Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Planification du nombre de filtres de pare-feu à créer

Nombre maximum de filtres de pare-feu pris en charge

Tableau 1 indique le nombre maximal de filtres de pare-feu que chaque commutateur prend en charge. Le nombre total de filtres est appliqué dans l’agrégation. Par exemple, sur les commutateurs QFX5200 et QFX5210, vous pouvez appliquer un total de 768 termes dans la direction d’entrée et de 1 024 termes dans la direction de sortie. Le nombre réel de filtres qu’un commutateur prend en charge dépend de la manière dont les filtres sont stockés dans la mémoire Adressage de contenu externe (TCAM).

Pour les commutateurs QFX5120-48Y et EX4650 exécutant Junos OS version 20.3R1 ou ultérieure, vous pouvez activer la [set chassis loopback-firewall-optimization commande pour augmenter la limite du système par défaut pour les termes de filtre de bouclage à 768 pour IPv6 et 1152 pour IPv4.

Tableau 1 : Nombre maximum de filtres de pare-feu pris en charge
Type de filtre QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

Pénétration

768

1536

1536

6144

768

8 192

Sortie

1024

1024

2048

1024 ou 2048

1024

512 (QFX5220)

8 192

Comment augmenter le nombre de filtres de pare-feu

Vous pouvez augmenter le nombre de filtres de pare-feu sur votre équipement de plusieurs manières :

  • (QFX5220) Pour créer plus de 512 filtres VLAN sortants, spécifiez le premier ID VLAN comme 6, le deuxième ID VLAN comme 7, le troisième ID VLAN comme 5, etc. Pour chaque VLAN que vous configurez, le nombre augmente de 1 et continue via l’ID VLAN 1029. Si vous souhaitez créer moins de 512 filtres VLAN sortants, mais que vous souhaitez que le nombre total de termes dans ces filtres soit supérieur à 512, assurez-vous de numéroner vos ID VLAN de la même manière. Sinon, le nombre total de conditions ou filtres autorisés sera inférieur à 1 024 et restera à 512.

  • À partir de Junos OS version 19.1R1, vous pouvez augmenter le nombre de filtres de pare-feu VLAN sortants sur le QFX5110 de 1024 à 2048 à l’aide de cette egress-to-ingress option. Vous incluez cette option dans l’instruction from au niveau de la [edit firewall] hiérarchie.

    À partir de Junos OS Evolved Version 19.4R2, vous pouvez configurer jusqu’à 2 000 filtres de pare-feu de sortie sur le QFX5220 en incluant l’option egress-scale sous l’instruction eracl-profile au niveau de la [edit system packet-forwarding-option firewall] hiérarchie. Cette fonctionnalité n’est prise en charge que dans la direction de sortie (trafic routage sortant de l’unité).

    Lors de la configuration de cette fonctionnalité, tenez compte de ce qui suit :

    • Vous ne pouvez pas appliquer de filtres avec les mêmes conditions de correspondance aux différents VLAN sortants ou interfaces de couche 3.

    • Vous ne pouvez pas appliquer l’évolutivité de sortie sur les interfaces GRE.

    • Si un paquet associe plusieurs filtres à différents qualificateurs et que vous appliquez sur différentes interfaces de sortie, cela peut entraîner un comportement imprévisible.

    • Vous pouvez uniquement configurer l’option egress-scale en mode global. La nouvelle configuration cli sera fournie en mode global. Une fois qu’un utilisateur configure le groupe ERACL en mode egress-scale (egress to ingress), il ne sera pas en mesure de configurer ERACL de la manière la plus ancienne, c’est-à-dire sans utiliser l’espace tcam IFP. En d’autres termes, l’ERACL en mode mixte ne sera pas pris en charge.

TCAM

La mémoire TCAM (Ternary Content Addressable Memory) pour les filtres de pare-feu est divisée en tranches pouvant accueillir 256 termes. Lorsque vous configurez un filtre de pare-feu, tous les termes d’une tranche de mémoire doivent être situés dans des filtres du même type et appliqués dans la même direction. Une tranche de mémoire est réservée dès que vous validez un filtre. Par exemple, si vous créez un filtre de port et l’appliquez dans la direction d’entrée, une tranche de mémoire est réservée qui ne stocke que les filtres de port d’entrée. Si vous créez et appliquez un seul filtre de port d’entrée et que ce filtre n’a qu’un seul terme, le reste de cette tranche n’est pas utilisé et n’est pas disponible pour les autres types de filtres.

Remarque :

Dans un environnement EVPN, les commutateurs QFX5200 Series prennent en charge jusqu’à 512 entrées TCAM.

Par exemple, imaginons que vous créez et appliquez des filtres de port d’entrée à 256 avec un terme chacun pour qu’une tranche de mémoire soit remplie. Il reste ainsi deux tranches de mémoire disponibles pour les filtres d’entrant. (Dans ce cas, le nombre maximum de termes d’entrant est de 768.) Si vous créez et appliquez ensuite un filtre de couche 3 entrant avec un terme, une autre tranche de mémoire est réservée aux filtres de couche 3 entrants. Comme auparavant, le reste de la tranche n’est pas utilisé et n’est pas disponible pour différents types de filtres. Désormais, une tranche de mémoire est disponible pour n’importe quel type de filtre d’entrant.

Supposons maintenant que vous créez et appliquez un filtre d’entrée VLAN. La dernière tranche de mémoire est réservée aux filtres d’entrée VLAN. L’allocation de mémoire pour les filtres d’entrée (une fois de plus en supposant un terme par filtre) est :

  • Tranche 1 : Rempli de 256 filtres de port d’entrée. Vous ne pouvez plus valider les filtres de port d’entrée.

  • Tranche 2 : Contient un filtre de couche 3 entrant avec un terme. Vous pouvez valider 255 termes supplémentaires dans les filtres de couche 3 entrants.

  • Tranche 3 : Contient un filtre VLAN entrant avec un terme. Vous pouvez valider 255 termes de plus dans les filtres VLAN entrants.

Voici un autre exemple. Supposons que vous créez 257 filtres de port d’entrée avec un terme par filtre, c’est-à-dire que vous créez un terme de plus qu’une seule tranche de mémoire peut accueillir. Lorsque vous appliquez les filtres et que vous validez la configuration, l’allocation de mémoire de filtre est :

  • Tranche 1 : Rempli de 256 filtres de port d’entrée. Vous ne pouvez plus appliquer de filtres de port d’entrée.

  • Tranche 2 : Contient un filtre de port d’entrée. Vous pouvez appliquer 255 termes de plus dans les filtres de port d’entrée.

  • Tranche 3 : Cette tranche n’est pas attribuée. Vous pouvez créer et appliquer 256 termes dans les filtres d’entrée de n’importe quel type (port, couche 3 ou VLAN), mais tous les filtres doivent être du même type.

Remarque :

Tous les exemples ci-dessus s’appliquent également aux filtres de sortie. La différence est que quatre tranches de mémoire sont utilisées, car les filtres de couche 3 IPv4 et IPv6 sont stockés dans des tranches distinctes. Les tranches de mémoire pour les filtres de sortie sont de la même taille que celles des filtres d’entrée, de sorte que le nombre maximum de filtres sera le même (1024).

Éviter de configurer trop de filtres

Si vous enfreignez l’une de ces restrictions et que vous validez une configuration non conforme, Junos OS rejette les filtres excessifs. Par exemple, si vous configurez 300 filtres de port d’entrée et 300 filtres de couche 3 entrants et que vous tentez de valider la configuration, Junos OS effectue les opérations suivantes (à nouveau en supposant un terme par filtre) :

  • Accepte les filtres de port d’entrée 300 (en les stockant dans deux tranches de mémoire).

  • Accepte les premiers filtres de couche 3 256 entrants qu’il traite (en les stockant dans la troisième tranche de mémoire).

  • Rejette les filtres de couche 3 44 entrants restants.

Remarque :

Assurez-vous de supprimer les filtres excessifs (par exemple, les 44 filtres de couche 3 entrants restants) de la configuration avant de redémarrer l’équipement. Si vous redémarrez un équipement dont la configuration n’est pas conforme, il est difficile de prévoir quels filtres ont été installés après le redémarrage. À l’aide de l’exemple ci-dessus, les filtres de couche 3 44 entrants qui ont été initialement rejetés peuvent être installés, et 44 des filtres de port initialement acceptés peuvent être rejetés.

Configuration des messages d’erreur TCAM

Si vous n’avez pas d’espace TCAM et que vous ne pouvez pas installer de filtre de pare-feu, vous pouvez configurer votre commutateur pour qu’il envoie des messages d’erreur de la manière suivante :

  • Saisissez set system syslog file filename pfe emergency pour envoyer des messages d’erreur à un fichier syslog.

  • Saisissez set system syslog console pfe emergency pour envoyer des messages d’erreur à la console.

  • Saisissez set system syslog user user-login pfe emergency pour envoyer des messages d’erreur à une session de terminal SSH.

Comment augmenter l’échelle des filtres de pare-feu à l’aide de profils

Lorsque vous configurez un filtre de pare-feu, l’instruction du terme dans la configuration du filtre de pare-feu fournit un ensemble complet de conditions de correspondance. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considérés comme correspondant. Vous pouvez définir une ou plusieurs conditions de correspondance en fonction de votre exigence. Lorsqu’un paquet correspond à un filtre, l’équipement prend l’action spécifiée dans le terme. L’évolutivité des filtres de pare-feu dépend généralement du nombre de conditions de correspondance utilisées.

Dans les scénarios de déploiement typiques, vous n’aurez besoin d’utiliser qu’un sous-ensemble de conditions de correspondance. Avec l’introduction des profils, vous pouvez utiliser l’un des profils de filtres de pare-feu disponibles avec des conditions de correspondance prédéfinies pour augmenter le nombre de filtres de pare-feu utilisés pour atteindre une évolutivité maximale.

Vous pouvez configurer des profils de filtres de pare-feu pour la commutation intégrée et basée sur Ethernet. Utilisez l’instruction de configuration des profils au niveau de la hiérarchie [modifier le pare-feu des options de transfert de paquets du système] pour configurer les profils de filtre de pare-feu.

Remarque :

Lorsque vous modifiez les profils de filtre de pare-feu, soit en sélectionnant un profil, soit en déplaçant d’un profil à un autre, le moteur de transfert de paquets est redémarré, ce qui perturbe le flux de trafic.

Le tableau suivant décrit les profils de filtre de pare-feu et les conditions de correspondance prédéfinies pour la commutation inet et Ethernet.

Tableau 2 : Profil et conditions de correspondance des filtres de pare-feu
Type de famille Profils de filtre de pare-feu Condition de correspondance (prédéfinie) Hiérarchie de configuration
inet (IPv4/IPv6) profile1

ip-source-address

ip-source-prefix-list

Protocole

en-tête suivant

port source

port de destination

premier fragment

is-fragment

code icmp

type icmp

établie par tcp

tcp-initial

tcp-flags

[edit system packet-forwarding-options firewall profiles inet profile1]
profile2

adresse ip source

ip6-source-address

ip-source-prefix-list

ip6-source-prefix-list

Protocole

en-tête suivant

port source

port de destination

premier fragment

is-fragment

code icmp

type icmp

établie par tcp

tcp-initial

tcp-flags

Dscp

Priorité

niveau trafic

Ttl

limite de saut

[edit system packet-forwarding-options firewall profiles inet profile2]
Commutation Ethernet profile1

adresse source-mac

adresse mac de destination

[edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
profil2

adresse source-mac

adresse mac de destination

type d’éther

adresse ip source

ip-source-prefix-list

protocole IP

port source

port de destination

en-tête suivant

[edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
Remarque :

Lorsque vous sélectionnez un profil de filtre de pare-feu, vous devez appliquer une condition de correspondance qui fait partie du sous-ensemble de condition de correspondance prédéfinie. Si vous appliquez une condition de correspondance qui ne fait pas partie du sous-ensemble de condition de correspondance prédéfinie du profil de filtre de pare-feu, une erreur de validation se produit. Par exemple, si vous sélectionnez profile1 le filtre d’inet et que vous appliquez la condition de correspondance comme ip-destination-address, qui ne fait pas partie de la condition de correspondance prédéfinie, une erreur apparaît lors de l’opération de validation indiquant que la ip-destination-address correspondance ne fait pas partie du profile1 filtre inet.

Vous pouvez utiliser la show pfe filter hw profile-info commande CLI pour afficher les détails des profils de filtre de pare-feu.

Pour atteindre l’échelle maximale des filtres de pare-feu, il est recommandé d’appliquer des filtres de niveau d’interface (couche 2 ou couche 3) et de répartir les filtres de la même manière entre les interfaces des différents pipelines de traitement de paquets. Chaque ensemble d’interfaces est mappé à un pipeline de traitement des paquets qui gère les paquets reçus sur ces interfaces. Dans ce cas, les filtres de pare-feu sont installés sur l’espace mémoire TCAM du pipeline de traitement des paquets mappé à l’interface respective.

Lorsqu’un paquet entre dans une interface, le filtre de pare-feu effectue des actions de filtrage sur le paquet dans le pipeline de traitement des paquets en fonction des conditions de correspondance avant de quitter une interface de sortie. Dans le cas de pipelines de traitement de paquets multiples, lorsque les paquets pénètrent un équipement via plusieurs interfaces, le filtre de pare-feu effectue des actions de filtrage sur les paquets passant par les pipelines de traitement de paquets respectifs. Le fait que les filtres de niveau d’interface sont distribués de la même manière entre les interfaces des différents pipelines de traitement des paquets offre une meilleure évolutivité

Vous pouvez utiliser la show pfe filter hw port-pipe-info commande CLI pour afficher les détails du pipeline de traitement des paquets auquel chaque interface physique est mappée. La sortie de cette commande CLI fournit également des informations sur les filtres de pare-feu installés sur un pipeline de traitement des paquets. Vous pouvez utiliser ces informations pour planifier et distribuer les filtres de pare-feu entre les pipelines afin d’atteindre une évolutivité maximale.

L’exemple de sortie suivant de la show pfe filter hw port-pipe-info commande CLI affiche les détails du pipeline de traitement des paquets auxquels chaque interface physique est mappée :

Comment les mécanismes de contrôle peuvent limiter les filtres de sortie

Sur certains commutateurs, le nombre de mécanismes de contrôle de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque mécanismes de contrôle comporte deux compteurs implicites qui tiennent deux entrées dans une TCAM à 1 024 entrées. Ces derniers sont utilisés pour les compteurs, y compris les compteurs configurés en tant que modificateurs d’action dans les termes de filtre de pare-feu. (Les mécanismes de contrôle consomment deux entrées, car une est utilisée pour les paquets verts et une pour les paquets nongreen, quel que soit le type de mécanismes de contrôle.) Si la TCAM devient complète, vous ne pouvez plus valider les filtres de pare-feu sortants ayant des conditions avec compteurs. Par exemple, si vous configurez et validez 512 policers de sortie (deux couleurs, trois couleurs ou une combinaison des deux types de mécanismes de contrôle), toutes les entrées de mémoire pour les compteurs sont utilisées. Si, plus tard dans votre fichier de configuration, vous insérez des filtres de pare-feu sortants supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est validée car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici d’autres exemples :

  • Supposons que vous configurez des filtres de sortie comprenant un total de 512 mécanismes de contrôle et aucun compteur. Plus tard dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 avec un modificateur de contre-action. Aucun des termes de ce filtre n’est engagé car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposons que vous configurez des filtres de sortie comprenant un total de 500 mécanismes de contrôle, de sorte que 1 000 entrées TCAM sont occupées. Plus tard dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :

    • Filtre A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont validées car il y a assez d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et comporte cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est engagé car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seules quatre sont disponibles.)

Vous pouvez empêcher ce problème de se produire en veillant à ce que les termes de filtre de pare-feu sortant avec contre-actions soient placés plus tôt dans votre fichier de configuration que les termes incluant des mécanismes de contrôle. Dans ce cas, Junos OS valide les policers même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Prenons l’exemple suivant :

  • Vous disposez de 1 024 termes de filtre de pare-feu sortant avec contre-actions.

  • Plus tard dans votre fichier de configuration, vous disposez d’un filtre de sortie avec 10 termes. Aucun des termes n’a de compteurs, mais l’un a un modificateur d’action de mécanismes de contrôle.

Vous pouvez valider le filtre avec 10 termes, même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du mécanismes de contrôle. Le policier est commis sans les compteurs.

Planification des mécanismes de contrôle spécifiques aux filtres

Vous pouvez configurer des mécanismes de contrôle pour qu’ils soient spécifiques aux filtres. Cela signifie que Junos OS ne crée qu’une seule instance de mécanismes de contrôle, peu importe le nombre de fois où le mécanismes de contrôle est référencé. Lorsque vous le faites, la limitation de débit est appliquée en agrégation. Ainsi, si vous configurez un mécanismes de contrôle pour écarter le trafic qui dépasse 1 Gbit/s et que vous indiquez que le mécanismes de contrôle est utilisé en trois termes différents, la bande passante totale autorisée par le filtre est de 1 Gbit/s. Toutefois, le comportement d’un dispositif de contrôle spécifique à un filtre est affecté par la manière dont les termes de filtre de pare-feu qui font référence au mécanismes de contrôle sont stockés dans la mémoire externe adressageable de contenu (TCAM). Si vous créez un mécanismes de contrôle spécifiques à chaque filtre et que vous le faites référence à plusieurs termes de filtre de pare-feu, le mécanismes de contrôle autorise davantage de trafic que prévu si les termes sont stockés dans différentes tranches TCAM. Par exemple, si vous configurez un mécanismes de contrôle pour écarter le trafic qui dépasse 1 Gbit/s et que vous faites référence à ce mécanismes de contrôle dans trois termes différents qui sont stockés dans trois tranches de mémoire distinctes, la bande passante totale autorisée par le filtre est de 3 Gbits/s, et non de 1 Gbit/s.

Pour éviter ce comportement inattendu, utilisez les informations sur les tranches TCAM ci-dessus pour organiser votre fichier de configuration afin que tous les termes de filtre de pare-feu faisant référence à un dispositif de contrôle spécifique à un filtre donné soient stockés dans la même tranche TCAM.

Planification du transfert basé sur des filtres

Vous pouvez utiliser des filtres de pare-feu ainsi que des instances de routage virtuel pour spécifier différents routes pour les paquets voyageant sur leurs réseaux. Pour configurer cette fonctionnalité, appelée transfert basé sur des filtres, vous spécifiez un filtre et des critères de correspondance, puis spécifiez l’instance de routage virtuelle à laquelle envoyer des paquets. Les filtres utilisés de cette façon consomment également de la mémoire dans une TCAM supplémentaire. Pour plus d’informations , consultez Understanding FIP Snooping, FBF et MVR Filter Scalability . La section FBF Filtre VFP TCAM Consommation dans cette rubrique traite spécifiquement du nombre de filtres pris en charge lors de l’utilisation du transfert basé sur des filtres.

Remarque :

Le transfert basé sur des filtres ne fonctionne pas avec les interfaces IPv6 sur certains commutateurs Juniper.

Tableau de l'historique des versions
Version
Description
19.4R2-EVO
À partir de Junos OS Evolved Version 19.4R2, vous pouvez configurer jusqu’à 2 000 filtres de pare-feu de sortie sur le QFX5220 en incluant l’option egress-scale sous l’instruction eracl-profile au niveau de la [edit system packet-forwarding-option firewall] hiérarchie.
19.1R1
À partir de Junos OS version 19.1R1, vous pouvez augmenter le nombre de filtres de pare-feu VLAN sortants sur le QFX5110 de 1024 à 2048 à l’aide de cette egress-to-ingress option.