ファイアウォールフィルターのトラブルシューティング
次の情報を使用して、ファイアウォール フィルター構成のトラブルシューティングを行います。
QFX10000スイッチのトラブルシューティング
このセクションではQFX10000スイッチに固有の問題について説明します。
- 異なるレイヤーの一致条件を組み合わせない
- ファイアウォールフィルターでレイヤー2パケットを破棄できない
- Protect-RE(ループバック)ファイアウォールフィルターがEM0インターフェイスに適用されるパケットをフィルタリングしない
異なるレイヤーの一致条件を組み合わせない
QFX10000スイッチでは、レイヤー2と family ethernet-switching
フィルター内の他のレイヤーの一致条件を組み合わせないでください。(例えば、MACアドレスとIPアドレスが一致する条件を同じフィルターに含めないでください)。その場合、フィルターは正常にコミットされますが、機能しません。また、次のログ メッセージが表示されます。 L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.
ファイアウォールフィルターでレイヤー2パケットを破棄できない
問題点
説明
LLDP(Link Layer Discovery Protocol)やBPDU(Bridge Protocol Data Unit)などのレイヤー 2(L2)制御パケットは、ファイアウォール フィルターで廃棄できません。
ソリューション
L2制御パケットに分散型サービス拒否(DDoS)防御を設定し、集約ポリサーの帯域幅とバースト値を最小値の1に設定します。例えば
[edit system ddos-protection protocols protocol name]
user@host# set aggregate bandwidth 1
[edit system ddos-protection protocols protocol name]
user@host# set aggregate burst 1
他のスイッチのトラブルシューティング
このセクションでは、QFX10000 スイッチ以外の QFX スイッチに固有の問題について説明します。この情報は、OCX1100スイッチとEX4600スイッチにも適用されます。
- ファイアウォールフィルター設定がTCAMメッセージに使用可能なスペースがないことを返す
- 以前にドロップされたパケットのフィルターカウント
- 一致するパケットはカウントされません
- フィルター編集時のカウンターリセット
- 損失優先度とポリサーのアクションを同じ条件に含めることはできません
- QFXスイッチから発信された特定のトラフィックをエグレスフィルタリングできない
- ファイアウォールフィルター一致条件がQ-in-Qトンネリングで機能しない
- プライベートVLANを使用したエグレスファイアウォールフィルター
- L2PTトラフィックのエグレスフィルタリングはサポートされていません
- 特定の状況ではBGPパケットをドロップできない
- ポリサーの無効な統計
- ポリサーはエグレスフィルターを制限できる
ファイアウォールフィルター設定がTCAMメッセージに使用可能なスペースがないことを返す
問題点
説明
ファイアウォール フィルター設定が、使用可能な TCAM(Ternary Content Addressable Memory)領域の量を超えると、システムは次の syslogd
メッセージを返します。
No space available in tcam. Rules for filter filter-name will not be installed.
ポート、VLAN、またはレイヤー 3 インターフェイスに適用されたファイアウォール フィルターが TCAM テーブルで使用可能なスペースの量を超えた場合、スイッチはコミット操作中にこのメッセージを返します。フィルターは適用されませんが、ファイアウォールフィルター設定のコミット操作が CLI モジュールで完了します。
ソリューション
ファイアウォールフィルター設定が使用可能なTCAMテーブルスペースの量を超える場合、フィルターのスペース要件がTCAMテーブルの使用可能なスペースを超えないように、フィルター条件の数を減らして新しいファイアウォールフィルターを設定する必要があります。
次のいずれかの手順を実行して、問題を修正できます。
フィルターとそのバインディングを削除し、新しい小さいファイアウォールフィルターを同じバインディングに適用するには:
フィルターとそのポート、VLAN、またはレイヤー3インターフェイスへのバインディングを削除します。たとえば、以下のように表示されます。
[edit] user@switch# delete firewall family ethernet-switching filter ingress-vlan-rogue-block user@switch# delete vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# delete vlans employee-vlan filter input ingress-vlan-rogue-block
変更をコミットします。
[edit] user@switch# commit
使用可能なTCAMスペースの量を超えないように、より少ない条件でより小さなフィルタを設定します。たとえば、以下のように表示されます。
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block ...
新しいファイアウォールフィルターをポート、VLAN 、またはレイヤー3インターフェイスに適用(バインド)します。たとえば、以下のように表示されます。
[edit] user@switch# set vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
変更をコミットします。
[edit] user@switch# commit
新しいファイアウォールフィルターを適用し、既存のバインディングを上書きするが、元のフィルターは削除しない場合は、次のようにします。
元のフィルターよりも少ない条件のファイアウォールフィルターを設定します。
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block...
ファイアウォールフィルターをポート、VLAN、またはレイヤー3インターフェイスに適用して、元のフィルターのバインディングを上書きします(例:
[edit] user@switch# set vlans employee-vlan description "smaller filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
VLANごとに方向ごとに適用できるファイアウォールフィルターは1つだけであるため、元のファイアウォールフィルターのVLANへのバインディングは、新しいファイアウォールフィルター
new-ingress-vlan-rogue-block
で上書きされます。変更をコミットします。
[edit] user@switch# commit
元のフィルターは削除されず、構成で引き続き使用できます。
以前にドロップされたパケットのフィルターカウント
問題点
説明
物理インターフェイスに対して同じ方向に 2 つ以上のフィルターを設定し、そのうちの 1 つのフィルターにカウンタが含まれている場合、次の状況が当てはまるとカウンタは正しくありません。
最初にパケットに適用されるフィルターを設定して、特定のパケットを破棄します。例えば、10.10.1.0/24アドレスに送信されたパケットを受け入れ、それ以外のアドレスに送信されたパケットを暗黙的に破棄するVLANフィルターがあるとします。出力方向の
admin
VLANにフィルターを適用すると、インターフェイスxe-0/0/1がそのVLANのメンバーになります。後続のフィルターを設定して、最初のフィルターで破棄されたパケットを受け入れてカウントします。この例では、192.168.1.0/24アドレスに送信されたパケットを受け入れてカウントするポートフィルターがあり、出力方向のxe-0/0/1にも適用されます。
エグレスVLANフィルターが最初に適用され、192.168.1.0/24アドレスに送信されたパケットを正しく破棄します。次にエグレスポートフィルターが適用され、破棄されたパケットを一致パケットとしてカウントします。パケットは転送されませんが、エグレスポートフィルターによって表示されるカウンターが正しくありません。
フィルターが適用される順序は、次に示すように、フィルターが適用される方向によって異なることに注意してください。
Ingressフィルター:
ポート(レイヤー2)フィルター
VLANフィルター
ルーター(レイヤー 3)フィルター
Egressフィルター:
ルーター(レイヤー 3)フィルター
VLANフィルター
ポート(レイヤー2)フィルター
ソリューション
これは正常な動作です。
一致するパケットはカウントされません
問題点
説明
物理インターフェイスのカウンターを持つ 2 つのエグレス フィルターを設定し、パケットが両方のフィルターに一致する場合、一方のカウンターにのみそのパケットが含まれます。
たとえば、以下のように表示されます。
インターフェイスxe-0/0/1のカウンターを持つエグレスポートフィルターを設定します。
admin
VLAN のカウンターを使用してエグレス VLAN フィルターを設定し、インターフェイス xe-0/0/1 がその VLAN のメンバーであるとします。パケットは両方のフィルターに一致します。
この場合、パケットは両方のフィルターに一致したにもかかわらず、一方のカウンターのみによってカウントされます。
ソリューション
これは正常な動作です。
フィルター編集時のカウンターリセット
問題点
説明
ファイアウォール フィルターの用語を編集する場合、同じフィルター内の任意の用語に関連付けられているカウンターの値は、フィルターが参照するポリサーの暗黙的なカウンターを含め、0 に設定されます。次の例を考えてみましょう。
フィルターに
term1
、term2
、およびterm3
があり、各用語には、一致するパケットを既にカウントしたカウンターがあるとします。いずれかの項を何らかの方法で編集すると、すべての項のカウンタが 0 にリセットされます。フィルターに
term1
とterm2
があるとします。また、term2
にpolicer
アクション修飾子があり、ポリサーの暗黙のカウンターがすでに 1000 個の一致するパケットをカウントしているとします。term1
またはterm2
何らかの方法で編集すると、term2
が参照するポリサーのカウンターは 0 にリセットされます。
ソリューション
これは正常な動作です。
損失優先度とポリサーのアクションを同じ条件に含めることはできません
QFXスイッチから発信された特定のトラフィックをエグレスフィルタリングできない
ファイアウォールフィルター一致条件がQ-in-Qトンネリングで機能しない
問題点
説明
一致条件が dot1q-tag
または dot1q-user-priority
のファイアウォール フィルターを作成し、サービス VLAN に参加するトランク ポートへの入力にそのフィルターを適用する場合、Q-in-Q EtherType が0x8100されていないと、一致条件は機能しません。(Q-in-Qトンネリングが有効になっている場合、トランクインターフェイスはサービスプロバイダまたはデータセンターネットワークの一部とみなされ、サービスVLANに参加します)。
ソリューション
これは正常な動作です。Q-in-Q EtherType を 0x8100 に設定するには、[edit ethernet-switching-options]
階層レベルで set dot1q-tunneling ethertype 0x8100 ステートメントを入力します。また、同じEthertypeを使用するように、リンクのもう一方の端も設定する必要があります。
プライベートVLANを使用したエグレスファイアウォールフィルター
問題点
説明
プライマリVLANに出力方向のファイアウォールフィルターを適用した場合、トラフィックがプライマリVLANタグまたは分離VLANタグで出力されるときに、プライマリVLANのメンバーであるセカンダリVLANにもフィルターが適用されます。
セカンダリVLANトランクポートから無差別ポート(トランクまたはアクセス)に転送されたトラフィック
分離された VLAN を伝送するセカンダリ VLAN トランク ポートから PVLAN トランク ポートに転送されるトラフィック。
無差別ポート(トランクまたはアクセス)からセカンダリVLANトランクポートに転送されたトラフィック
PVLAN トランク ポートから転送されるトラフィック。セカンダリVLANトランクポートへ
コミュニティポートから無差別ポート(トランクまたはアクセス)に転送されたトラフィック
プライマリVLANに出力方向のファイアウォールフィルターを適用した場合、その フィルターは、 以下に示すように、コミュニティVLANタグでエグレスするトラフィックには適用されません。
コミュニティ トランク ポートから PVLAN トランク ポートに転送されたトラフィック
コミュニティ VLAN を伝送するセカンダリ VLAN トランク ポートから PVLAN トランク ポートに転送されるトラフィック
無差別ポート(トランクまたはアクセス)からコミュニティ トランク ポートに転送されたトラフィック
PVLAN トランク ポートから転送されるトラフィック。コミュニティトランクポートへ
コミュニティVLANに出力方向のファイアウォールフィルターを適用すると、次の動作が適用されます。
このフィルターは、無差別ポート(トランクまたはアクセス)からコミュニティ トランク ポートに転送されるトラフィックに適用されます(トラフィックがコミュニティ VLAN タグで出力されるため)。
このフィルターは、コミュニティ ポートから PVLAN トランク ポートに転送されるトラフィックに適用されます(トラフィックがコミュニティ VLAN タグで出力されるため)。
この フィルターは、 コミュニティポートから無差別ポートに転送されるトラフィックには適用されません(トラフィックがプライマリVLANタグまたはタグなしで出力されるため)。
ソリューション
これらは予期される動作です。これらは、出力方向のプライベートVLANにファイアウォールフィルターを適用した場合にのみ発生し、入力方向のプライベートVLANにファイアウォールフィルターを適用した場合は発生しません。
L2PTトラフィックのエグレスフィルタリングはサポートされていません
特定の状況ではBGPパケットをドロップできない
ポリサーの無効な統計
ポリサーはエグレスフィルターを制限できる
問題点
説明
一部のスイッチでは、設定したエグレスポリサーの数が、許可されるエグレスファイアウォールフィルターの総数に影響を与えることがあります。すべてのポリサーには、1024エントリのTCAMで2つのエントリを占める2つの暗黙的なカウンターがあります。これらは、ファイアウォール フィルターの用語でアクション修飾子として構成されているカウンターなど、カウンターに使用されます。(ポリサーのタイプに関係なく、1つはグリーンパケットに使用され、もう1つは非グリーンパケットに使用されるため、ポリサーは2つのエントリを消費します)。TCAMがいっぱいになると、カウンターを含む条件を持つエグレスファイアウォールフィルターをこれ以上コミットできなくなります。例えば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンターのすべてのメモリ エントリーが使い果たされます。構成ファイルの後半で、カウンターを含む条件を持つ追加のエグレス ファイアウォール フィルターを挿入した場合、カウンターに使用できるメモリ領域がないため、これらのフィルターのどの条件 も コミットされません。
その他の例を次に示します。
合計512のポリサーを含み、カウンターを含まないエグレスフィルターを設定するとします。構成ファイルの後半に、10 個の条件を持つ別のエグレス フィルターを含め、そのうちの 1 つにカウンター アクション修飾子を設定します。カウンターに十分な TCAM スペースがないため、このフィルターのどの条件もコミットされません。
合計500のポリサーを含むエグレスフィルターを設定すると、1000のTCAMエントリーが占有されるとします。構成ファイルの後半で、次の 2 つのエグレス フィルターを含めます。
20 個の項と 20 個のカウンターでフィルター A。すべてのカウンターに十分なTCAMスペースがあるため、このフィルターのすべての条件がコミットされます。
フィルター B はフィルター A の後にあり、5 つの項と 5 つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルターのどの条件もコミットされません。(5 つの TCAM エントリが必要ですが、使用可能は 4 つだけです)。
ソリューション
この問題を防ぐには、カウンターアクションを含むエグレスファイアウォールフィルター条件が、ポリサーを含む用語よりも構成ファイルの早い位置に配置されるようにします。この状況では、暗黙的なカウンターのための十分なTCAMスペースがない場合でも、Junos OSはポリサーをコミットします。たとえば、次のことを想定します。
カウンターアクションを含む1024個のエグレスファイアウォールフィルター条件があります。
構成ファイルの後半には、10語のエグレスフィルターがあります。どの条件にもカウンターはありませんが、1 つの用語にはポリサー アクション修飾子があります。
ポリサーの暗黙的なカウンターのための十分なTCAMスペースがない場合でも、10語でフィルターを正常にコミットできます。ポリサーはカウンターなしでコミットされます。