Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターのトラブルシューティング

次の情報を使用して、ファイアウォール フィルター構成のトラブルシューティングを行います。

QFX10000スイッチのトラブルシューティング

このセクションではQFX10000スイッチに固有の問題について説明します。

異なるレイヤーの一致条件を組み合わせない

QFX10000スイッチでは、レイヤー2と family ethernet-switching フィルター内の他のレイヤーの一致条件を組み合わせないでください。(例えば、MACアドレスとIPアドレスが一致する条件を同じフィルターに含めないでください)。その場合、フィルターは正常にコミットされますが、機能しません。また、次のログ メッセージが表示されます。 L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.

ファイアウォールフィルターでレイヤー2パケットを破棄できない

問題点

説明

LLDP(Link Layer Discovery Protocol)やBPDU(Bridge Protocol Data Unit)などのレイヤー 2(L2)制御パケットは、ファイアウォール フィルターで廃棄できません。

ソリューション

L2制御パケットに分散型サービス拒否(DDoS)防御を設定し、集約ポリサーの帯域幅とバースト値を最小値の1に設定します。例えば

user@host# set aggregate bandwidth 1

user@host# set aggregate burst 1

Protect-RE(ループバック)ファイアウォールフィルターがEM0インターフェイスに適用されるパケットをフィルタリングしない

問題点

説明

QFX10000スイッチでは、Protect-RE(ループバック)ファイアウォールフィルターは、SNMP、Telnet、その他のサービスを含むEM0インターフェイスに適用されるパケットをフィルタリングしません。

ソリューション

これは正常な動作です。

他のスイッチのトラブルシューティング

このセクションでは、QFX10000 スイッチ以外の QFX スイッチに固有の問題について説明します。この情報は、OCX1100スイッチとEX4600スイッチにも適用されます。

ファイアウォールフィルター設定がTCAMメッセージに使用可能なスペースがないことを返す

問題点

説明

ファイアウォール フィルター設定が、使用可能な TCAM(Ternary Content Addressable Memory)領域の量を超えると、システムは次の syslogd メッセージを返します。

ポート、VLAN、またはレイヤー 3 インターフェイスに適用されたファイアウォール フィルターが TCAM テーブルで使用可能なスペースの量を超えた場合、スイッチはコミット操作中にこのメッセージを返します。フィルターは適用されませんが、ファイアウォールフィルター設定のコミット操作が CLI モジュールで完了します。

ソリューション

ファイアウォールフィルター設定が使用可能なTCAMテーブルスペースの量を超える場合、フィルターのスペース要件がTCAMテーブルの使用可能なスペースを超えないように、フィルター条件の数を減らして新しいファイアウォールフィルターを設定する必要があります。

次のいずれかの手順を実行して、問題を修正できます。

フィルターとそのバインディングを削除し、新しい小さいファイアウォールフィルターを同じバインディングに適用するには:

  1. フィルターとそのポート、VLAN、またはレイヤー3インターフェイスへのバインディングを削除します。たとえば、以下のように表示されます。

  2. 変更をコミットします。

  3. 使用可能なTCAMスペースの量を超えないように、より少ない条件でより小さなフィルタを設定します。たとえば、以下のように表示されます。

  4. 新しいファイアウォールフィルターをポート、VLAN 、またはレイヤー3インターフェイスに適用(バインド)します。たとえば、以下のように表示されます。

  5. 変更をコミットします。

新しいファイアウォールフィルターを適用し、既存のバインディングを上書きするが、元のフィルターは削除しない場合は、次のようにします。

  1. 元のフィルターよりも少ない条件のファイアウォールフィルターを設定します。

  2. ファイアウォールフィルターをポート、VLAN、またはレイヤー3インターフェイスに適用して、元のフィルターのバインディングを上書きします(例:

    VLANごとに方向ごとに適用できるファイアウォールフィルターは1つだけであるため、元のファイアウォールフィルターのVLANへのバインディングは、新しいファイアウォールフィルター new-ingress-vlan-rogue-blockで上書きされます。

  3. 変更をコミットします。

注:

元のフィルターは削除されず、構成で引き続き使用できます。

以前にドロップされたパケットのフィルターカウント

問題点

説明

物理インターフェイスに対して同じ方向に 2 つ以上のフィルターを設定し、そのうちの 1 つのフィルターにカウンタが含まれている場合、次の状況が当てはまるとカウンタは正しくありません。

  • 最初にパケットに適用されるフィルターを設定して、特定のパケットを破棄します。例えば、10.10.1.0/24アドレスに送信されたパケットを受け入れ、それ以外のアドレスに送信されたパケットを暗黙的に破棄するVLANフィルターがあるとします。出力方向の admin VLANにフィルターを適用すると、インターフェイスxe-0/0/1がそのVLANのメンバーになります。

  • 後続のフィルターを設定して、最初のフィルターで破棄されたパケットを受け入れてカウントします。この例では、192.168.1.0/24アドレスに送信されたパケットを受け入れてカウントするポートフィルターがあり、出力方向のxe-0/0/1にも適用されます。

エグレスVLANフィルターが最初に適用され、192.168.1.0/24アドレスに送信されたパケットを正しく破棄します。次にエグレスポートフィルターが適用され、破棄されたパケットを一致パケットとしてカウントします。パケットは転送されませんが、エグレスポートフィルターによって表示されるカウンターが正しくありません。

フィルターが適用される順序は、次に示すように、フィルターが適用される方向によって異なることに注意してください。

Ingressフィルター:

  1. ポート(レイヤー2)フィルター

  2. VLANフィルター

  3. ルーター(レイヤー 3)フィルター

Egressフィルター:

  1. ルーター(レイヤー 3)フィルター

  2. VLANフィルター

  3. ポート(レイヤー2)フィルター

ソリューション

これは正常な動作です。

一致するパケットはカウントされません

問題点

説明

物理インターフェイスのカウンターを持つ 2 つのエグレス フィルターを設定し、パケットが両方のフィルターに一致する場合、一方のカウンターにのみそのパケットが含まれます。

たとえば、以下のように表示されます。

  • インターフェイスxe-0/0/1のカウンターを持つエグレスポートフィルターを設定します。

  • admin VLAN のカウンターを使用してエグレス VLAN フィルターを設定し、インターフェイス xe-0/0/1 がその VLAN のメンバーであるとします。

  • パケットは両方のフィルターに一致します。

この場合、パケットは両方のフィルターに一致したにもかかわらず、一方のカウンターのみによってカウントされます。

ソリューション

これは正常な動作です。

フィルター編集時のカウンターリセット

問題点

説明

ファイアウォール フィルターの用語を編集する場合、同じフィルター内の任意の用語に関連付けられているカウンターの値は、フィルターが参照するポリサーの暗黙的なカウンターを含め、0 に設定されます。次の例を考えてみましょう。

  • フィルターに term1term2、および term3があり、各用語には、一致するパケットを既にカウントしたカウンターがあるとします。いずれかの項を何らかの方法で編集すると、すべての項のカウンタが 0 にリセットされます。

  • フィルターに term1term2があるとします。また、 term2policer アクション修飾子があり、ポリサーの暗黙のカウンターがすでに 1000 個の一致するパケットをカウントしているとします。term1またはterm2何らかの方法で編集すると、term2 が参照するポリサーのカウンターは 0 にリセットされます。

ソリューション

これは正常な動作です。

損失優先度とポリサーのアクションを同じ条件に含めることはできません

問題点

説明

QFX シリーズスイッチの同じファイアウォールフィルター条件に、以下の両方のアクションを含めることはできません。

  • loss-priority

  • policer

その場合、設定のコミット時に以下のエラーメッセージが表示されます。「損失優先度が設定されている場合、ポリサーアクションをサポートできません。」

ソリューション

これは正常な動作です。

QFXスイッチから発信された特定のトラフィックをエグレスフィルタリングできない

問題点

説明

QFX シリーズ スイッチでは、トラフィックが QFX スイッチから発信された場合、出力方向にファイアウォール フィルターを適用しても、特定のトラフィックをフィルタリングできません。この制限は、ICMP(ping)、STP、LACPなどのプロトコルの制御トラフィックに適用されます。

ソリューション

これは正常な動作です。

ファイアウォールフィルター一致条件がQ-in-Qトンネリングで機能しない

問題点

説明

一致条件が dot1q-tag または dot1q-user-priority のファイアウォール フィルターを作成し、サービス VLAN に参加するトランク ポートへの入力にそのフィルターを適用する場合、Q-in-Q EtherType が0x8100されていないと、一致条件は機能しません。(Q-in-Qトンネリングが有効になっている場合、トランクインターフェイスはサービスプロバイダまたはデータセンターネットワークの一部とみなされ、サービスVLANに参加します)。

ソリューション

これは正常な動作です。Q-in-Q EtherType を 0x8100 に設定するには、[edit ethernet-switching-options]階層レベルで set dot1q-tunneling ethertype 0x8100 ステートメントを入力します。また、同じEthertypeを使用するように、リンクのもう一方の端も設定する必要があります。

プライベートVLANを使用したエグレスファイアウォールフィルター

問題点

説明

プライマリVLANに出力方向のファイアウォールフィルターを適用した場合、トラフィックがプライマリVLANタグまたは分離VLANタグで出力されるときに、プライマリVLANのメンバーであるセカンダリVLANにもフィルターが適用されます。

  • セカンダリVLANトランクポートから無差別ポート(トランクまたはアクセス)に転送されたトラフィック

  • 分離された VLAN を伝送するセカンダリ VLAN トランク ポートから PVLAN トランク ポートに転送されるトラフィック。

  • 無差別ポート(トランクまたはアクセス)からセカンダリVLANトランクポートに転送されたトラフィック

  • PVLAN トランク ポートから転送されるトラフィック。セカンダリVLANトランクポートへ

  • コミュニティポートから無差別ポート(トランクまたはアクセス)に転送されたトラフィック

プライマリVLANに出力方向のファイアウォールフィルターを適用した場合、その フィルターは、 以下に示すように、コミュニティVLANタグでエグレスするトラフィックには適用されません。

  • コミュニティ トランク ポートから PVLAN トランク ポートに転送されたトラフィック

  • コミュニティ VLAN を伝送するセカンダリ VLAN トランク ポートから PVLAN トランク ポートに転送されるトラフィック

  • 無差別ポート(トランクまたはアクセス)からコミュニティ トランク ポートに転送されたトラフィック

  • PVLAN トランク ポートから転送されるトラフィック。コミュニティトランクポートへ

コミュニティVLANに出力方向のファイアウォールフィルターを適用すると、次の動作が適用されます。

  • このフィルターは、無差別ポート(トランクまたはアクセス)からコミュニティ トランク ポートに転送されるトラフィックに適用されます(トラフィックがコミュニティ VLAN タグで出力されるため)。

  • このフィルターは、コミュニティ ポートから PVLAN トランク ポートに転送されるトラフィックに適用されます(トラフィックがコミュニティ VLAN タグで出力されるため)。

  • この フィルターは、 コミュニティポートから無差別ポートに転送されるトラフィックには適用されません(トラフィックがプライマリVLANタグまたはタグなしで出力されるため)。

ソリューション

これらは予期される動作です。これらは、出力方向のプライベートVLANにファイアウォールフィルターを適用した場合にのみ発生し、入力方向のプライベートVLANにファイアウォールフィルターを適用した場合は発生しません。

L2PTトラフィックのエグレスフィルタリングはサポートされていません

問題点

説明

L2PT トラフィックのエグレス フィルタリングは、QFX3500 スイッチではサポートされていません。つまり、インターフェイス上のプロトコルをトンネリングするようにL2PTを設定した場合、ファイアウォールフィルタを使用して、出力方向のそのインターフェイス上のそのプロトコルのトラフィックをフィルタリングすることもできません。この目的で設定をコミットした場合、ファイアウォールフィルターはL2PTトンネリングトラフィックに適用されません。

ソリューション

これは正常な動作です。

特定の状況ではBGPパケットをドロップできない

問題点

説明

TTL(Time-to-live)値が1より大きいBGPパケットは、ループバックインターフェイスに適用されたファイアウォールフィルターや、レイヤー3インターフェイスへの入力に適用されたファイアウォールフィルターを使用して廃棄することはできません。TTL値が1または0のBGPパケットは、ループバックインターフェイスに適用されるファイアウォールフィルターを使用するか、レイヤー3インターフェイスへの入力に適用されるファイアウォールフィルターを使用して破棄できます。

ソリューション

これは正常な動作です。

ポリサーの無効な統計

問題点

説明

ファイアウォール フィルターで 128 語を超えるシングル レート 2 カラー ポリサーを適用すると、 show firewall コマンドの出力にポリサーの誤ったデータが表示されます。

ソリューション

これは正常な動作です。

ポリサーはエグレスフィルターを制限できる

問題点

説明

一部のスイッチでは、設定したエグレスポリサーの数が、許可されるエグレスファイアウォールフィルターの総数に影響を与えることがあります。すべてのポリサーには、1024エントリのTCAMで2つのエントリを占める2つの暗黙的なカウンターがあります。これらは、ファイアウォール フィルターの用語でアクション修飾子として構成されているカウンターなど、カウンターに使用されます。(ポリサーのタイプに関係なく、1つはグリーンパケットに使用され、もう1つは非グリーンパケットに使用されるため、ポリサーは2つのエントリを消費します)。TCAMがいっぱいになると、カウンターを含む条件を持つエグレスファイアウォールフィルターをこれ以上コミットできなくなります。例えば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンターのすべてのメモリ エントリーが使い果たされます。構成ファイルの後半で、カウンターを含む条件を持つ追加のエグレス ファイアウォール フィルターを挿入した場合、カウンターに使用できるメモリ領域がないため、これらのフィルターのどの条件 コミットされません。

その他の例を次に示します。

  • 合計512のポリサーを含み、カウンターを含まないエグレスフィルターを設定するとします。構成ファイルの後半に、10 個の条件を持つ別のエグレス フィルターを含め、そのうちの 1 つにカウンター アクション修飾子を設定します。カウンターに十分な TCAM スペースがないため、このフィルターのどの条件もコミットされません。

  • 合計500のポリサーを含むエグレスフィルターを設定すると、1000のTCAMエントリーが占有されるとします。構成ファイルの後半で、次の 2 つのエグレス フィルターを含めます。

    • 20 個の項と 20 個のカウンターでフィルター A。すべてのカウンターに十分なTCAMスペースがあるため、このフィルターのすべての条件がコミットされます。

    • フィルター B はフィルター A の後にあり、5 つの項と 5 つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルターのどの条件コミットされません。(5 つの TCAM エントリが必要ですが、使用可能は 4 つだけです)。

ソリューション

この問題を防ぐには、カウンターアクションを含むエグレスファイアウォールフィルター条件が、ポリサーを含む用語よりも構成ファイルの早い位置に配置されるようにします。この状況では、暗黙的なカウンターのための十分なTCAMスペースがない場合でも、Junos OSはポリサーをコミットします。たとえば、次のことを想定します。

  • カウンターアクションを含む1024個のエグレスファイアウォールフィルター条件があります。

  • 構成ファイルの後半には、10語のエグレスフィルターがあります。どの条件にもカウンターはありませんが、1 つの用語にはポリサー アクション修飾子があります。

ポリサーの暗黙的なカウンターのための十分なTCAMスペースがない場合でも、10語でフィルターを正常にコミットできます。ポリサーはカウンターなしでコミットされます。