Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Planification du nombre de filtres de pare-feu à créer

Nombre maximum de filtres de pare-feu pris en charge

Tableau 1 affiche le nombre maximal de filtres de pare-feu que chaque commutateur prend en charge. Le nombre total de filtres est appliqué dans l’agrégation. Par exemple, sur les commutateurs QFX5200 et QFX5210, vous pouvez appliquer un total de 768 termes dans la direction d’entrée et de 1 024 termes dans la direction de sortie. Le nombre réel de filtres qu’un commutateur prend en charge dépend de la façon dont les filtres sont stockés dans la mémoire TCAM (ternary content addressable memory).

Pour les commutateurs QFX5120-48Y et EX4650 exécutant Junos OS Release 20.3R1 ou une version ultérieure, la commande permet de faire passer la limite du système par défaut de [set chassis loopback-firewall-optimization 768 pour IPv6 et de 1 152 conditions pour IPv4.

Pour voir le nombre de filtres déjà programmés sur le commutateur, saisissez la show pfe filter hw summary commande. Sur QFX5220, utilisez le mode shell pour voir le nombre de filtres. Pour entrer en mode shell, saisissez la commande et saisissez l’invite d’accès au start shellcli-pfe PFE CLI mode.

Tableau 1 : Nombre maximum de filtres de pare-feu pris en charge
Type de filtre QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

Pénétration

768

1536

1536

6144

768

8 192

Sortie

1024

1024

2048

1024 ou 2048

1024

512 (QFX5220)

8 192

Comment augmenter le nombre de filtres de pare-feu

Vous pouvez augmenter le nombre de filtres de pare-feu de plusieurs façons sur votre équipement:

  • (QFX5220) Pour créer plus de 512 filtres VLAN de sortie, spécifiez le premier ID VLAN comme 6, le deuxième ID VLAN comme 7, le troisième ID VLAN en tant que 5 et ainsi de suite. Pour chaque VLAN que vous configurez, ce nombre augmente de 1 et se poursuit via l’ID VLAN 1029. Si vous souhaitez créer moins de 512 filtres VLAN de sortie, mais que le nombre total de termes de ces filtres est supérieur à 512, assurez-vous que vous numérotez vos ID VLAN de la même manière. Dans le cas contraire, le nombre total de conditions ou filtres autorisés sera inférieur à 1024 et restera à 512.

  • À partir de Junos OS Version 19.1R1, vous pouvez augmenter le nombre de filtres de pare-feu VLAN de sortie sur la QFX5110 de 1024 à 2048 en utilisant egress-to-ingress l’option. Cette option est inclus dans from l’instruction de [edit firewall] la hiérarchie.

    À partir de Junos OS Evolved Release 19.4R2, vous pouvez configurer jusqu’à 2 000 filtres de pare-feu de sortie sur la QFX5220 en incluant l’option sous l’instruction au niveau de la egress-scaleeracl-profile[edit system packet-forwarding-option firewall] hiérarchie. Cette fonctionnalité n’est prise en charge que dans la direction du trafic sortant (sortie de l’équipement).

    Prenons comme suit lors de la configuration de cette fonctionnalité:

    • Vous ne pouvez pas appliquer des filtres avec les mêmes conditions de correspondance aux différentes interfaces VLAN de sortie ou de couche 3.

    • Vous ne pouvez pas appliquer l’évolutation de sortie sur les interfaces GRE.

    • Si un paquet correspond à plusieurs filtres selon différents niveaux de qualification et que vous appliquez ces dernières sur différentes interfaces de sortie, cela peut entraîner un comportement imprévisible.

    • Vous pouvez uniquement configurer egress-scale l’option en mode global. La nouvelle configuration de l’cli sera fournie en mode global. Lorsqu’un utilisateur configure le groupe ERACL en mode d’exégèse (sortie vers entrée), il ne peut plus configurer ERACL à l’ancienne, c’est-à-dire sans utiliser l’espace tcam IFP. En d’autres termes, l’ERACL en mode mixte ne sera pas pris en charge.

TCAM (TCAM)

La mémoire TCAM (Ternary Content Addressable Memory) pour filtres de pare-feu est divisée en tranches de 256 termes. Lorsque vous configurez un filtre de pare-feu, toutes les modalités d’une tranche de mémoire doivent être dans des filtres du même type et appliquées dans la même direction. Une tranche de mémoire est réservée dès que vous commitez un filtre. Par exemple, si vous créez un filtre de port et l’appliquez dans la direction d’entrée, une tranche de mémoire est réservée pour ne stocker que les filtres de ports d’entrée. Si vous créez et appliquez un seul filtre de port d’entrée et que ce filtre ne dispose que d’un seul terme, le reste de cette tranche n’est pas utilisé et n’est pas disponible pour les autres types de filtres.

Remarque :

Dans un environnement EVPN, les commutateurs QFX5200 Series peuvent prendre en charge jusqu’à 512 entrées TCAM.

Imaginons par exemple que vous créez et appliquez 256 filtres de ports d’entrée avec un terme chacun pour qu’une tranche de mémoire soit remplie. Cela laisse deux tranches de mémoire supplémentaires disponibles pour les filtres d’entrée. (Dans ce cas, le nombre maximal de termes d’entrée est 768.) Si vous créez et appliquez ensuite un filtre de couche 3 d’entrée avec un terme, une autre tranche de mémoire est réservée aux filtres d’entrée de couche 3. Comme auparavant, le reste de la tranche est inutilisé et indisponible pour différents types de filtres. Une seule tranche de mémoire est désormais disponible pour tous les types de filtres d’entrée.

Supposez maintenant que vous créez et appliquez un filtre d’entrée VLAN. La dernière tranche de mémoire est réservée aux filtres d’entrée VLAN. L’allocation de mémoire aux filtres d’entrée (une fois de plus, en supposant un terme par filtre) est:

  • Tranche 1: Rempli de 256 filtres de ports d’entrée. Vous ne pouvez plus valider de filtres de port d’entrée.

  • Tranche 2: Contient un filtre de couche 3 d’entrée avec un terme. Vous pouvez valider 255 conditions supplémentaires dans les filtres d’entrée de couche 3.

  • Tranche 3: Contient un filtre VLAN d’entrée avec un terme. Vous pouvez valider 255 conditions supplémentaires dans les filtres VLAN d’entrée.

Voici un autre exemple. Supposez que vous créez 257 filtres de ports d’entrée avec un terme par filtre, vous créez un terme de plus qu’une seule tranche de mémoire. Lorsque vous appliquez les filtres et que vous commitez la configuration, l’allocation de la mémoire de filtre est:

  • Tranche 1: Rempli de 256 filtres de ports d’entrée. Vous ne pouvez plus appliquer de filtres de ports d’entrée.

  • Tranche 2: Contient un filtre de port d’entrée. Vous pouvez appliquer 255 conditions supplémentaires dans les filtres de ports d’entrée.

  • Tranche 3: Cette tranche n’est pas signée. Vous pouvez créer et appliquer des filtres d’entrée de 256 termes de n’importe quel type (port, couche 3 ou VLAN), mais tous les filtres doivent être du même type.

Remarque :

Tous les exemples ci-dessus s’appliquent également aux filtres de sortie. La différence est que quatre tranches de mémoire sont utilisées parce que les filtres de couche 3 IPv4 et IPv6 sont stockés en tranches séparées. Les tranches de mémoire pour filtres de sortie ont la même taille que celles des filtres d’entrée; le nombre maximum de filtres sera donc le même (1024).

Éviter de configurer trop de filtres

Si vous enfreignez l’une ou l’autre de ces restrictions et que vous commettez une configuration non conforme, vous Junos OS les filtres excessifs. Par exemple, si vous configurez 300 filtres de ports d’entrée et 300 filtres d’entrée de couche 3 et si vous tentez de valider la configuration, Junos OS fait le processus suivant (toujours en supposant un terme par filtre):

  • Accepte les filtres de 300 ports d’entrée (les stockant dans deux tranches de mémoire).

  • Accepte les 256 premiers filtres de couche 3 à l’entrée qu’il traite (les stockant dans la troisième tranche de mémoire).

  • Rejette les 44 filtres restants de couche 3 à l’entrée.

Remarque :

Assurez-vous de supprimer les filtres excessifs (par exemple, les 44 filtres d’entrée de couche 3 restants) de la configuration avant de redémarrer l’équipement. Si vous redémarrez un équipement dont la configuration n’est pas conforme, il est difficile de prévoir les filtres installés après le redémarrage. À l’aide de l’exemple ci-dessus, les filtres de couche 3 à 44 entrées qui ont été initialement rejetés peuvent être installés, et 44 des filtres de port qui étaient initialement acceptés peuvent être rejetés.

Configuration des messages d’erreur TCAM

Si vous manquez d’espace TCAM et ne parvenez pas à installer un filtre de pare-feu, vous pouvez configurer votre commutateur pour envoyer des messages d’erreur des façons suivantes:

  • Saisissez set system syslog file filename pfe emergency pour envoyer des messages d’erreur à un fichier syslog.

  • Saisissez set system syslog console pfe emergency pour envoyer des messages d’erreur à la console.

  • Saisissez set system syslog user user-login pfe emergency pour envoyer des messages d’erreur à une session de terminal SSH.

Comment les policers peuvent limiter les filtres de sortie

Sur certains commutateurs, le nombre de policers de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque policeur dispose de deux compteurs implicites qui prennent deux entrées dans une TCAM 1024 d’entrée. Ces éléments sont utilisés pour les compteurs, y compris les compteurs configurés en tant que modification de l’action dans les termes de filtre de pare-feu. (Les agents de police consomment deux entrées, car l’une est utilisée pour les paquets verts et l’autre pour les paquets nongreens, quel que soit le type de policer.) Si la TCAM devient complète, vous ne pouvez pas valider d’autres filtres de pare-feu de sortie qui ont des conditions avec des compteurs. Par exemple, si vous configurez et commit 512 policers de sortie (deux couleurs, trois couleurs ou une combinaison des deux types de policer), toutes les entrées mémoire des compteurs sont utilisées. Si, dans votre fichier de configuration, vous insérez des filtres de pare-feu de sortie supplémentaires avec des termes qui incluent également des compteurs, aucune des modalités de ces filtres n’est engagée car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici quelques exemples:

  • Supposez que vous configuriez des filtres de sortie qui incluent un total de 512 policers et aucun compteur. Plus tard dans votre fichier de configuration, vous inclut un autre filtre de sortie avec 10 termes, dont un avec un modifier la contre-action. Aucune des modalités de ce filtre n’est engagée car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposez que vous configuriez des filtres de sortie qui incluent un total de 500 policers, afin d’occuper 1 000 entrées TCAM. Plus tard dans votre fichier de configuration, vous inclut les deux filtres de sortie suivants:

    • Filtre A avec 20 termes et 20 compteurs. Toutes les conditions de ce filtre sont engagées car il y a assez d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et dispose de cinq termes et cinq compteurs. Aucune des modalités de ce filtre n’est engagée car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises mais seules quatre sont disponibles.)

Vous pouvez arrêter ce problème en vous assurant que les termes du filtre de pare-feu de sortie avec les contre-mesures sont placés plus tôt dans votre fichier de configuration que les termes qui incluent les policers. Dans ce cas, un Junos OS policers même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Par exemple, assumez les déclarations suivantes:

  • Vous avez des termes de filtre de pare-feu de sortie 1024 avec des contre-actions.

  • Plus tard dans votre fichier de configuration, vous avez un filtre de sortie avec 10 termes. Aucune des modalités n’a de compteurs, mais une seule a un modifier l’action du policer.

Vous pouvez valider le filtre en 10 conditions, même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du policer. Le policer s’engage sans les compteurs.

Planification de policers spécifiques aux filtres

Vous pouvez configurer les policers pour qu’ils soient spécifiques aux filtres. Cela signifie que l Junos OS ne crée qu’une seule instance de policer, peu importe le nombre de fois que le policer est mentionné. Lorsque vous faites cela, la limitation du débit est appliquée dans l’ensemble. Ainsi, si vous configurez un policer pour éliminer le trafic qui dépasse 1 Gbps et que vous faites référence à ce policer en trois termes différents, la bande passante totale autorisée par le filtre est de 1 Gbps. Toutefois, le comportement d’un policer spécifique aux filtres est influencé par la façon dont les termes de filtre de pare-feu qui font référence au policer sont stockés dans la mémoire TCAM (ternary content addressable memory). Si vous créez un policer spécifique à un filtre et que vous le référez en plusieurs termes de filtre de pare-feu, le policer autorise plus de trafic que prévu si les termes sont stockés dans différentes tranches de TCAM. Par exemple, si vous configurez un policer pour écarter le trafic qui dépasse 1Gbit/s et que vous lui référez en trois termes différents, stockés dans trois tranches de mémoire distinctes, la bande passante totale autorisée par le filtre est de 3Gbits/s, et non de 1Gbit/s.

Pour éviter ce comportement inattendu, utilisez les informations sur les tranches TCAM ci-dessus pour organiser votre fichier de configuration afin que tous les termes du filtre de pare-feu qui font référence à un policer spécifique à un filtre donné soient stockés dans le même slice TCAM.

Planification du forwarding basé sur des filtres

Vous pouvez utiliser des filtres de pare-feu ainsi que des instances de routage virtuel pour spécifier différents routes pour les paquets à circuler sur leurs réseaux. Pour configurer cette fonctionnalité, appelée forwarding basé sur des filtres, vous spécifiez un filtre et des critères de correspondance, puis spécifiez l’instance de routage virtuelle à qui envoyer des paquets. Les filtres utilisés de cette manière consomment également de la mémoire dans un TCAM supplémentaire. Découvrez l’évolutivité des filtres MVR, FBF et FIP Snooping pour plus d’informations. La section FBF Filtre VFP Consommation TCAM dans ce sujet répond spécifiquement au nombre de filtres pris en charge lors de l’utilisation d’un forwarding basé sur des filtres.

Remarque :

Le transfert basé sur des filtres ne fonctionne pas avec les interfaces IPv6 sur Juniper commutateurs.

Tableau de l'historique des versions
Version
Description
19.4R2-EVO
À partir de Junos OS Evolved Release 19.4R2, vous pouvez configurer jusqu’à 2 000 filtres de pare-feu de sortie sur la QFX5220 en incluant l’option sous l’instruction au niveau de la egress-scaleeracl-profile[edit system packet-forwarding-option firewall] hiérarchie.
19.1R1
À partir de Junos OS Version 19.1R1, vous pouvez augmenter le nombre de filtres de pare-feu VLAN de sortie sur la QFX5110 de 1024 à 2048 en utilisant egress-to-ingress l’option.