu prend en charge deux profils différents (profil un et profil deux) uniquement sur les plates-formes ACX EVO. Par défaut, pfe proposera le profil deux et les utilisateurs recevront une option CLI pour leur permettre de passer à l’autre profil. Une fois le profil activé via l’interface de ligne de commande, pfe sera redémarré.

Filtre IFF IPV6 : Profile-one prend en charge sip6 jusqu’à 128 bits. Profile-two prend en charge sip6 jusqu’à 64 bits.

Filtre IPv6 lo0 : Profile-one prend en charge dip6 jusqu’à 128 bits. Profile-two prend en charge dip6 jusqu’à 64 bits.

Les filtres IPv6-Bgp-flow-spec et les filtres IPv6-FTF ne seront pris en charge que dans le profil deux.

Catégorie Caractéristiques du PMF Profil deux Profil Un

Famille N’importe quel

Filtre IFL IPv6

Oui

Oui
 

Filtre IFL IPv6 - Action de journal/syslog/rejet

Non

Non

Filtre de famille

Filtre IFF IPv6

Oui

Oui
 

Filtre IFF IPv6 - Correspondance SIP6=128 bits

Non

Oui
 

Filtre IFF IPv6 - Correspondances L4

Oui

Oui
 

Filtre IFF IPv6 - Action de journalisation/syslog/rejet

Oui

Oui

Filtre Lo0

Filtre IPv6 Lo0 - Assistance matérielle

Oui

Oui
 

Filtre IPv6 Lo0 - Fixation VRF

Oui

Non
 

Filtre IPv6 Lo0 - Prise en charge logicielle

Oui

Oui
 

Correspondance DIP6 128 bits

Non

Oui

Pour obtenir une échelle de filtre de pare-feu maximale, il est recommandé d’appliquer des filtres au niveau de l’interface (couche 2 ou couche 3) et de les répartir uniformément sur les interfaces des différents pipelines de traitement des paquets. Chaque ensemble d’interfaces est mappé à un pipeline de traitement des paquets qui gère les paquets reçus sur ces interfaces. Dans ce cas, les filtres de pare-feu sont installés sur l’espace mémoire TCAM du pipeline de traitement des paquets mappé à l’interface correspondante.

Lorsqu’un paquet entre dans une interface, le filtre de pare-feu effectue des actions de filtrage sur le paquet dans le pipeline de traitement des paquets en fonction des conditions de correspondance avant de quitter une interface de sortie. Dans le cas de plusieurs pipelines de traitement de paquets, lorsque les paquets pénètrent dans un périphérique par le biais de plusieurs interfaces, le filtre de pare-feu effectue des actions de filtrage sur les paquets passant par les pipelines de traitement des paquets respectifs. La répartition égale des filtres au niveau de l’interface entre les interfaces des différents pipelines de traitement des paquets permet une meilleure évolutivité

Vous pouvez utiliser la show pfe filter hw port-pipe-info commande CLI pour afficher les détails du pipeline de traitement des paquets auquel chaque interface physique est mappée. La sortie de cette commande CLI fournit également des informations sur les filtres de pare-feu installés sur un pipeline de traitement de paquets. Vous pouvez utiliser ces informations pour planifier et distribuer des filtres de pare-feu sur les pipelines afin d’obtenir une évolutivité maximale.

L’exemple de sortie suivant de la show pfe filter hw port-pipe-info commande CLI montre les détails du pipeline de traitement des paquets auquel chaque interface physique est mappée :

Comment les mécanismes de contrôle peuvent limiter les filtres de sortie

Sur certains commutateurs, le nombre de mécanismes de contrôle de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque agent de contrôle dispose de deux marqueurs implicites qui occupent deux entrées dans un TCAM à 1024 entrées. Ceux-ci sont utilisés pour les compteurs, y compris les compteurs qui sont configurés en tant que modificateurs d’action dans les termes de filtre de pare-feu. (Les mécanismes de contrôle utilisent deux entrées, car l’une est utilisée pour les paquets verts et l’autre pour les paquets non verts, quel que soit le type de mécanisme de contrôle.) Si le TCAM est saturé, vous ne pouvez plus valider les filtres de pare-feu de sortie qui ont des conditions avec des compteurs. Par exemple, si vous configurez et validez 512 mécanismes de contrôle de sortie (bicolores, tricolores ou une combinaison des deux types de mécanismes de contrôle), toutes les entrées de mémoire des compteurs sont utilisées. Si, plus loin dans votre fichier de configuration, vous insérez des filtres de pare-feu de sortie supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est validé, car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici d’autres exemples :

  • Supposons que vous configuriez des filtres de sortie qui incluent un total de 512 mécanismes de contrôle et aucun compteur. Plus loin dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 a un modificateur de contre-action. Aucun des termes de ce filtre n’est validé, car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposons que vous configuriez des filtres de sortie qui incluent un total de 500 mécanismes de contrôle, de sorte que 1000 entrées TCAM sont occupées. Plus loin dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :

    • Filtre A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont validés, car il y a suffisamment d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et possède cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est validé car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seulement quatre sont disponibles.)

Vous pouvez éviter que ce problème ne se produise en veillant à ce que les termes de filtre du pare-feu de sortie avec des contre-actions soient placés plus tôt dans votre fichier de configuration que les termes qui incluent des mécanismes de contrôle. Dans ce cas, Junos OS valide les mécanismes de contrôle même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Par exemple, supposons ce qui suit :

  • Vous disposez de 1024 termes de filtre de pare-feu de sortie avec des contre-actions.

  • Plus loin dans votre fichier de configuration, vous avez un filtre de sortie avec 10 termes. Aucun des termes n’a de compteur, mais l’un d’entre eux a un modificateur d’action de contrôleur.

Vous pouvez valider le filtre avec 10 termes même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du contrôleur. Le policier s’engage sans les compteurs.

Planification des mécanismes de contrôle spécifiques aux filtres

Vous pouvez configurer les mécanismes de contrôle pour qu’ils soient spécifiques aux filtres. Cela signifie que Junos OS ne crée qu’une seule instance de contrôleur, quel que soit le nombre de fois que le mécanisme de contrôle est référencé. Dans ce cas, la limitation de débit est appliquée de manière agrégée. Par conséquent, si vous configurez un mécanisme de contrôle pour qu’il ignore le trafic qui dépasse 1 Gbit/s et que vous le référencez en trois termes différents, la bande passante totale autorisée par le filtre est de 1 Gbit/s. Toutefois, le comportement d’un mécanisme de contrôle spécifique au filtre est affecté par la façon dont les termes de filtre de pare-feu qui font référence au mécanisme de contrôle sont stockés dans la mémoire ternaire de contenu adressable (TCAM). Si vous créez un mécanisme de contrôle spécifique à un filtre et que vous le référencez dans plusieurs termes de filtre de pare-feu, le mécanisme de contrôle autorise plus de trafic que prévu si les termes sont stockés dans des tranches TCAM différentes. Par exemple, si vous configurez un mécanisme de contrôle pour qu’il ignore le trafic qui dépasse 1 Gbit/s et que vous lui faites référence en trois termes différents stockés dans trois tranches de mémoire distinctes, la bande passante totale autorisée par le filtre est de 3 Gbits/s et non de 1 Gbit/s.

Pour éviter que ce comportement inattendu ne se produise, utilisez les informations sur les tranches TCAM ci-dessus pour organiser votre fichier de configuration de sorte que tous les termes de filtre de pare-feu qui font référence à un mécanisme de contrôle spécifique à un filtre donné soient stockés dans la même tranche TCAM.

Planification du transfert basé sur les filtres

Vous pouvez utiliser des filtres de pare-feu avec des instances de routage virtuel pour spécifier différents itinéraires de transit des paquets dans leurs réseaux. Pour configurer cette fonctionnalité appelée transfert basé sur les filtres, spécifiez un critère de filtre et de correspondance, puis spécifiez l’instance de routage virtuelle à laquelle envoyer les paquets. Les filtres utilisés de cette manière consomment également de la mémoire dans un TCAM supplémentaire. Pour plus d’informations, reportez-vous à la section Comprendre l’évolutivité des filtres FIP Snooping, FBF et MVR . La section Consommation TCAM VFP du filtre FBF de cette rubrique traite spécifiquement du nombre de filtres pris en charge lors de l’utilisation du transfert basé sur les filtres.

REMARQUE :

Le transfert basé sur les filtres ne fonctionne pas avec les interfaces IPv6 de certains commutateurs Juniper.

Rubriques connexes

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
19.4R2-EVO
À partir de Junos OS version 19.4R2 d’Evolved, vous pouvez configurer jusqu’à 2000 filtres de pare-feu de sortie sur le QFX5220 en incluant l’option sous l’instruction egress-scale eracl-profile au niveau de la [edit system packet-forwarding-option firewall] hiérarchie.
19.1R1
À partir de Junos OS version 19.1R1, vous pouvez augmenter le nombre de filtres de pare-feu VLAN de sortie sur le QFX5110 de 1024 à 2048 à l’aide de l’option egress-to-ingress .