Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des filtres de pare-feu et des services réseau améliorés

Dans des conditions normales, chaque filtre de pare-feu est généré sous deux formats différents : compilé et basé sur des termes. Le format compilé est utilisé par le noyau du moteur de routage (RE), les FPC et les MS-DP. Les MPC utilisent ce format par terme. Les filtres de pare-feu compilés sont dupliqués pour chaque interface ou interface logique à laquelle ils sont appliqués. Au lieu d’être dupliqués, les filtres à terme sont référencés par chaque interface ou interface logique.

Lorsqu’un châssis est composé d’une combinaison de MPC et d’autres cartes, il est nécessaire de créer les deux formats de fichier de filtre de pare-feu. Dans la plupart des réseaux, la création des deux formats de filtre et toute quantité de duplication pour les filtres de pare-feu compilés n’ont aucun effet sur le routeur. Cependant, dans les réseaux de gestion abonné qui comprennent des milliers d’interfaces abonné configurées statiquement, la création de filtres dans plusieurs formats et la duplication de ces filtres pour chaque interface peuvent utiliser une grande partie de routeur ressources mémoire. Vous pouvez utiliser le mode Services réseau IP améliorés ou le mode Services réseau Ethernet améliorés pour améliorer l’évolutivité et les performances spécifiques aux filtres de routage dans un réseau d’accès d’abonné qui utilise des interfaces d’abonné configurées de manière statique.

Dans les configurations où les interfaces sont créées de manière statique ou dynamique et où les filtres de pare-feu sont appliqués de manière dynamique, vous devez configurer les services réseau du châssis pour qu’ils s’exécutent en mode amélioré. Dans les configurations où les interfaces sont créées de manière statique et les filtres de pare-feu appliqués de manière statique, vous devez configurer les services réseau du châssis pour qu’ils s’exécutent en mode amélioré et configurer chaque filtre de pare-feu pour le mode amélioré.

Remarque :

N’utilisez pas le mode amélioré pour les filtres de pare-feu destinés au trafic du plan de contrôle. Le filtrage du plan de contrôle est géré par le noyau du moteur de routage, qui ne peut pas utiliser le format basé sur les termes des filtres en mode amélioré.

Le Tableau 1 présente les options de configuration pour déterminer l’utilisation du mode des services réseau améliorés.

Tableau 1 : Cas d’utilisation du mode de services réseau améliorés et du filtre de pare-feu

Configuration de l’interface et des filtres

Mode Chassis Enhanced requis

Filtre de pare-feu : mode amélioré requis

Interfaces créées de manière dynamique et filtres appliqués de manière dynamique

Oui

Non

Interfaces créées de manière statique et filtres appliqués dynamiquement

Oui

Non

Interfaces créées de façon statique et filtres appliqués de façon statique

Oui

Oui

Pour réaliser des économies significatives sur les ressources du routeur, combinez la configuration du châssis et du filtre en mode amélioré comme suit :

  • Installez uniquement des MPC dans le châssis.

    Remarque :

    En configurant les services réseau du châssis pour exécuter l’un des modes de services réseau améliorés, le routeur n’active que les MPC et MS-DPC. Étant donné que les MS-DPC utilisent un format de filtre de pare-feu compilé, un châssis de routeur configuré pour l’un des modes de services réseau améliorés, la configuration de filtres de pare-feu standard (non améliorés) pour une utilisation avec n’importe quel MS-DPC peut réduire l’efficacité optimale des ressources.

  • Lorsque vous configurez des interfaces statiques sur le routeur, configurez les services réseau du châssis pour qu’ils s’exécutent en mode Services réseau IP améliorés ou en mode Services réseau Ethernet améliorés.

  • Lorsque vous appliquez statiquement des filtres de pare-feu à des interfaces créées de manière statique, configurez les filtres de pare-feu en mode amélioré afin de limiter la création de filtres au format basé sur la durée uniquement.

    Remarque :

    Tous les filtres de pare-feu qui ne sont pas configurés pour le mode amélioré sont créés au format compilé et sous forme de termes, même si le châssis exécute l’un des modes de services réseau améliorés. Seuls les filtres de pare-feu basés sur la durée (améliorés) sont générés, quel que soit le paramètre de l’instruction enhanced-mode au niveau de la hiérarchie [edit chassis network-services], si l’une des conditions suivantes est vraie :

    • Des conditions de correspondance de filtres flexibles sont configurées au niveau de la [edit firewall family family-name filter filter-name term term-name from] hiérarchie ou [edit firewall filter filter-name term term-name from] .

    • Une action push ou pop d’en-tête de tunnel, telle que l’encapsulation GRE ou le décapsulage, est configurée au niveau de la [edit firewall family family-name filter filter-name term term-name then] hiérarchie.

    • Les conditions de correspondance de protocole de charge utile sont configurées au niveau de la [edit firewall family family-name filter filter-name term term-name from] hiérarchie ou [edit firewall filter filter-name term term-name from] .

    • Une correspondance extension-en-tête est configurée au niveau de la [edit firewall family family-name filter filter-name term term-name from] hiérarchie ou [edit firewall filter filter-name term term-name from] .

    • Une condition de correspondance est configurée et ne fonctionne qu’avec les cartes MPC, telles que les filtres de pont de pare-feu pour le trafic IPv6.
    Avertissement :

    Tout filtre de pare-feu répondant aux critères précédents ne sera pas appliqué à l’interface loopback, lo0, des FPC basés sur DPC. Cela signifie que les filtres basés sur les termes (améliorés) configurés pour être utilisés sur l’interface de bouclage d’un FPC basé sur DPC ne seront pas appliqués. Cela laissera le RE non protégé par ce filtre.

Documentation connexe