Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des filtres de pare-feu et du mode de services réseau améliorés

Dans des conditions normales, chaque filtre de pare-feu est généré dans deux formats différents : compilé et basé sur des termes. Le format compilé est utilisé par le noyau du moteur de routage (RE), les FPC et les MS-DP. Les filtres de pare-feu compilés sont dupliqués pour chaque interface ou interface logique à laquelle ils sont appliqués. Les filtres basés sur des termes, au lieu d’être dupliqués, sont référencés par chaque interface ou interface logique.

Lorsqu’une combinaison de MPC et d’autres cartes remplit un châssis, la création des deux formats de fichier de filtre de pare-feu est nécessaire. Dans la plupart des réseaux, la création de formats de filtres et la duplication de filtres compilés n’ont aucun effet sur le routeur. Toutefois, dans les réseaux de gestion des abonnés qui comprennent des milliers d’interfaces d’abonnés configurées de manière statique, la création de filtres dans plusieurs formats et la duplication de ces filtres pour chaque interface peuvent utiliser une grande partie des ressources mémoire du routeur. Vous pouvez utiliser le mode Services réseau IP améliorés ou le mode Services réseau Ethernet améliorés pour améliorer l’évolutivité et les performances spécifiques aux filtres de routage dans un réseau d’accès abonné qui utilise des interfaces d’abonné configurées de manière statique.

Dans les configurations où les interfaces sont créées de manière statique ou dynamique et où les filtres de pare-feu sont appliqués de manière dynamique, vous devez configurer les services réseau du châssis pour qu’ils s’exécutent en mode amélioré. Dans les configurations où les interfaces sont créées de manière statique et les filtres de pare-feu appliqués de manière statique, vous devez configurer les services réseau de châssis pour qu’ils s’exécutent en mode amélioré, ainsi que configurer chaque filtre de pare-feu pour le mode amélioré.

Note:

N’utilisez pas le mode amélioré pour les filtres de pare-feu destinés au trafic du plan de contrôle. Le filtrage du plan de contrôle est géré par le noyau du moteur de routage, qui ne peut pas utiliser le format basé sur les termes des filtres en mode amélioré.

Le Tableau 1 présente les options de configuration pour déterminer l’utilisation du mode Services réseau améliorés.

Tableau 1 : Détermination du cas d’usage du mode de services réseau améliorés et du filtre de pare-feu

Configuration de l’interface et du filtre

Mode amélioré du châssis requis

Mode amélioré de filtre de pare-feu requis

Interfaces créées dynamiquement et filtres appliqués dynamiquement

Oui

Non

Interfaces créées de manière statique et filtres appliqués dynamiquement

Oui

Non

Interfaces créées de manière statique et filtres appliqués de manière statique

Oui

Oui

Pour réaliser des économies de ressources significatives pour le routeur, combinez la configuration du mode amélioré du châssis et du filtre comme suit :

  • N’installez que des MPC dans le châssis.

    Note:

    Lorsque vous configurez les services réseau du châssis pour exécuter l’un des modes de services réseau améliorés, le routeur n’active que les MPC et les MS-DPC. Étant donné que les MS-DPC utilisent un format de filtre de pare-feu compilé, un châssis de routeur configuré pour l’un des modes de services réseau améliorés, la configuration de filtres de pare-feu standard (non améliorés) à utiliser avec n’importe quel MS-DPC peut réduire l’efficacité optimale des ressources.

  • Lorsque vous configurez des interfaces statiques sur le routeur, configurez les services réseau du châssis pour qu’ils s’exécutent en mode Services réseau IP améliorés ou en mode Services réseau Ethernet améliorés.

  • Lorsque vous appliquez des filtres de pare-feu de manière statique à des interfaces créées de manière statique, configurez les filtres de pare-feu pour le mode amélioré afin de limiter la création de filtres au format basé sur des termes.

    Note:

    Tous les filtres de pare-feu qui ne sont pas configurés pour le mode amélioré sont créés à la fois dans un format compilé et dans un format basé sur des termes, même si le châssis exécute l’un des modes de services réseau améliorés. Seuls les filtres de pare-feu basés sur des termes (améliorés) seront générés, quelle que soit la définition de l’instruction enhanced-mode au niveau de la hiérarchie [edit chassis network-services], si l’une des conditions suivantes est vraie :

    • Des conditions de correspondance de filtre flexibles sont configurées au niveau de la [edit firewall family family-name filter filter-name term term-name from] hiérarchie ou [edit firewall filter filter-name term term-name from] .

    • Une action push ou pop d’en-tête de tunnel, telle que GRE encapsulate ou decapsulate, est configurée au niveau de la [edit firewall family family-name filter filter-name term term-name then] hiérarchie.

    • Les conditions de correspondance de la charge utile et du protocole sont configurées au niveau de la [edit firewall family family-name filter filter-name term term-name from] hiérarchie ou [edit firewall filter filter-name term term-name from] .

    • Une correspondance extension-en-tête est configurée au niveau de la [edit firewall family family-name filter filter-name term term-name from] hiérarchie ou [edit firewall filter filter-name term term-name from] .

    • Une condition de correspondance est configurée qui ne fonctionne qu’avec les cartes MPC, telle que les filtres de pont de pare-feu pour le trafic IPv6.
    Avertissement:

    Tout filtre de pare-feu répondant aux critères précédents ne sera pas appliqué à l’interface de bouclage, lo0, des FPC basés sur DPC. Cela signifie que les filtres basés sur des termes (améliorés) configurés pour être utilisés sur l’interface de bouclage d’un FPC basé sur DPC ne seront pas appliqués. Cela laissera le ER non protégé par ce filtre.

Documentation connexe