Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

作成するファイアウォールフィルターの数を計画する

サポートされるファイアウォールフィルターの最大数

表 1は、各スイッチがサポートするファイアウォールフィルターの最大数を示しています。集約にはフィルターの総数が適用されます。たとえば、QFX5200 および QFX5210-64C スイッチでは、出力方向に、入力方向と1024条件に合計768用語を適用できます。スイッチが実際にサポートするフィルター数は、フィルターがどのようにして、三項コンテンツアドレスメモリ (TCAM) に格納されているかによって異なります。

Junos OSリリース20.3R1以降を実行しているQFX5120-48YおよびEX4650スイッチの場合、コマンドを有効にして、iPv6の場合はループバック フィルター条件のデフォルトシステム制限を [set chassis loopback-firewall-optimization 、IPv4では1,152の用語に設定できます。

スイッチですでにプログラムされているフィルタの数を確認するには、 コマンドを入力 show pfe filter hw summary します。スイッチQFX5220、シェル モードを使用してフィルターの数を確認します。シェルモードに入るには、 start shellコマンドを入力cli-pfeして、pfe CLI モードにアクセスするプロンプトに入力します。

表 1: サポートされるファイアウォールフィルターの最大数
フィルタタイプ QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

入口

768

1536

1536

6144

768

8192

エグレス

1024

1024

2048

1024または2048

1024

512 (QFX5220)

8192

ファイアウォール フィルター数を増やす方法

デバイスのファイアウォール フィルターの数を増やすには、以下の方法があります。

  • (QFX5220)512 を超えるエグレス VLAN フィルターを作成するには、1 つ目の VLAN ID を 6、2 つ目の VLAN ID を 7、3 つ目の VLAN ID を 5 と指定します。構成した各 VLAN について、番号は1ずつ増加し、VLAN ID 1029 から続行されます。512送信 VLAN フィルターの数が少なく、そのフィルターの条件の総数が512を超えないようにする場合は、VLAN Id に同じように番号を付ける必要があります。それ以外の場合、許可される条件の総数は1024未満になり、512のまま維持されます。

  • Junos OS リリース 19.1 R1 から開始すると、 egress-to-ingressオプションを使用して、QFX5110 上の送信 VLAN ファイアウォールフィルター数を1024から2048に増やすことができます。階層のfrom[edit firewall]ステートメントの下にこのオプションを含めます。

    Junos OS Evolved Release 19.4R2 から、階層レベルの ステートメントの下に オプションを含めて、QFX5220 上で最大 2,000 のエグレス ファイアウォール フィルターを設定 egress-scaleeracl-profile[edit system packet-forwarding-option firewall] できます。この機能は、送信方向 (デバイスから抜けるルーティングトラフィック) でのみサポートされています。

    この機能を設定する場合は、以下の点に考慮してください。

    • 同じ一致条件のフィルタを異なるエグレス VLAN またはレイヤー 3 インターフェイスに適用することはできません。

    • GREインターフェイスにエグレス拡張を適用することはできません。

    • パケットが異なる指定を行う複数のフィルタに一致し、異なるエグレス インターフェイスに適用すると、予期しない動作が発生する可能性があります。

    • このオプションはグローバル モード egress-scale でのみ設定できます。新しい cli 設定はグローバル モードで提供されます。ユーザーがエグレススケール(イングレスにエグレス)モードで ERACL グループを設定すると、IFP tcam スペースを使用せずに、ERACL を古い方法で設定できません。つまり、混合モードの ERACL はサポートされません。

TCAM

三項コンテンツアドレスメモリ (TCAM) ファイアウォールフィルター用の要素は、256の条件を満たすスライスに分割されています。ファイアウォールフィルターを構成する場合、メモリスライス内のすべての条件が同じタイプのフィルターになっていて、同じ方向に適用されている必要があります。メモリスライスは、フィルターをコミットすると同時に予約されます。たとえば、ポートフィルターを作成して入力方向に適用した場合、メモリスライスは受信ポートフィルターのみを格納するように予約されます。受信ポートフィルターを1つだけ作成して適用し、そのフィルターが条件を1つしか持っていない場合、このスライスの残りは使用されず、他のフィルタタイプでは使用できません。

注:

EVPN 環境では、最大 512 QFX5200 TCAM エントリーをサポートします。

たとえば、それぞれ1つの条件で256のイングレスポートフィルタを作成して適用して、1つのメモリスライスが満たされたとします。これにより、入口フィルターで利用可能なメモリスライスが2つ増えます。(この場合、受信する語句の最大数は768です)。その後、1つの条件を持つ入口レイヤー3フィルタを作成して適用すると、別のメモリースライスが受信レイヤー3フィルタ用に予約されます。以前と同様に、残りのスライスは使用されておらず、さまざまなフィルタタイプでは使用できません。現在では、入口フィルタタイプには1つのメモリスライスを使用できます。

ここでは、VLAN の入口フィルターを作成して適用することを前提としています。最終的なメモリスライスは、VLAN 受信フィルター用に予約されています。受信フィルタのメモリー割り当て (フィルタごとに1つの条件を想定) は以下のとおりです。

  • スライス 1: 256入力ポートフィルターを使用します。受信ポートフィルターをこれ以上コミットすることはできません。

  • スライス 2: 1つの条件で1つの受信レイヤー3フィルタを保持します。受信レイヤー3フィルタには、さらに255をコミットできます。

  • スライス 3: 1つの条件を持つ受信 VLAN フィルターが1つ含まれています。受信 VLAN フィルターに255をさらにコミットできます。

もう1つの例を示します。フィルタごとに 1 つの条件で 257 のイングレス ポート フィルターを作成すると想定します。つまり、単一のメモリ スライスに対応できる条件は 1 つ以上作成します。フィルターを適用して設定をコミットすると、フィルタメモリの割り当ては以下のようになります。

  • スライス 1: 256入力ポートフィルターを使用します。これ以上の受信ポートフィルターを適用することはできません。

  • スライス 2: 受信ポートフィルターが1つ含まれています。受信ポートフィルターに255をさらに適用できます。

  • スライス 3: このスライスは割り当てられていません。任意のタイプ (ポート、レイヤー3、または VLAN) の入口フィルターに、256の条件を作成して適用できますが、すべてのフィルターが同じタイプである必要があります。

注:

上記の例はすべて、出力フィルターにも適用されます。この違いは、IPv4 と IPv6 レイヤー3フィルタが別々のスライスに格納されているため、4つのメモリスライスが使用されるという点です。送信フィルターのメモリスライスは、入口フィルターと同じサイズであるため、フィルターの最大数は同じ (1024) になります。

設定するフィルターが多すぎないようにする

これらの制限のいずれかに違反していて、準拠していない構成をコミットした場合、Junos OS は過剰なフィルターを拒否します。たとえば、300受信ポートフィルターと300受信レイヤー3フィルターを構成し、設定をコミットしようとすると、Junos OS は次のことを実行します (フィルターごとに1つの条件を想定しています)。

  • 300受信ポートフィルター (それらを2つのメモリスライスに格納) を受け入れます。

  • 最初の256受信レイヤー3フィルタ (プロセスを3個目のメモリスライスに格納) を受け入れます。

  • 残りの44受信レイヤー3フィルターを拒否します。

注:

デバイスを再起動する前に、過剰なフィルター (たとえば、残りの44受信レイヤー3フィルタなど) を構成から削除していることを確認してください。非準拠の設定のデバイスを再起動すると、再起動後にどのフィルターが設置されたのか予測が難しになります。上記の例を使用すると、最初に拒否された44受信レイヤー3フィルターがインストールされ、最初に受け入れられたポートフィルターの44が拒否されることがあります。

TCAM エラーメッセージを設定しています

TCAM スペースが不足し、ファイアウォール フィルターをインストールできない場合、次の方法でエラー メッセージを送信するスイッチを設定できます。

  • エラー set system syslog file filename pfe emergencyメッセージを syslog ファイルに送信する場合に入力します。

  • エラー set system syslog console pfe emergencyメッセージをコンソールに送信する場合に入力します。

  • SSH set system syslog user user-login pfe emergencyターミナルセッションにエラーメッセージを送信するには、ここを入力してください。

ポリサーが送信フィルターを制限する方法

一部のスイッチでは、設定した送信ポリサーの数が、許容される送信ファイアウォールフィルターの合計数に影響を与えることがあります。各ポリサーには、1024エントリ TCAM で2つのエントリを取得する2つの暗黙のカウンターがあります。これらは、ファイアウォールフィルタ条件でアクション修飾子として設定されたカウンターなど、カウンターに使用されます。(ポリサーは、緑のパケットに使用されているため、2つのエントリを使用します。また、ポリサータイプに関係なく、非緑パケットに使われます)。TCAM がいっぱいになると、カウンターを使用した条件を持つ送信ファイアウォールフィルターをコミットできなくなります。たとえば、512送信ポリサーを構成してコミットした場合 (2 色、3色、またはその両方の種類のポリサーの組み合わせ)、カウンターのメモリエントリすべてが使用されます。構成ファイルで後から追加の送信ファイアウォールフィルターを挿入する場合は、カウンターに関する利用可能なメモリ領域がないため、これらのフィルターのいずれの条件もコミットされません。

以下にその他の例をいくつか示します。

  • 合計512ポリサーとカウンターを含まない出力フィルターを構成すると仮定します。あとで設定ファイルを使用する場合、10個の条件を持つもう1つの出力フィルタ (counter action 修飾子が含まれます) を含めることができます。カウンターに十分な TCAM スペースがないため、このフィルターの条件はどれもコミットされていません。

  • 合計500ポリサーを含む出力フィルターを構成しているため、1000 TCAM エントリが使用されていることを前提としています。設定ファイルの後に、以下の2つの出力フィルターを指定します。

    • 20個の条件と20個のカウンターを使用してフィルターを適用します。すべてのカウンターに十分な TCAM 空間があるため、このフィルターの条件はすべてコミットされます。

    • Filter B はフィルター A の後にあり、5つの用語と5つのカウンターを持っています。すべてのカウンターに十分なメモリ領域がないため、このフィルターの条件はどれもコミットされません。(5 つの TCAM エントリーが必要ですが、使用可能なのは4つだけです)。

この問題を回避するには、送信ファイアウォールフィルター条件とカウンタアクションを使用している場合に、ポリサーを含む用語よりも先に構成ファイルに含める必要があります。このような状況では、Junos OS は、暗黙的カウンターのための TCAM 空間が十分にない場合でも、ポリサーをコミットします。たとえば、以下のような場合を想定します。

  • 1024送信ファイアウォールフィルタ条件にカウンタアクションが含まれています。

  • 設定ファイルの後半では、10個の条件を持つ送信フィルターを使用しています。どの条件にもカウンターはありませんが、1つはポリサーアクション修飾子を持っています。

フィルターを10個の条件でコミットするには、ポリサーの暗黙的なカウンターに十分な TCAM スペースがない場合でも、問題はありません。ポリサーは、カウンターなしでコミットされます。

フィルタ固有のポリサーを計画する

フィルター固有の設定を行うように、ポリサーを構成することができます。つまり、Junos OS は、ポリサーの参照回数に関係なく、1つのポリサーインスタンスだけを作成します。これを行う場合、レート制限は集約的に適用されます。したがって、1 Gbps を超えるトラフィックを破棄し、3 つの異なる条件でそのポリシーを参照するようにポリシーを設定すると、フィルタで許可される帯域幅の合計は 1 Gbps になります。ただし、フィルタ固有のポリサーの動作は、ポリサーを参照するファイアウォールフィルター条件が、三項コンテンツアドレス指定メモリ (tcam) に保存される方法によって異なります。フィルタ固有のポリサー er を作成し、複数のファイアウォールフィルタ条件でそれを参照すると、その条件が異なる TCAM スライスに格納されている場合、ポリサーで予期しているよりも多くのトラフィックを許可します。たとえば、1 Gbps を超えるトラフィックを破棄し、3 つの異なる条件でポリシーを 3 つの異なる条件で参照するようにポリシーを設定した場合、フィルタで許容される帯域幅の合計は 1 Gbps ではなく 3 Gbps になります。

この予期しない現象が発生しないようにするには、上記の TCAM slice に関する情報を使用して設定ファイルを整理し、指定したフィルタ固有のポリサーを参照するすべてのファイアウォールフィルタ条件が同じ TCAM スライスに格納されるようにします。

フィルタベースの転送の計画

仮想ルーティングインスタンスとともにファイアウォールフィルターを使用して、ネットワーク内でパケットに対して異なるルートを指定することができます。フィルターベース転送と呼ばれるこの機能を設定するには、フィルターと一致条件を指定し、パケットの送信先として仮想ルーティング インスタンスを指定します。この方法で使用されるフィルターは、追加の TCAM でもメモリを消費します。詳細については、FIP スヌーピング、FBF、MVR フィルターの拡張性に関するトピックを参照してください。セクション FBF フィルター VFP TCAM このトピックでは、フィルターベースの転送を使用する場合にサポートされるフィルターの数について具体的に説明します。

注:

フィルターベースの転送は、いくつかの Juniper スイッチで行われる IPv6 インターフェイスでは機能しません。

リリース履歴テーブル
リリース
説明
19.4R2-EVO
Junos OS Evolved Release 19.4R2 から、階層レベルの ステートメントの下に オプションを含めて、QFX5220 上で最大 2,000 のエグレス ファイアウォール フィルターを設定 egress-scaleeracl-profile[edit system packet-forwarding-option firewall] できます。
19.1R1
Junos OS リリース 19.1 R1 から開始すると、 egress-to-ingressオプションを使用して、QFX5110 上の送信 VLAN ファイアウォールフィルター数を1024から2048に増やすことができます。