Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

作成するファイアウォール フィルターの数の計画

サポートされるファイアウォール フィルターの最大数

表 1 は、各スイッチがサポートする ファイアウォール フィルター の最大数を示しています。フィルターの合計数は集計で適用されます。たとえば、QFX5200およびQFX5210スイッチでは、入力方向に合計768項、出力方向に1024項を適用できます。スイッチがサポートするフィルターの実際の数は、フィルターが TCAM(三元コンテンツ アドレッシング メモリ)にどのように格納されるかによって異なります。

Junos OS リリース 20.3R1 以降を実行している QFX5120-48Y および EX4650 スイッチの場合、コマンドを有効にすると [set chassis loopback-firewall-optimization 、ループバック フィルター条件のデフォルト システム制限を、IPv6 の場合は 768、IPv4 の場合は 1152 語に増やすことができます。

表 1: サポートされるファイアウォール フィルターの最大数
フィルター タイプ QFX3500、QFX3600 QFX5100、EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

イングレス

768

1536

1536

6144

768

8192

出口

1024

1024

2048

1024 または 2048

1024

512 (QFX5220)

8192

ファイアウォール フィルターの数を増やす方法

デバイス上のファイアウォール フィルターの数を増やすには、いくつかの方法があります。

  • (QFX5220)512 を超えるエグレス VLAN フィルターを作成するには、最初の VLAN ID を 6、2 番目の VLAN ID を 7、3 番目の VLAN ID を 5 などと指定します。設定する各 VLAN の数は 1 増え、VLAN ID 1029 まで続きます。512 個未満のエグレス VLAN フィルターを作成するが、それらのフィルター内の条件の合計数を 512 以上にする場合は、VLAN ID の番号を同じ方法で指定してください。それ以外の場合、許可される条件またはフィルターの合計数は 1024 未満になり、512 になります。

  • Junos OSリリース19.1R1以降、オプションを使用して、QFX5110のエグレスVLANファイアウォールフィルターの数を egress-to-ingress 1024から2048まで増やすことができます。このオプションは、階層のステートメントの from 下に [edit firewall] 含めます。

    Junos OS Evolvedリリース19.4R2以降、階層レベルのステートメントの下eracl-profileにオプションを含めてegress-scale、QFX5220で最大2,000のエグレスファイアウォールフィルターを[edit system packet-forwarding-option firewall]設定できます。この機能は、エグレス方向(デバイスから出たルーテッド トラフィック)でのみサポートされています。

    この機能を設定する場合は、次の点を考慮してください。

    • 異なるエグレス VLAN またはレイヤー 3 インターフェイスに、同じ一致条件を持つフィルタを適用することはできません。

    • GRE インターフェイスにエグレス スケーリングを適用することはできません。

    • パケットが異なる修飾子を持つ複数のフィルターと一致し、異なるエグレス インターフェイスに適用すると、予期しない動作が発生する可能性があります。

    • このオプションは、グローバル モードでのみ設定 egress-scale できます。新しい cli 設定はグローバル モードで提供されます。ユーザーがエグレススケール(イングレスへのエグレス)モードでERACLグループを設定すると、IFP tcamスペースを使用せずに、古い方法でERACLを設定することはできません。言い換えると、混合モードでのERACLはサポートされません。

TCAM

ファイアウォール フィルター用の TCAM(Ternary Content Addressable Memory)は、256 の条件に対応するスライスに分割されています。ファイアウォール フィルタを設定する場合、メモリ スライス内のすべての条件が同じタイプのフィルタに含まれる必要があり、同じ方向に適用されます。フィルターをコミットするとすぐにメモリ スライスが予約されます。たとえば、ポート フィルタを作成して入力方向に適用すると、イングレス ポート フィルタのみを格納するメモリ スライスが予約されます。1 つのイングレス ポート フィルタのみを作成して適用し、そのフィルタに 1 つの条件しかない場合、このスライスの残りの部分は使用されず、他のフィルタ タイプでは使用できません。

注:

EVPN 環境では、QFX5200 シリーズ スイッチは最大 512 個の TCAM エントリーをサポートします。

たとえば、256 個のイングレス ポート フィルターを作成して適用し、それぞれ 1 つの用語を使用して、1 つのメモリ スライスを埋めます。これにより、イングレス フィルターで使用可能なメモリ スライスが 2 つ増えます。(この場合、イングレス条件の最大数は 768 です)。その後、1 つの条件でイングレス レイヤー 3 フィルターを作成して適用すると、別のメモリ スライスがイングレス レイヤー 3 フィルター用に予約されます。以前と同様に、スライスの残りの部分は使用されず、さまざまなフィルタタイプでは使用できません。現在、任意のイングレス フィルター タイプに使用可能なメモリ スライスが 1 つあります。

次に、VLAN イングレス フィルターを作成して適用することを想定しています。最後のメモリ スライスは、VLAN イングレス フィルター用に予約されています。イングレス フィルターのメモリ割り当て(フィルタごとに 1 つの条件を想定した場合)は次のとおりです。

  • スライス1: 256 個のイングレス ポート フィルターで満たされています。これ以上イングレス ポート フィルターをコミットすることはできません。

  • スライス2: 1 つのイングレス レイヤー 3 フィルターと 1 つの条件が含まれています。イングレスレイヤー3フィルターでは、さらに255の条件をコミットできます。

  • スライス3: 1 つの条件を持つ 1 つのイングレス VLAN フィルターが含まれています。イングレスVLANフィルターでは、さらに255の条件をコミットできます。

別の例をご紹介します。フィルタごとに 1 つの条件を使用して 257 個のイングレス ポート フィルタを作成すると仮定します。つまり、単一のメモリ スライスに対応できる条件よりも 1 つ多くの条件を作成します。フィルターを適用して設定をコミットすると、フィルター メモリの割り当ては次のようになります。

  • スライス1: 256 個のイングレス ポート フィルターで満たされています。これ以上イングレス ポート フィルターを適用することはできません。

  • スライス2: 1 つのイングレス ポート フィルターが含まれています。イングレス ポート フィルターには、さらに 255 の条件を適用できます。

  • スライス3: このスライスには割り当てされていません。任意のタイプ(ポート、レイヤー 3、VLAN)のイングレス フィルターに 256 の条件を作成して適用できますが、すべてのフィルターは同じタイプである必要があります。

注:

上記の例はすべて、エグレス フィルターにも適用されます。この違いは、IPv4 および IPv6 レイヤー 3 フィルターが別々のスライスに保存されるため、4 つのメモリ スライスが使用される点です。エグレス フィルターのメモリ スライスはイングレス フィルターのメモリ スライスと同じサイズであるため、フィルターの最大数は同じになります(1024)。

フィルタの設定が多すぎるのを回避する

これらのいずれかの制限に違反し、準拠していない設定をコミットした場合、Junos OS は過度のフィルターを拒否します。たとえば、300 個のイングレス ポート フィルターと 300 個のイングレス レイヤー 3 フィルターを設定し、設定をコミットしようとすると、Junos OS は次の処理を実行します(フィルタごとに 1 つの条件を前提とします)。

  • 300 個のイングレス ポート フィルターを受け入れます(2 つのメモリ スライスに格納)。

  • 処理する最初の 256 イングレス レイヤー 3 フィルターを受け入れます(3 番目のメモリ スライスに格納)。

  • 残りの 44 イングレス レイヤー 3 フィルターを拒否します。

注:

デバイスを再起動する前に、過剰なフィルタ(残りの44イングレスレイヤー3フィルターなど)を設定から削除してください。非準拠の設定を持つデバイスを再起動した場合、再起動後にインストールされたフィルターを予測するのは困難です。上記の例を使用すると、最初に拒否された 44 個のイングレス レイヤー 3 フィルターがインストールされ、最初に受け入れられたポート フィルターのうち 44 個が拒否される場合があります。

TCAM エラーメッセージの設定

TCAM スペースがなく、ファイアウォール フィルターをインストールできない場合は、次の方法でエラー メッセージを送信するようにスイッチを設定できます。

  • 入力 set system syslog file filename pfe emergency すると、syslog ファイルにエラー メッセージが送信されます。

  • を入力 set system syslog console pfe emergency して、コンソールにエラー メッセージを送信します。

  • を入力 set system syslog user user-login pfe emergency して、SSH ターミナル セッションにエラー メッセージを送信します。

プロファイルを使用してファイアウォール フィルターの規模を拡大する方法

ファイアウォール フィルタを設定する場合、ファイアウォール フィルタ設定のステートメントという用語は、幅広い一致条件セットを提供します。照合条件は、パケットが一致と見なすために含める必要があるフィールドと値です。要件に基づいて、1 つまたは複数の照合条件を定義できます。パケットがフィルタと一致すると、デバイスは条件で指定されたアクションを実行します。一般的に、ファイアウォール フィルターの拡張性は、使用する照合条件の数によって異なります。

一般的な導入シナリオでは、一致条件のサブセットのみを使用する必要があります。プロファイルの導入により、使用可能なファイアウォール フィルター プロファイルの 1 つを事前定義された照合条件で使用して、最大スケールを達成するために使用するファイアウォール フィルターの数を増やすことができます。

ファミリー inet およびイーサネットベースのスイッチング用にファイアウォール フィルター プロファイルを設定できます。[システム パケット転送オプション ファイアウォールの編集] 階層レベルでプロファイル設定ステートメントを使用して、ファイアウォール フィルタ プロファイルを設定します。

注:

プロファイルを選択するか、プロファイル間を移動してファイアウォール フィルター プロファイルを変更すると、パケット転送エンジンが再起動され、トラフィック フローが中断します。

次の表に、ファイアウォール フィルター プロファイルと、inet およびイーサネット ベースのスイッチングに関する定義済みの一致条件を示します。

表 2: ファイアウォール フィルタ プロファイルと照合条件
ファミリー タイプ ファイアウォール フィルター プロファイル 照合条件(事前定義) 設定階層
inet(IPv4/IPv6) profile1

ip-source-address

ip-source-prefix-list

プロトコル

次のヘッダー

送信元ポート

宛先ポート

最初のフラグメント

is-fragment

icmp コード

icmp タイプ

tcp-established

tcp-initial

tcp フラグ

[edit system packet-forwarding-options firewall profiles inet profile1]
profile2

ip-source-address

ip6-source-address

ip-source-prefix-list

ip6-source-prefix-list

プロトコル

次のヘッダー

送信元ポート

宛先ポート

最初のフラグメント

is-fragment

icmp コード

icmp タイプ

tcp-established

tcp-initial

tcp フラグ

Dscp

優先 順位

トラフィッククラス

Ttl

ホップ制限

[edit system packet-forwarding-options firewall profiles inet profile2]
イーサネットスイッチング profile1

source-mac-address

宛先macアドレス

[edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
プロファイル2

source-mac-address

宛先macアドレス

イーサタイプ

ip-source-address

ip-source-prefix-list

ip-protocol

送信元ポート

宛先ポート

次のヘッダー

[edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
注:

ファイアウォール フィルター プロファイルを選択する場合は、定義済みの一致条件サブセットの一部である照合条件を適用する必要があります。ファイアウォール フィルター プロファイルの定義済み照合条件サブセットの一部ではない照合条件を適用すると、コミット エラーが発生します。たとえば、inet フィルターを選択profile1し、定義済みの照合条件の一部ではない照合条件としてip-destination-address適用すると、コミット操作中に、一致が inet フィルターのprofile1一部ではないことを示すip-destination-addressエラーが表示されます。

CLI コマンドを show pfe filter hw profile-info 使用して、ファイアウォール フィルター プロファイルの詳細を表示できます。

ファイアウォール フィルターの拡張性を最大限に高めるためには、インターフェイス レベル(レイヤー 2 またはレイヤー 3)フィルターを適用し、異なるパケット処理パイプラインのインターフェイス全体にフィルターを均等に分散することをお勧めします。インターフェイスの各セットは、これらのインターフェイスで受信したパケットを処理するパケット処理パイプラインにマッピングされます。この場合、ファイアウォール フィルターは、それぞれのインターフェイスにマッピングされたパケット処理パイプラインの TCAM メモリ 空間にインストールされます。

パケットがインターフェイスに入ると、ファイアウォール フィルタはエグレス インターフェイスから出る前に、照合条件に基づいてパケット処理パイプライン内のパケットに対してフィルタリング アクションを実行します。複数のパケット処理パイプラインの場合、パケットが複数のインターフェイスを介してデバイスに入ると、ファイアウォール フィルターは、それぞれのパケット処理パイプラインを通過するパケットに対してフィルタリング アクションを実行します。異なるパケット処理パイプラインのインターフェイスレベルフィルターをインターフェイス全体に均等に分散すると、より優れた拡張性が得られます。

CLI コマンドを show pfe filter hw port-pipe-info 使用して、各物理インターフェイスがマッピングされているパケット処理パイプラインの詳細を表示できます。この CLI コマンドの出力は、パケット処理パイプラインにインストールされたファイアウォール フィルターに関する情報も提供します。この情報を使用して、ファイアウォール フィルターを計画し、パイプライン全体に分散して、最大限の拡張性を実現できます。

CLI コマンドの次の show pfe filter hw port-pipe-info 出力例は、各物理インターフェイスがマッピングされているパケット処理パイプラインの詳細を示しています。

ポリサーがエグレス フィルターを制限する方法

一部のスイッチでは、設定するエグレス ポリサーの数が、許可されるエグレス ファイアウォール フィルタの総数に影響を与える可能性があります。すべてのポリサーには、1024 エントリ TCAM で 2 つのエントリを取る 2 つの暗黙的なカウンターがあります。これらは、ファイアウォール フィルター条件でアクション修飾子として構成されているカウンターを含む、カウンターに使用されます。(ポリサーは、1 つはグリーン パケットに使用され、1 つはポリサー タイプに関係なく非グリーン パケットに使用されるため、2 つのエントリーを消費します。TCAM がいっぱいになると、カウンタの条件を持つエグレス ファイアウォール フィルタをコミットできなくなります。たとえば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンタのすべてのメモリ エントリーが使用されます。設定ファイルの後半で、カウンタも含む条件を含むエグレス ファイアウォール フィルタを追加する 場合、カウンタ に使用可能なメモリ領域がないため、これらのフィルタのどの条件もコミットされません。

その他の例を以下に示します。

  • 合計 512 個のポリサーとカウンターを含むエグレス フィルターを設定することを想定しています。設定ファイルの後半には、10個の条件を持つ別のエグレスフィルタが含まれています。そのうちの1つはカウンターアクション修飾子を持っています。カウンターに十分な TCAM スペースがないため、このフィルター内の条件はいずれもコミットされません。

  • 合計 500 個のポリサーを含むエグレス フィルターを設定すると、1,000 の TCAM エントリが使用されると仮定します。設定ファイルの後半には、次の 2 つのエグレス フィルターを含めます。

    • 20の条件と20のカウンターでAをフィルタリングします。すべてのカウンターに十分な TCAM スペースがあるため、このフィルター内のすべての条件がコミットされます。

    • フィルター B はフィルター A の後に来て、5 つの条件と 5 つのカウンターがあります。すべてのカウンタに十分なメモリ領域がないため、このフィルタの条件はいずれもコミットされません。(5 つの TCAM エントリーが必要ですが、使用可能なのは 4 つだけです)。

この問題が発生するのを防ぐには、ポリサーを含む条件よりも、カウンター アクションを使用するエグレス ファイアウォール フィルタ条件が設定ファイルの早い段階に配置されるようにします。この状況では、暗黙的なカウンターに十分な TCAM スペースがなくても、Junos OS はポリサーをコミットします。たとえば、次のことを想定します。

  • カウンター アクションを使用した 1024 個のエグレス ファイアウォール フィルタ条件があります。

  • 設定ファイルの後半には、10の条件を持つエグレスフィルターがあります。どの用語にもカウンターはありませんが、ポリサーアクション修飾子を持つ用語があります。

ポリサーの暗黙的なカウンターのための十分なTCAMスペースがないにもかかわらず、10の条件でフィルターをコミットできます。ポリサーはカウンターなしでコミットされます。

フィルター固有のポリサーの計画

ポリサーをフィルターに固有に設定できます。つまり、ポリサーが何回参照された場合でも、Junos OS は 1 つのポリサー インスタンスのみを作成します。これを行うと、レート制限が集約的に適用されるため、1 Gbps を超えるトラフィックを破棄し、そのポリサーを 3 つの異なる条件で参照するようにポリサーを設定すると、フィルタで許可される総帯域幅は 1 Gbps になります。ただし、フィルター固有のポリサーの動作は、ポリサーを参照するファイアウォール フィルター条件が TCAM(三元コンテンツ アドレッシング メモリ)にどのように格納されるかによって影響を受けます。フィルタ固有のポリサーを作成し、複数のファイアウォール フィルタ条件で参照する場合、ポリサーは、条件が異なる TCAM スライスに格納されている場合、予想を超えるトラフィックを許可します。たとえば、1 Gbps を超えるトラフィックを破棄するようにポリサーを設定し、そのポリサーを 3 つの異なる用語で参照し、3 つの個別のメモリ スライスに格納されている場合、フィルターで許可される総帯域幅は 1 Gbps ではなく 3 Gbps です。

この予期しない動作が発生しないようにするには、上記の TCAM スライスに関する情報を使用して設定ファイルを整理し、特定のフィルター固有のポリサーを参照するすべてのファイアウォール フィルタ条件が同じ TCAM スライスに保存されるようにします。

フィルターベースの転送の計画

ファイアウォール フィルターと仮想ルーティング インスタンスを使用して、パケットがネットワークを移動するためのさまざまなルートを指定できます。フィルターベース転送と呼ばれるこの機能を設定するには、フィルターと照合条件を指定し、パケットの送信先となる仮想ルーティング インスタンスを指定します。この方法で使用されるフィルターは、追加の TCAM でもメモリを消費します。詳細については、「FIP スヌーピング、FBF、MVR フィルターの拡張性について」を参照してください。このトピックの 「FBF フィルター VFP TCAM の使用」 セクションでは、フィルターベースの転送を使用する場合にサポートされるフィルターの数について具体的に説明します。

注:

フィルターベースの転送は、一部のジュニパー製スイッチの IPv6 インターフェイスでは機能しません。

リリース履歴テーブル
リリース
説明
19.4R2-EVO
Junos OS Evolvedリリース19.4R2以降、階層レベルのステートメントの下eracl-profileにオプションを含めてegress-scale、QFX5220で最大2,000のエグレスファイアウォールフィルターを[edit system packet-forwarding-option firewall]設定できます。
19.1R1
Junos OSリリース19.1R1以降、オプションを使用して、QFX5110のエグレスVLANファイアウォールフィルターの数を egress-to-ingress 1024から2048まで増やすことができます。