방화벽 필터 문제 해결
다음 정보를 사용하여 방화벽 필터 구성 문제를 해결하십시오.
QFX10000 스위치 문제 해결
이 섹션에서는 QFX10000 스위치와 관련된 문제에 대해 설명합니다.
- 서로 다른 레이어에 대한 일치 조건을 결합하지 마십시오
- 레이어 2 패킷은 방화벽 필터로 폐기할 수 없습니다.
- Protect-RE(루프백) 방화벽 필터는 EM0 인터페이스에 적용된 패킷을 필터링하지 않습니다.
서로 다른 레이어에 대한 일치 조건을 결합하지 마십시오
QFX10000 스위치에서 레이어 2와 필터의 다른 레이어에 대한 일치 조건을 결합하지 family ethernet-switching
마십시오. (예를 들어, 동일한 필터의 MAC 주소 및 IP 주소와 일치하는 조건을 포함하지 마십시오.) 이렇게 하면 필터가 성공적으로 커밋되지만 작동하지 않습니다. 또한 다음과 같은 로그 메시지가 표시됩니다. L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.
레이어 2 패킷은 방화벽 필터로 폐기할 수 없습니다.
문제
설명
LLDP(Link Layer Discovery Protocol) 및 BPDU(Bridge Protocol Data Unit)와 같은 L2(Layer 2) 제어 패킷은 방화벽 필터를 사용하여 삭제할 수 없습니다.
솔루션
L2 제어 패킷에 DDoS(Distributed Denial-of-Service) 보호를 구성하고 총 폴리서 대역폭 및 버스트 값을 최소값 1로 설정합니다. 예를 들어
[edit system ddos-protection protocols protocol name]
user@host# set aggregate bandwidth 1
[edit system ddos-protection protocols protocol name]
user@host# set aggregate burst 1
다른 스위치 문제 해결
이 섹션에서는 QFX10000 스위치 이외의 QFX 스위치와 관련된 문제에 대해 설명합니다. 이 정보는 OCX1100 스위치 및 EX4600 스위치에도 적용됩니다.
- 방화벽 필터 구성이 TCAM 메시지에서 사용 가능한 공간이 없음을 반환함
- 이전에 삭제된 패킷 수 필터링
- 매칭 패킷은 계산되지 않음
- 필터 편집 시 카운터 재설정
- 손실 우선 순위 및 폴리서 작업을 동일한 용어에 포함할 수 없습니다.
- QFX 스위치에서 시작되는 특정 트래픽을 송신 필터할 수 없음
- 방화벽 필터 일치 조건이 Q-in-Q 터널링에서 작동하지 않음
- 프라이빗 VLAN을 사용하는 송신 방화벽 필터
- L2PT 트래픽의 송신 필터링이 지원되지 않음
- 특정 상황에서 BGP 패킷을 삭제할 수 없음
- 폴리서에 대한 잘못된 통계
- 폴리서는 송신 필터를 제한할 수 있습니다.
방화벽 필터 구성이 TCAM 메시지에서 사용 가능한 공간이 없음을 반환함
문제
설명
방화벽 필터 구성이 사용 가능한 TCAM(Ternary Content Addressable Memory) 공간을 초과하면 시스템에서 다음 syslogd
메시지를 반환합니다.
No space available in tcam. Rules for filter filter-name will not be installed.
포트, VLAN 또는 레이어 3 인터페이스에 적용된 방화벽 필터가 TCAM 테이블에서 사용 가능한 공간을 초과하면 커밋 작업 중에 스위치가 이 메시지를 반환합니다. 필터는 적용되지 않지만 방화벽 필터 구성에 대한 커밋 작업은 CLI 모듈에서 완료됩니다.
솔루션
방화벽 필터 구성이 사용 가능한 TCAM 테이블스페이스의 양을 초과하는 경우, 필터에 대한 공간 요구 사항이 TCAM 테이블의 사용 가능한 공간을 초과하지 않도록 더 적은 필터 용어로 새 방화벽 필터를 구성해야 합니다.
다음 절차 중 하나를 수행하여 문제를 해결할 수 있습니다.
필터와 해당 바인딩을 삭제하고 더 작은 새 방화벽 필터를 동일한 바인딩에 적용하려면 다음을 수행합니다.
필터와 포트, VLAN 또는 레이어 3 인터페이스에 대한 바인딩을 삭제합니다. 예:
[edit] user@switch# delete firewall family ethernet-switching filter ingress-vlan-rogue-block user@switch# delete vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# delete vlans employee-vlan filter input ingress-vlan-rogue-block
변경 사항을 커밋합니다.
[edit] user@switch# commit
사용 가능한 TCAM 공간의 양을 초과하지 않는 더 적은 용어로 더 작은 필터를 구성합니다. 예:
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block ...
새 방화벽 필터를 포트, VLAN 또는 레이어 3 인터페이스에 적용(바인딩)합니다. 예:
[edit] user@switch# set vlans employee-vlan description "filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
변경 사항을 커밋합니다.
[edit] user@switch# commit
새 방화벽 필터를 적용하고 기존 바인딩을 덮어쓰지만 원래 필터는 삭제하지 않으려면:
원래 필터보다 더 적은 용어로 방화벽 필터를 구성합니다.
[edit] user@switch# set firewall family ethernet-switching filter new-ingress-vlan-rogue-block...
방화벽 필터를 포트, VLAN 또는 레이어 3 인터페이스에 적용하여 원래 필터의 바인딩을 덮어씁니다. 예:
[edit] user@switch# set vlans employee-vlan description "smaller filter to block rogue devices on employee-vlan" user@switch# set vlans employee-vlan filter input new-ingress-vlan-rogue-block
VLAN당 방향당 하나의 방화벽 필터를 적용할 수 있기 때문에 VLAN에 대한 원래 방화벽 필터의 바인딩을 새 방화벽 필터
new-ingress-vlan-rogue-block
로 덮어씁니다.변경 사항을 커밋합니다.
[edit] user@switch# commit
원래 필터는 삭제되지 않으며 구성에서 계속 사용할 수 있습니다.
이전에 삭제된 패킷 수 필터링
문제
설명
물리적 인터페이스에 대해 동일한 방향으로 두 개 이상의 필터를 구성하고 필터 중 하나에 카운터가 포함된 경우 다음 상황이 적용되면 카운터가 올바르지 않습니다.
먼저 패킷에 적용되는 필터를 구성하여 특정 패킷을 삭제합니다. 예를 들어, 10.10.1.0/24 주소로 전송된 패킷을 수락하고 다른 주소로 전송된 패킷은 암묵적으로 폐기하는 VLAN 필터가 있다고 가정해 보겠습니다. 출력 방향으로 VLAN에 필터를
admin
적용하면 인터페이스 xe-0/0/1이 해당 VLAN의 멤버가 됩니다.첫 번째 필터에 의해 손실된 패킷을 수락하고 계산하도록 후속 필터를 구성합니다. 이 예에서는 출력 방향의 xe-0/0/1에도 적용되는 192.168.1.0/24 주소로 전송된 패킷을 수락하고 계산하는 포트 필터가 있습니다.
송신 VLAN 필터가 먼저 적용되고 192.168.1.0/24 주소로 전송된 패킷을 올바르게 버립니다. 송신 포트 필터는 다음에 적용되며 폐기된 패킷을 일치하는 패킷으로 계산합니다. 패킷은 전달되지 않지만 송신 포트 필터에 의해 표시되는 카운터가 올바르지 않습니다.
필터가 적용되는 순서는 다음과 같이 필터가 적용되는 방향에 따라 달라집니다.
수신 필터:
포트(레이어 2) 필터
VLAN 필터
라우터(레이어 3) 필터
송신 필터:
라우터(레이어 3) 필터
VLAN 필터
포트(레이어 2) 필터
솔루션
이는 예상된 동작입니다.
매칭 패킷은 계산되지 않음
필터 편집 시 카운터 재설정
문제
설명
방화벽 필터 용어를 편집하는 경우, 필터에서 참조하는 폴리서에 대한 암시적 카운터를 포함하여 동일한 필터의 모든 용어와 연관된 모든 카운터의 값이 0으로 설정됩니다. 다음과 같은 예를 고려하십시오.
필터에 ,
term2
, 및term3
가 있고term1
각 용어에 이미 일치하는 패킷을 계산한 카운터가 있다고 가정합니다. 어떤 식으로든 용어를 편집하면 모든 용어에 대한 카운터가 0으로 재설정됩니다.필터에 및
term2
가 있다고term1
가정합니다. 또한 에는 작업 수정자가 있고 폴리서의 암시적 카운터가 이미 1000개의 일치하는 패킷을 계산했다고 가정합니다term2
policer
. 어떤 식으로든 편집term1
term2
하는 경우, 에서term2
참조하는 폴리서에 대한 카운터가 0으로 재설정됩니다.
솔루션
이는 예상된 동작입니다.
손실 우선 순위 및 폴리서 작업을 동일한 용어에 포함할 수 없습니다.
QFX 스위치에서 시작되는 특정 트래픽을 송신 필터할 수 없음
방화벽 필터 일치 조건이 Q-in-Q 터널링에서 작동하지 않음
문제
설명
또는 dot1q-user-priority
의 일치 조건을 dot1q-tag
포함하는 방화벽 필터를 생성하고 서비스 VLAN에 참여하는 트렁크 포트의 입력에 필터를 적용하는 경우, Q-in-Q EtherType이 0x8100되지 않으면 일치 조건이 작동하지 않습니다. (Q-in-Q 터널링이 활성화되면 트렁크 인터페이스는 서비스 프로바이더 또는 데이터센터 네트워크의 일부로 가정되므로 서비스 VLAN에 참여합니다.)
솔루션
이는 예상된 동작입니다. Q-in-Q EtherType을 0x8100로 설정하려면 계층 수준에서 문을 [edit ethernet-switching-options]
입력합니다set dot1q-tunneling ethertype 0x8100. 또한 동일한 Ethertype을 사용하도록 링크의 다른 쪽 끝을 구성해야 합니다.
프라이빗 VLAN을 사용하는 송신 방화벽 필터
문제
설명
출력 방향으로 방화벽 필터를 기본 VLAN에 적용하는 경우, 아래와 같이 트래픽이 기본 VLAN 태그 또는 격리된 VLAN 태그와 함께 송신될 때 필터는 기본 VLAN의 멤버인 보조 VLAN에도 적용됩니다.
보조 VLAN 트렁크 포트에서 프로미스큐어스 포트(트렁크 또는 액세스)로 전달된 트래픽
분리된 VLAN을 PVLAN 트렁크 포트로 전달하는 보조 VLAN 트렁크 포트에서 전달된 트래픽입니다.
무차별 포트(트렁크 또는 액세스)에서 보조 VLAN 트렁크 포트로 전달된 트래픽
PVLAN 트렁크 포트에서 전달된 트래픽입니다. 보조 VLAN 트렁크 포트에
커뮤니티 포트에서 무차별 포트(트렁크 또는 액세스)로 전달된 트래픽
출력 방향으로 방화벽 필터를 기본 VLAN에 적용하는 경우, 아래 나열된 커뮤니티 VLAN 태그로 송신되는 트래픽에는 필터가 적용되지 않습니다 .
커뮤니티 트렁크 포트에서 PVLAN 트렁크 포트로 전달된 트래픽
커뮤니티 VLAN을 PVLAN 트렁크 포트로 전달하는 보조 VLAN 트렁크 포트에서 전달된 트래픽
무차별 포트(트렁크 또는 액세스)에서 커뮤니티 트렁크 포트로 전달된 트래픽
PVLAN 트렁크 포트에서 전달된 트래픽입니다. 커뮤니티 트렁크 포트로
커뮤니티 VLAN에 대한 출력 방향으로 방화벽 필터를 적용하면 다음 동작이 적용됩니다.
필터는 프로미스큐어스 포트(트렁크 또는 액세스)에서 커뮤니티 트렁크 포트로 전달되는 트래픽에 적용됩니다(트래픽이 커뮤니티 VLAN 태그와 함께 송신되기 때문).
필터는 커뮤니티 포트에서 PVLAN 트렁크 포트로 전달되는 트래픽에 적용됩니다(트래픽이 커뮤니티 VLAN 태그와 함께 송신되기 때문).
커뮤니티 포트에서 무차별 포트로 전달되는 트래픽에는 필터가 적용되지 않습니다 . 트래픽이 기본 VLAN 태그로 송신되거나 태그가 지정되지 않았기 때문입니다.
솔루션
이는 예상된 동작입니다. 출력 방향의 프라이빗 VLAN에 방화벽 필터를 적용하는 경우에만 발생하며 입력 방향의 프라이빗 VLAN에 방화벽 필터를 적용하는 경우에는 발생하지 않습니다.
L2PT 트래픽의 송신 필터링이 지원되지 않음
특정 상황에서 BGP 패킷을 삭제할 수 없음
폴리서에 대한 잘못된 통계
폴리서는 송신 필터를 제한할 수 있습니다.
문제
설명
일부 스위치에서는 구성하는 송신 폴리서의 수가 허용되는 송신 방화벽 필터의 총 수에 영향을 미칠 수 있습니다. 모든 폴리서에는 1024 항목 TCAM에서 두 개의 항목을 차지하는 두 개의 암시적 카운터가 있습니다. 이는 방화벽 필터 용어에서 작업 수정자로 구성된 카운터를 포함하여 카운터에 사용됩니다. (폴리서는 폴리서 유형에 관계없이 하나는 녹색 패킷에 사용되고 다른 하나는 비녹색 패킷에 사용되기 때문에 두 개의 엔트리를 소비합니다.) TCAM이 가득 차면 카운터와 용어가 있는 송신 방화벽 필터를 더 이상 커밋할 수 없습니다. 예를 들어, 512개의 송신 폴리서(2색, 3색 또는 두 가지 폴리서 유형의 조합)를 구성하고 커밋하는 경우 카운터의 모든 메모리 항목이 소진됩니다. 나중에 구성 파일에서 카운터를 포함하는 용어를 사용하여 추가 송신 방화벽 필터를 삽입하는 경우, 카운터에 사용할 수 있는 메모리 공간이 없기 때문에 해당 필터의 용어가 커밋되지 않습니다 .
다음은 몇 가지 추가 예입니다.
총 512개의 폴리서를 포함하고 카운터가 없는 송신 필터를 구성한다고 가정해 봅시다. 나중에 구성 파일에 10개의 용어가 있는 다른 송신 필터를 포함하며, 그 중 1개에는 카운터 액션 수정자가 있습니다. 카운터를 위한 TCAM 공간이 충분하지 않기 때문에 이 필터의 어떤 용어도 커밋되지 않습니다.
총 500개의 폴리서를 포함하는 송신 필터를 구성하여 1,000개의 TCAM 항목이 점유된다고 가정해 보겠습니다. 나중에 구성 파일에 다음 두 개의 송신 필터를 포함합니다.
20개의 항과 20개의 카운터로 A를 필터링합니다. 모든 카운터에 충분한 TCAM 공간이 있기 때문에 이 필터의 모든 용어가 커밋됩니다.
필터 B는 필터 A 다음에 오며 5개의 항과 5개의 카운터가 있습니다. 모든 카운터에 대한 메모리 공간이 충분하지 않기 때문에 이 필터의 어떤 용어도 커밋되지 않습니다. (5개의 TCAM 항목이 필요하지만 4개만 사용할 수 있습니다.)
솔루션
카운터 액션이 있는 송신 방화벽 필터 용어가 폴리서를 포함하는 용어보다 구성 파일에서 먼저 배치되도록 하여 이 문제를 방지할 수 있습니다. 이 상황에서 Junos OS는 암시적 카운터를 위한 TCAM 공간이 충분하지 않더라도 폴리서를 커밋합니다. 예를 들어 다음과 같이 가정합니다.
카운터 액션이 포함된 1024개의 송신 방화벽 필터 용어가 있습니다.
구성 파일의 뒷부분에 10개의 용어가 있는 송신 필터가 있습니다. 어떤 용어에도 카운터가 없지만 한 용어에는 폴리서 작업 수정자가 있습니다.
폴리서의 암시적 카운터를 위한 TCAM 공간이 충분하지 않더라도 10개의 용어로 필터를 성공적으로 커밋할 수 있습니다. 폴리서는 카운터 없이 커밋됩니다.