Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

생성할 방화벽 필터 수 계획

지원되는 방화벽 필터의 최대 개수

표 1 각 스위치가 지원하는 최대 방화벽 필터 수를 보여줍니다. 총 필터 수는 총액으로 적용됩니다. 예를 들어 QFX5200 및 QFX5210 스위치에서는 입력 방향으로 총 768개의 용어를, 출력 방향으로는 1024 용어를 적용할 수 있습니다. 스위치가 지원하는 필터의 실제 수는 필터가 TCAM(Ternary Content Addressable Memory)에 저장되는 방식에 따라 달라집니다.

Junos OS Release 20.3R1 이상에서 실행되는 QFX5120-48Y 및 EX4650 스위치의 경우 루프백 필터 용어의 기본 시스템 제한을 IPv6의 경우 768, IPv4의 경우 1152 용어로 늘릴 수 있습니다 [set chassis loopback-firewall-optimization .

표 1: 지원되는 방화벽 필터의 최대 개수
필터 유형 QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

진입

768

1536

1536

6144

768

8192

탈출구

1024

1024

2048

1024년 또는 2048년

1024

512 (QFX5220)

8192

방화벽 필터의 수를 늘리는 방법

디바이스의 방화벽 필터 수를 여러 가지 방법으로 늘릴 수 있습니다.

  • (QFX5220) 512개 이상의 송신 VLAN 필터를 생성하려면 첫 번째 VLAN ID를 6으로, 두 번째 VLAN ID를 7로, 세 번째 VLAN ID를 5로 지정합니다. 사용자가 구성하는 각 VLAN의 경우, 그 수는 1로 증가하고 VLAN ID 1029를 통해 계속됩니다. 512개 미만의 송신 VLAN 필터를 생성하고 이들 필터의 총 용어 수를 512개 이상으로 줄이려면 동일한 방식으로 VLAN ID 번호를 지정해야 합니다. 그렇지 않으면 허용되는 용어 또는 필터의 총 개수는 1024개 미만이며 512개에 남게 됩니다.

  • Junos OS 릴리스 19.1R1부터 옵션을 사용하여 egress-to-ingress QFX5110의 송신 VLAN 방화벽 필터 수를 1024개에서 2048년으로 늘릴 수 있습니다. 이 옵션은 계층의 명령문 [edit firewall] 아래에 from 포함하게 됩니다.

    Junos OS Evolved Release 19.4R2에서 시작하여 계층 수준 명령문에 eracl-profile 옵션을 포함하여 egress-scale QFX5220에서 [edit system packet-forwarding-option firewall] 최대 2000개의 송신 방화벽 필터를 구성할 수 있습니다. 이 기능은 송신 방향(디바이스를 빠져 나가는 라우팅된 트래픽)에서만 지원됩니다.

    이 기능을 구성할 때 다음을 고려합니다.

    • 동일한 조건의 필터를 다른 송신 VLAN 또는 레이어 3 인터페이스에 적용할 수 없습니다.

    • GRE 인터페이스에는 송신 확장성을 적용할 수 없습니다.

    • 패킷이 여러 필터와 서로 다른 한정자를 일치시키고 서로 다른 송신 인터페이스에 적용하는 경우, 이를 예측할 수 없는 동작이 발생할 수 있습니다.

    • 전역 모드에서만 옵션을 구성할 egress-scale 수 있습니다. 새로운 cli 구성은 글로벌 모드에서 제공됩니다. 사용자가 egress-scale(수신으로 송신) 모드로 ERACL 그룹을 구성하면 IFP tcam 공간을 사용하지 않고는 ERACL을 이전 방식으로 구성할 수 없습니다. 즉, 혼합 모드의 ERACL은 지원되지 않습니다.

TCAM

방화벽 필터를 위한 테너리 컨텐트 주소 지정 메모리(TCAM)는 256개의 용어를 수용하는 슬라이스로 나뉩니다. 방화벽 필터를 구성할 때 메모리 슬라이스의 모든 용어는 동일한 유형의 필터에 있어야 하며 동일한 방향으로 적용되어야 합니다. 필터 커밋 즉시 메모리 슬라이스가 예약됩니다. 예를 들어, 포트 필터를 생성하여 입력 방향으로 적용하면 메모리 슬라이스가 수신 포트 필터만 저장하는 예약됩니다. 수신 포트 필터를 하나만 만들고 적용하면 해당 필터에 용어가 한 개밖에 없으며 나머지 슬라이스는 사용되지 않으며 다른 필터 유형에서는 사용할 수 없습니다.

주:

EVPN 환경에서 QFX5200 시리즈 스위치는 최대 512개의 TCAM 항목을 지원합니다.

예를 들어, 256개의 수신 포트 필터를 각각 1개의 용어로 생성하고 적용하여 하나의 메모리 슬라이스가 채워지도록 합시다. 이 경우 수신 필터에 사용할 수 있는 메모리 슬라이스가 2개 더 남습니다. (이 경우 수신 조건의 최대 개수는 768입니다.) 그런 다음 한 용어로 수신 레이어 3 필터를 생성하고 적용하면 다른 메모리 슬라이스가 ingress Layer 3 필터를 위해 예약됩니다. 이전과 마찬가지로 슬라이스의 나머지 부분은 사용되지 않으며 다양한 필터 유형에서는 사용할 수 없습니다. 이제 모든 수신 필터 유형에 사용할 수 있는 하나의 메모리 슬라이스가 있습니다.

이제 VLAN 수신 필터를 생성하고 적용한다고 가정합니다. 마지막 메모리 슬라이스는 VLAN 수신 필터를 위해 예약됩니다. 수신 필터에 대한 메모리 할당(필터당 한 용어를 다시 가정함)은 다음과 같습니다.

  • 슬라이스 1: 256개의 수신 포트 필터로 가득 차 있습니다. 더 이상 수신 포트 필터를 커밋할 수 없습니다.

  • 슬라이스 2: 수신 레이어 3 필터 1개와 용어 1개 포함 수신 레이어 3 필터에서 255개의 용어를 더 커밋할 수 있습니다.

  • 슬라이스 3: 수신 VLAN 필터 1개와 용어 1개 포함 수신 VLAN 필터에서 255개의 용어를 더 커밋할 수 있습니다.

또 다른 예가 있습니다. 필터당 1개의 용어로 257개의 수신 포트 필터를 생성한다고 가정합니다. 즉, 단일 메모리 슬라이스가 수용할 수 있는 용어보다 한 용어를 더 만듭니다. 필터를 적용하고 구성을 커밋하면 필터 메모리 할당은 다음과 같습니다.

  • 슬라이스 1: 256개의 수신 포트 필터로 가득 차 있습니다. 더 이상 수신 포트 필터를 적용할 수 없습니다.

  • 슬라이스 2: 하나의 수신 포트 필터를 포함합니다. 수신 포트 필터에 255개의 용어를 더 적용할 수 있습니다.

  • 슬라이스 3: 이 슬라이스는 할당되지 않습니다. 모든 유형의 수신 필터(포트, 레이어 3 또는 VLAN)에서 256개의 용어를 생성하고 적용할 수 있지만 모든 필터는 동일한 유형이어야 합니다.

주:

위의 모든 예는 송신 필터에도 적용됩니다. 차이점은 IPv4 및 IPv6 레이어 3 필터가 별도의 슬라이스에 저장되기 때문에 4개의 메모리 슬라이스가 사용된다는 점입니다. 송신 필터의 메모리 슬라이스는 수신 필터의 메모리 슬라이스와 크기가 같으므로 최대 필터 수는 동일합니다(1024).

너무 많은 필터 구성 방지

이러한 제한 사항을 위반하고 규정을 준수하지 않는 구성을 커밋하는 경우, Junos OS는 과도한 필터를 거부합니다. 예를 들어, 300개의 수신 포트 필터와 300개의 수신 레이어 3 필터를 구성하고 구성을 커밋하려고 하면 Junos OS가 다음을 수행합니다(다시 필터당 한 용어를 가정함).

  • 300개의 수신 포트 필터를 허용합니다(두 개의 메모리 슬라이스에 저장).

  • 처리하는 처음 256개의 수신 레이어 3 필터를 허용합니다(세 번째 메모리 슬라이스에 저장).

  • 나머지 44개의 수신 레이어 3 필터를 거부합니다.

주:

디바이스를 재부팅하기 전에 구성에서 과도한 필터(예: 나머지 44개의 수신 레이어 3 필터)를 삭제해야 합니다. 비준수 구성이 있는 디바이스를 재부팅하는 경우 재부팅 후 어떤 필터가 설치되었는지 예측하기 어렵습니다. 위의 예제를 사용하면 원래 거부된 44개의 수신 레이어 3 필터가 설치될 수 있으며, 원래 허용된 포트 필터 44개가 거부될 수 있습니다.

TCAM 오류 메시지 구성

TCAM 공간이 부족하고 방화벽 필터를 설치할 수 없는 경우 스위치를 구성하여 다음과 같은 방법으로 오류 메시지를 보낼 수 있습니다.

  • syslog 파일로 오류 메시지를 보내기 위해 입력 set system syslog file filename pfe emergency 합니다.

  • 콘솔에 오류 메시지를 보내기 위해 입력 set system syslog console pfe emergency 합니다.

  • SSH 터미널 세션에 오류 메시지를 보내기 위해 입력 set system syslog user user-login pfe emergency 합니다.

프로필을 사용하여 방화벽 필터의 규모를 높이는 방법

방화벽 필터를 구성할 때 방화벽 필터 구성의 용어문은 광범위한 일치 조건 집합을 제공합니다. 일치 조건은 일치되는 것으로 간주되어야 하는 패킷이 포함해야 하는 필드 및 값입니다. 요구 사항에 따라 단일 또는 여러 일치 조건을 정의할 수 있습니다. 패킷이 필터와 일치하면 디바이스는 용어에 지정된 작업을 수행합니다. 방화벽 필터의 확장성은 일반적으로 사용되는 일치 조건의 수에 따라 달라집니다.

일반적인 구축 시나리오에서는 일치 조건의 하위 집합만 사용해야 합니다. 프로필 도입을 통해 사전 정의된 일치 조건을 가진 사용 가능한 방화벽 필터 프로필 중 하나를 사용하여 최대 확장성을 달성하는 데 사용되는 방화벽 필터의 수를 늘릴 수 있습니다.

패밀리 이넷 및 이더넷 기반 스위칭을 위해 방화벽 필터 프로필을 구성할 수 있습니다. [편집 시스템 패킷 포워딩 옵션 방화벽] 계층 수준에서 프로파일 구성 명령문을 사용하여 방화벽 필터 프로파일을 구성합니다.

주:

방화벽 필터 프로파일을 변경하거나 프로필을 선택하거나 한 프로필에서 다른 프로파일로 이동하면 패킷 포워딩 엔진이 재시작되어 트래픽 흐름이 중단됩니다.

다음 표에서는 방화벽 필터 프로파일과 inet 및 Ethernet 기반 스위칭을 위한 사전 정의된 일치 조건을 설명합니다.

표 2: 방화벽 필터 프로파일 및 일치 조건
제품군 유형 방화벽 필터 프로파일 일치 조건(사전 정의) 구성 계층
inet(IPv4/IPv6) profile1

ip-source-address

IP-Source-Prefix-list

프로토콜

넥트 헤더

소스 포트

대상 포트

첫 번째 패킷 조각

Is-Fragment

icmp-code

icmp 유형

tcp 설정

tcp-initial

tcp 플래그

[edit system packet-forwarding-options firewall profiles inet profile1]
profile2

IP 소스 주소

ip6-source-address

IP-Source-Prefix-list

ip6-source-prefix-list

프로토콜

넥트 헤더

소스 포트

대상 포트

첫 번째 패킷 조각

Is-Fragment

icmp-code

icmp 유형

tcp 설정

tcp-initial

tcp 플래그

Dscp

우선 순위

트래픽 클래스

Ttl

홉 제한

[edit system packet-forwarding-options firewall profiles inet profile2]
이더넷 스위칭 profile1

소스 mac-address

대상 mac-address

[edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
프로필2

소스 mac-address

대상 mac-address

이더 유형

IP 소스 주소

IP-Source-Prefix-list

IP 프로토콜

소스 포트

대상 포트

넥트 헤더

[edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
주:

방화벽 필터 프로파일을 선택하면 사전 정의된 일치 조건 하위 집합의 일부인 일치 조건을 적용해야 합니다. 방화벽 필터 프로파일의 사전 정의된 일치 조건 하위 세트의 일부가 아닌 일치 조건을 적용하면 커밋 오류가 발생합니다. 예를 들어, inet 필터를 선택하고 profile1 미리 정의된 일치 조건의 일부가 아닌 일치 ip-destination-address조건을 적용하는 경우, inet 필터에 해당 일치가 포함되지 않음 profile1 을 알리는 ip-destination-address 커밋 작업 중에 오류가 표시됩니다.

CLI 명령을 사용하여 show pfe filter hw profile-info 방화벽 필터 프로파일의 세부 정보를 볼 수 있습니다.

최대 방화벽 필터 규모를 달성하려면 인터페이스 수준(레이어 2 또는 레이어 3) 필터를 적용하고 필터를 서로 다른 패킷 처리 파이프라인의 인터페이스에 동일하게 배포하는 것이 좋습니다. 각 인터페이스 세트는 해당 인터페이스에서 수신되는 패킷을 처리하는 패킷 처리 파이프라인에 매핑됩니다. 이 경우 방화벽 필터는 해당 인터페이스에 매핑된 패킷 처리 파이프라인의 TCAM 메모리 공간에 설치됩니다.

패킷이 인터페이스에 들어가면 방화벽 필터는 송신 인터페이스를 종료하기 전에 일치 조건을 기반으로 패킷 처리 파이프라인의 패킷에서 필터링 작업을 수행합니다. 여러 패킷 처리 파이프라인의 경우, 패킷이 여러 인터페이스를 통해 장비에 들어갈 때 방화벽 필터는 해당 패킷 처리 파이프라인을 통과하는 패킷에 대한 필터링 작업을 수행합니다. 인터페이스 수준 필터를 서로 다른 패킷 처리 파이프라인의 인터페이스 전반에 동일하게 배포함으로써 보다 뛰어난 확장성 제공

CLI 명령을 사용하여 show pfe filter hw port-pipe-info 각 물리적 인터페이스가 매핑된 패킷 처리 파이프라인의 세부 정보를 볼 수 있습니다. 이 CLI 명령의 출력은 패킷 처리 파이프라인에 설치된 방화벽 필터에 대한 정보도 제공합니다. 이 정보를 사용하여 파이프라인 전반에 걸쳐 방화벽 필터를 계획하고 배포하여 최대의 규모를 달성할 수 있습니다.

CLI 명령의 show pfe filter hw port-pipe-info 다음 샘플 출력은 각 물리적 인터페이스가 매핑되는 패킷 처리 파이프라인의 세부 정보를 보여줍니다.

폴리서가 송신 필터를 제한하는 방법

일부 스위치에서는 구성한 송신 폴리서의 수가 허용된 송신 방화벽 필터의 총 개수에 영향을 미칠 수 있습니다. 모든 폴리서에는 1024 엔트리 TCAM에서 두 개의 항목을 취하는 두 개의 암시적 카운터가 있습니다. 이들은 방화벽 필터 용어의 작업 수정자로 구성된 카운터를 포함한 카운터에 사용됩니다. (폴리서는 두 개의 엔트리를 사용하는데, 하나는 녹색 패킷에 사용되며, 하나는 폴리서 유형에 관계없이 비그리엔 패킷에 사용되므로). TCAM이 가득 차면 카운터와 용어가 있는 더 이상 송신 방화벽 필터를 커밋할 수 없습니다. 예를 들어, 512개의 송신 폴리서(2색, 3색 또는 두 폴리서 유형의 조합)를 구성하고 커밋하는 경우 카운터에 대한 모든 메모리 엔트리가 사용됩니다. 나중에 구성 파일에서 카운터를 포함하는 용어가 포함된 추가 송신 방화벽 필터를 삽입하는 경우 카운터를 위한 사용 가능한 메모리 공간이 없기 때문에 해당 필터의 용어 중 어느 것도 커밋되지 않습니다.

다음은 몇 가지 예입니다.

  • 총 512개의 폴리서와 카운터가 없는 송신 필터를 구성한다고 가정합니다. 나중에 구성 파일에는 10개의 용어가 있는 또 다른 송신 필터가 있으며, 그 중 1개에는 카운터 액션 수정자가 있습니다. 카운터를 위한 TCAM 공간이 충분하지 않기 때문에 이 필터의 용어 중 어느 것도 커밋되지 않습니다.

  • 총 500개의 폴리서가 포함된 송신 필터를 구성하여 1000개의 TCAM 항목이 차지한다고 가정합니다. 나중에 구성 파일에는 다음과 같은 두 개의 송신 필터가 포함됩니다.

    • 20개의 용어와 20개의 카운터로 A를 필터링합니다. 이 필터의 모든 용어는 모든 카운터를 위한 TCAM 공간이 충분하기 때문에 커밋됩니다.

    • 필터 B는 필터 A 이후 제공되며 5개의 용어와 5개의 카운터가 있습니다. 모든 카운터에 충분한 메모리 공간이 없기 때문에 이 필터의 용어 중 어느 것도 커밋되지 않습니다. (5개의 TCAM 항목이 필요하지만 4개만 사용할 수 있습니다.)

폴리서가 포함된 용어가 아닌 구성 파일 초기에 대응 조치를 적용한 방화벽 필터 용어를 송신하도록 함으로써 이러한 문제가 발생하지 않도록 방지할 수 있습니다. 이러한 상황에서는 암묵적 카운터를 위한 TCAM 공간이 충분하지 않더라도 Junos OS는 폴리서를 커밋합니다. 예를 들어, 다음을 가정해 보겠습니다.

  • 대응 조치가 포함된 1024 송신 방화벽 필터 조건이 있습니다.

  • 나중에 구성 파일에는 10개의 용어가 있는 송신 필터가 있습니다. 그 중 어느 용어도 카운터가 없지만 폴리서 액션 수정자가 있습니다.

폴리서의 암묵적 카운터를 위한 TCAM 공간이 충분하지 않더라도 10개의 용어로 필터를 성공적으로 커밋할 수 있습니다. 폴리서가 카운터 없이 커밋됩니다.

필터별 폴리서 계획

폴리서를 필터별로 구성할 수 있습니다. 즉, Junos OS는 폴리서가 참조된 횟수에 관계없이 하나의 폴리서 인스턴스만 만듭니다. 이렇게 하면 속도 제한 기능이 총계로 적용되므로 폴리서를 구성하여 1Gbps를 초과하는 트래픽을 폐기하고 3개의 다른 용어로 폴리서를 참조하는 경우 필터에서 허용하는 총 대역폭은 1Gbps입니다. 그러나 필터별 폴리서의 동작은 폴리서를 참조하는 방화벽 필터 용어가 TCAM(Ternary Content Addressable Memory)에 저장되는 방식에 의해 영향을 받습니다. 필터별 폴리서를 만들고 여러 방화벽 필터 용어로 참조하는 경우, 용어가 서로 다른 TCAM 슬라이스에 저장되는 경우 폴리서가 예상보다 많은 트래픽을 허용합니다. 예를 들어, 폴리서가 1Gbps를 초과하는 트래픽을 폐기하도록 구성하고 3개의 서로 다른 용어로 폴리서를 참조하는 경우 필터가 허용하는 총 대역폭은 1Gbps가 아닌 3Gbps입니다.

이러한 예기치 못한 활동이 발생하지 않도록 위의 TCAM 슬라이스에 대한 정보를 사용하여 지정된 필터별 폴리서를 참조하는 모든 방화벽 필터 용어를 동일한 TCAM 슬라이스에 저장하도록 구성 파일을 구성하십시오.

필터 기반 포워딩 계획

방화벽 필터와 가상 라우팅 인스턴스를 사용하여 네트워크에서 전송할 패킷에 대한 다양한 경로를 지정할 수 있습니다. 필터 기반 포워딩이라는 이 기능을 설정하려면 필터 및 일치 기준을 지정한 다음 패킷을 보낼 가상 라우팅 인스턴스를 지정합니다. 이러한 방식으로 사용되는 필터는 추가 TCAM에서 메모리를 소비합니다. 자세한 내용은 FIP 스누핑, FBF 및 MVR 필터 확장성 이해를 참조하십시오. 이 항목에서 FBF 필터 VFP TCAM 소비 섹션은 필터 기반 포워딩을 사용할 때 지원되는 필터의 수를 구체적으로 다룹니다.

주:

필터 기반 포워딩은 일부 주니퍼 스위치의 IPv6 인터페이스에서는 작동하지 않습니다.

출시 내역 표
릴리스
설명
19.4R2-EVO
Junos OS Evolved Release 19.4R2에서 시작하여 계층 수준 명령문에 eracl-profile 옵션을 포함하여 egress-scale QFX5220에서 [edit system packet-forwarding-option firewall] 최대 2000개의 송신 방화벽 필터를 구성할 수 있습니다.
19.1R1
Junos OS 릴리스 19.1R1부터 옵션을 사용하여 egress-to-ingress QFX5110의 송신 VLAN 방화벽 필터 수를 1024개에서 2048년으로 늘릴 수 있습니다.