Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

생성할 방화벽 필터 수 계획

방화벽 필터 수를 늘리는 방법

여러 가지 방법으로 디바이스의 방화벽 필터 수를 늘릴 수 있습니다.

  • (QFX5220) 512개 이상의 송신 VLAN 필터를 생성하려면 첫 번째 VLAN ID를 6으로, 두 번째 VLAN ID를 7로, 세 번째 VLAN ID를 8로 지정합니다. 구성하는 각 VLAN에 대해 숫자가 1씩 증가하고 VLAN ID 1029까지 계속됩니다. 512개 미만의 송신 VLAN 필터를 생성하지만 해당 필터의 총 용어 수를 512개 이상으로 지정하려면 VLAN ID에 동일한 방식으로 번호를 매겨야 합니다. 그렇지 않으면 허용되는 용어 또는 필터의 총 수가 1024개 미만이 되고 512개로 유지됩니다.

  • Junos OS 릴리스 19.1R1부터 옵션을 사용하여 QFX5110의 송신 VLAN 방화벽 필터 수를 1024개에서 2048개로 늘릴 수 있습니다.egress-to-ingress 계층의 문 아래에 이 옵션을 포함합니다. from [edit firewall]

    Junos OS Evolved 릴리스 19.4R2부터 계층 수준에서 문 아래에 옵션을 포함하여 QFX5220에서 최대 2,000개의 송신 방화벽 필터를 구성할 수 있습니다.egress-scale eracl-profile [edit system packet-forwarding-option firewall] 이 기능은 송신 방향(디바이스에서 나가는 라우팅된 트래픽)에서만 지원됩니다.

    이 기능을 구성할 때 다음 사항을 고려하세요.

    • 다른 송신 VLAN 또는 레이어 3 인터페이스에 동일한 일치 조건을 가진 필터를 적용할 수 없습니다.

    • GRE 인터페이스에 송신 확장을 적용할 수 없습니다.

    • 패킷이 서로 다른 한정자를 가진 여러 필터와 일치하고 서로 다른 송신 인터페이스에 적용하면 예측할 수 없는 동작이 발생할 수 있습니다.

    • 글로벌 모드에서만 옵션을 구성할 수 있습니다.egress-scale 새 cli 구성은 전역 모드로 제공됩니다. 사용자가 송신 규모(송신에서 수신으로) 모드에서 ERACL 그룹을 구성하면 IFP tcam 공간을 사용하지 않고는 이전 방식으로 ERACL을 구성할 수 없습니다. 즉, 혼합 모드의 ERACL은 지원되지 않습니다.

TCAM (총캠)

방화벽 필터용 TCAM(Ternary Content Addressable Memory)은 256개의 용어를 수용하는 슬라이스로 나뉩니다. 방화벽 필터를 구성할 때 메모리 슬라이스의 모든 용어는 동일한 유형의 필터에 있어야 하며 동일한 방향으로 적용되어야 합니다. 메모리 슬라이스는 필터를 커밋하는 즉시 예약됩니다. 예를 들어, 포트 필터를 생성하여 입력 방향으로 적용하면 수신 포트 필터만 저장하는 메모리 슬라이스가 예약됩니다. 수신 포트 필터를 하나만 생성하여 적용하고 해당 필터에 용어가 하나만 있는 경우 이 슬라이스의 나머지 부분은 사용되지 않으며 다른 필터 유형에 사용할 수 없습니다.

주:

EVPN 환경에서 QFX5200 시리즈 스위치는 최대 512개의 TCAM 엔트리를 지원합니다.

예를 들어, 하나의 메모리 슬라이스가 채워지도록 각각 하나의 용어를 가진 256개의 수신 포트 필터를 생성하고 적용한다고 가정해 보겠습니다. 이렇게 하면 수신 필터에 사용할 수 있는 메모리 슬라이스가 두 개 더 남게 됩니다. (이 경우 최대 수신 용어 수는 768개입니다.) 그런 다음 한 용어로 수신 레이어 3 필터를 생성하고 적용하면 다른 메모리 슬라이스가 수신 레이어 3 필터용으로 예약됩니다. 이전과 마찬가지로 나머지 슬라이스는 사용되지 않으며 다른 필터 유형에 사용할 수 없습니다. 이제 모든 수신 필터 유형에 사용할 수 있는 하나의 메모리 슬라이스가 있습니다.

이제 VLAN 수신 필터를 생성하여 적용한다고 가정해 보겠습니다. 최종 메모리 슬라이스는 VLAN 수신 필터용으로 예약되어 있습니다. 수신 필터에 대한 메모리 할당(다시 한 번 필터당 하나의 용어 가정)은 다음과 같습니다.

  • 슬라이스 1: 256개의 수신 포트 필터로 채워져 있습니다. 더 이상 수신 포트 필터를 커밋할 수 없습니다.

  • 슬라이스 2: 하나의 용어를 가진 하나의 수신 레이어 3 필터를 포함합니다. 수신 레이어 3 필터에서 255개의 용어를 더 커밋할 수 있습니다.

  • 슬라이스 3: 용어가 하나인 수신 VLAN 필터 1개를 포함합니다. 수신 VLAN 필터에서 255개의 용어를 더 커밋할 수 있습니다.

여기 또 다른 예가 있습니다. 필터당 하나의 용어를 가진 257개의 수신 포트 필터를 생성한다고 가정해 봅시다. 즉, 단일 메모리 슬라이스가 수용할 수 있는 것보다 하나 이상의 용어를 생성합니다. 필터를 적용하고 구성을 커밋할 때 필터 메모리 할당은 다음과 같습니다.

  • 슬라이스 1: 256개의 수신 포트 필터로 채워져 있습니다. 더 이상 수신 포트 필터를 적용할 수 없습니다.

  • 슬라이스 2: 하나의 수신 포트 필터를 포함합니다. 수신 포트 필터에 255개의 용어를 더 적용할 수 있습니다.

  • 슬라이스 3: 이 슬라이스는 할당되지 않았습니다. 모든 유형(포트, 레이어 3 또는 VLAN)의 수신 필터에서 256개의 용어를 생성하고 적용할 수 있지만 모든 필터가 동일한 유형이어야 합니다.

주:

위의 모든 예는 송신 필터에도 적용됩니다. 차이점은 IPv4 및 IPv6 레이어 3 필터가 별도의 슬라이스에 저장되기 때문에 4개의 메모리 슬라이스가 사용된다는 것입니다. 송신 필터의 메모리 슬라이스는 수신 필터의 메모리 슬라이스와 크기가 동일하므로 최대 필터 수는 동일합니다(1024).

너무 많은 필터 구성 방지

이러한 제한 사항 중 하나라도 위반하고 규정을 준수하지 않는 구성을 커밋하는 경우, Junos OS는 과도한 필터를 거부합니다. 예를 들어, 300개의 수신 포트 필터와 300개의 수신 레이어 3 필터를 구성하고 구성을 커밋하려고 하면 Junos OS는 다음을 수행합니다(필터당 하나의 용어로 가정).

  • 300개의 수신 포트 필터를 수용합니다(두 개의 메모리 슬라이스에 저장).

  • 처리하는 처음 256개의 수신 레이어 3 필터를 받아들입니다(세 번째 메모리 슬라이스에 저장).

  • 나머지 44개의 수신 레이어 3 필터를 거부합니다.

주:

디바이스를 재부팅하기 전에 구성에서 과도한 필터(예: 나머지 44개의 수신 레이어 3 필터)를 삭제해야 합니다. 규정을 준수하지 않는 구성이 있는 디바이스를 재부팅하는 경우 재부팅 후 설치된 필터를 예측하기 어렵습니다. 위의 예를 사용하면 원래 거부된 44개의 수신 레이어 3 필터가 설치될 수 있으며, 원래 수락된 포트 필터 중 44개가 거부될 수 있습니다.

TCAM 오류 메시지 구성

TCAM 공간이 부족하고 방화벽 필터를 설치할 수 없는 경우 다음과 같은 방법으로 오류 메시지를 보내도록 스위치를 구성할 수 있습니다.

  • 오류 메시지를 syslog 파일로 보내려면 을 입력합니다 .set system syslog file filename pfe emergency

  • 콘솔에 오류 메시지를 보내려면 를 입력합니다 .set system syslog console pfe emergency

  • SSH 터미널 세션에 오류 메시지를 전송하려면 을 입력합니다 .set system syslog user user-login pfe emergency

프로필을 사용하여 방화벽 필터의 규모를 늘리는 방법

방화벽 필터를 구성할 때 방화벽 필터 구성의 용어 문은 광범위한 일치 조건 집합을 제공합니다. 일치 조건은 패킷이 일치로 간주되기 위해 포함해야 하는 필드와 값입니다. 요구 사항에 따라 단일 또는 여러 일치 조건을 정의할 수 있습니다. 패킷이 필터와 일치하면 디바이스는 용어에 지정된 작업을 수행합니다. 방화벽 필터의 확장성은 일반적으로 사용되는 일치 조건의 수에 따라 달라집니다.

일반적인 배포 시나리오에서는 일치 조건의 하위 집합만 사용하면 됩니다. 프로필의 도입과 함께 사전 정의된 일치 조건의 사용 가능한 방화벽 필터 프로필 중 하나를 사용하여 최대 규모를 달성하는 데 사용되는 방화벽 필터의 수를 늘릴 수 있습니다.

제품군, inet 및 이더넷 기반 스위칭을 위한 방화벽 필터 프로파일을 구성할 수 있습니다. [edit system packet-forwarding-options firewall] 계층 수준에서 프로필 구성 문을 사용하여 방화벽 필터 프로필을 구성합니다.

주:

프로필을 선택하거나 한 프로필에서 다른 프로필로 이동하여 방화벽 필터 프로필을 변경하면 패킷 전달 엔진이 다시 시작되어 트래픽 흐름이 중단됩니다.

다음 표에서는 방화벽 필터 프로필과 inet 및 이더넷 기반 스위칭에 대해 사전 정의된 일치 조건에 대해 설명합니다.

표 1: 방화벽 필터 프로필 및 일치 조건
패밀리 타입 방화벽 필터 프로필 일치 조건(사전 정의됨) 구성 계층
inet(IPv4/IPv6) profile1

ip-source-address

ip-source-접두사 목록

프로토콜

다음 헤더

소스 포트

목적지 포트

첫 번째 조각

is-fragment

icmp 코드

ICMP형

tcp 설정

tcp-이니셜

tcp-플래그

 [edit system packet-forwarding-options firewall profiles inet profile1]
profile2

ip-source-address

ip6 소스 주소

ip-source-접두사 목록

ip6 소스 접두사 목록

프로토콜

다음 헤더

소스 포트

목적지 포트

첫 번째 조각

is-fragment

icmp 코드

ICMP형

tcp 설정

tcp-이니셜

tcp-플래그

Dscp

우선 순위

트래픽 클래스

Ttl

홉 제한

 [edit system packet-forwarding-options firewall profiles inet profile2]
이더넷 스위칭 profile1

소스 MAC 주소

대상 MAC 주소

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
프로필2

소스 MAC 주소

대상 MAC 주소

에테르 유형

ip-source-address

ip-source-접두사 목록

IP 프로토콜

소스 포트

목적지 포트

다음 헤더

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
주:

방화벽 필터 프로필을 선택할 때는 사전 정의된 일치 조건 하위 집합의 일부인 일치 조건을 적용해야 합니다. 방화벽 필터 프로필의 사전 정의된 일치 조건 하위 집합에 속하지 않는 일치 조건을 적용하면 커밋 오류가 발생합니다. 예를 들어, inet 필터를 선택하고 사전 정의된 일치 조건의 일부가 아닌 로 일치 조건을 적용 하면, 커밋 작업 중에 일치가 inet 필터의 일부가 아니라는 오류가 표시됩니다.profile1ip-destination-addressip-destination-addressprofile1

CLI 명령을 사용하여 방화벽 필터 프로필의 세부 정보를 볼 수 있습니다.show pfe filter hw profile-info

주:

방화벽 모듈은 ACX EVO 플랫폼에서만 두 개의 다른 프로필(프로필 1 및 프로필 2)을 지원합니다. 기본적으로 pfe는 profile-2를 제공하며 사용자에게는 다른 프로필로 전환할 수 있는 CLI 옵션이 제공됩니다. cli를 통해 프로필이 전환되면 pfe가 다시 시작됩니다.

IPV6 IFF 필터: Profile-one은 sip6에서 최대 128비트를 지원합니다. Profile-two는 sip6에서 최대 64비트를 지원합니다.

Ipv6 lo0 필터: Profile-one은 최대 128비트의 dip6을 지원합니다. Profile-two는 최대 64비트의 dip6을 지원합니다.

Ipv6-Bgp-flow-spec 필터 및 IPv6-FTF 필터는 profile-two에서만 지원됩니다.

카테고리 PMF 특징 프로필 2 프로필 1

패밀리 모두

IPv6 IFL 필터

 

IPv6 IFL 필터 - 로그/syslog/거부 작업

아니요

아니요

제품군 필터

IPv6 IFF 필터

 

IPv6 IFF 필터 - SIP6=128비트 일치

아니요

 

IPv6 IFF 필터 - L4 일치

 

IPv6 IFF 필터 - 로그/syslog/거부 작업

Lo0 필터

IPv6 Lo0 필터 - HW 지원

 

IPv6 Lo0 필터 - VRF 연결

아니요
 

IPv6 Lo0 필터 - SW 지원

 

DIP6 128비트 매치

아니요

방화벽 필터 규모를 극대화하려면 인터페이스 수준(레이어 2 또는 레이어 3) 필터를 적용하고 서로 다른 패킷 처리 파이프라인의 인터페이스에 균등하게 필터를 배포하는 것이 좋습니다. 각 인터페이스 세트는 해당 인터페이스에서 수신된 패킷을 처리하는 패킷 처리 파이프라인에 매핑됩니다. 이 경우 방화벽 필터는 각 인터페이스에 매핑된 패킷 처리 파이프라인의 TCAM 메모리 공간에 설치됩니다.

패킷이 인터페이스에 들어가면 방화벽 필터는 송신 인터페이스를 종료하기 전에 일치 조건에 따라 패킷 처리 파이프라인의 패킷에 대한 필터링 작업을 수행합니다. 여러 패킷 처리 파이프라인의 경우, 패킷이 여러 인터페이스를 통해 디바이스에 들어오면 방화벽 필터는 각 패킷 처리 파이프라인을 통과하는 패킷에 대해 필터링 작업을 수행합니다. 서로 다른 패킷 처리 파이프라인의 인터페이스에 균등하게 분산된 인터페이스 수준 필터를 사용하면 확장성이 향상됩니다

CLI 명령을 사용하여 각 물리적 인터페이스가 매핑되는 패킷 처리 파이프라인의 세부 정보를 볼 수 있습니다.show pfe filter hw port-pipe-info 이 CLI 명령의 출력은 패킷 처리 파이프라인에 설치된 방화벽 필터에 대한 정보도 제공합니다. 이 정보를 사용하여 파이프라인 전체에 방화벽 필터를 계획하고 배포하여 최대 규모를 달성할 수 있습니다.

CLI 명령의 다음 샘플 출력은 각 물리적 인터페이스가 매핑되는 패킷 처리 파이프라인의 세부 사항을 보여줍니다.show pfe filter hw port-pipe-info

폴리서가 송신 필터를 제한하는 방법

일부 스위치에서는 구성하는 송신 폴리서의 수가 허용되는 송신 방화벽 필터의 총 수에 영향을 미칠 수 있습니다. 모든 폴리서에는 1024 항목 TCAM에서 두 개의 항목을 차지하는 두 개의 암시적 카운터가 있습니다. 이는 방화벽 필터 용어에서 작업 수정자로 구성된 카운터를 포함하여 카운터에 사용됩니다. (폴리서는 폴리서 유형에 관계없이 하나는 녹색 패킷에 사용되고 다른 하나는 비녹색 패킷에 사용되기 때문에 두 개의 엔트리를 소비합니다.) TCAM이 가득 차면 카운터와 용어가 있는 송신 방화벽 필터를 더 이상 커밋할 수 없습니다. 예를 들어, 512개의 송신 폴리서(2색, 3색 또는 두 가지 폴리서 유형의 조합)를 구성하고 커밋하는 경우 카운터의 모든 메모리 항목이 소진됩니다. 나중에 구성 파일에서 카운터를 포함하는 용어를 사용하여 추가 송신 방화벽 필터를 삽입하는 경우, 카운터에 사용할 수 있는 메모리 공간이 없기 때문에 해당 필터의 용어가 커밋되지 않습니다 .

다음은 몇 가지 예입니다.

  • 총 512개의 폴리서를 포함하고 카운터가 없는 송신 필터를 구성한다고 가정해 봅시다. 나중에 구성 파일에 10개의 용어가 있는 다른 송신 필터를 포함하며, 그 중 1개에는 카운터 액션 수정자가 있습니다. 카운터를 위한 TCAM 공간이 충분하지 않기 때문에 이 필터의 어떤 용어도 커밋되지 않습니다.

  • 총 500개의 폴리서를 포함하는 송신 필터를 구성하여 1,000개의 TCAM 항목이 점유된다고 가정해 보겠습니다. 나중에 구성 파일에 다음 두 개의 송신 필터를 포함합니다.

    • 20개의 항과 20개의 카운터로 A를 필터링합니다. 모든 카운터에 충분한 TCAM 공간이 있기 때문에 이 필터의 모든 용어가 커밋됩니다.

    • 필터 B는 필터 A 다음에 오며 5개의 항과 5개의 카운터가 있습니다. 모든 카운터에 대한 메모리 공간이 충분하지 않기 때문에 이 필터의 어떤 용어도 커밋되지 않습니다. (5개의 TCAM 항목이 필요하지만 4개만 사용할 수 있습니다.)

카운터 액션이 있는 송신 방화벽 필터 용어가 폴리서를 포함하는 용어보다 구성 파일에서 먼저 배치되도록 하여 이 문제가 발생하지 않도록 할 수 있습니다. 이 상황에서 Junos OS는 암시적 카운터를 위한 TCAM 공간이 충분하지 않더라도 폴리서를 커밋합니다. 예를 들어 다음과 같이 가정합니다.

  • 카운터 액션이 포함된 1024개의 송신 방화벽 필터 용어가 있습니다.

  • 구성 파일의 뒷부분에 10개의 용어가 있는 송신 필터가 있습니다. 어떤 용어에도 카운터가 없지만 한 용어에는 폴리서 작업 수정자가 있습니다.

폴리서의 암시적 카운터를 위한 TCAM 공간이 충분하지 않더라도 10개의 용어로 필터를 성공적으로 커밋할 수 있습니다. 폴리서는 카운터 없이 커밋됩니다.

필터별 폴리서 계획

폴리서를 필터별로 구성할 수 있습니다. 즉, Junos OS는 폴리서가 참조되는 횟수에 관계없이 단 하나의 폴리서 인스턴스만 생성합니다. 이렇게 하면 속도 제한이 집합적으로 적용되므로, 1Gbps를 초과하는 트래픽을 폐기하도록 폴리서를 구성하고 해당 폴리서를 세 가지 다른 용어로 참조하는 경우 필터가 허용하는 총 대역폭은 1Gbps입니다. 그러나 필터별 폴리서의 동작은 폴리서를 참조하는 방화벽 필터 용어가 TCAM(Ternary Content Addressable Memory)에 저장되는 방식의 영향을 받습니다. 필터별 폴리서를 생성하고 여러 방화벽 필터 용어로 참조하는 경우, 용어가 서로 다른 TCAM 슬라이스에 저장되어 있으면 폴리서는 예상보다 많은 트래픽을 허용합니다. 예를 들어, 1Gbps를 초과하는 트래픽을 폐기하도록 폴리서를 구성하고 3개의 개별 메모리 슬라이스에 저장된 3개의 다른 용어로 해당 폴리서를 참조하는 경우, 필터가 허용하는 총 대역폭은 1Gbps가 아닌 3Gbps입니다.

이러한 예기치 않은 동작이 발생하지 않도록 하려면 위의 TCAM 슬라이스에 대한 정보를 사용하여 지정된 필터별 폴리서를 참조하는 모든 방화벽 필터 용어가 동일한 TCAM 슬라이스에 저장되도록 구성 파일을 구성합니다.

필터 기반 전달 계획

가상 라우팅 인스턴스와 함께 방화벽 필터를 사용하여 네트워크에서 패킷이 이동할 다른 경로를 지정할 수 있습니다. 필터 기반 포워딩이라고 하는 이 기능을 설정하려면 필터 및 일치 기준을 지정한 다음 패킷을 보낼 가상 라우팅 인스턴스를 지정합니다. 이러한 방식으로 사용되는 필터는 추가 TCAM의 메모리도 소비합니다. 자세한 내용은 FIP 스누핑, FBF 및 MVR 필터 확장성 이해를 참조하십시오.Understanding FIP Snooping, FBF, and MVR Filter Scalability 이 항목의 FBF 필터 VFP TCAM 소비 섹션에서는 필터 기반 전달을 사용할 때 지원되는 필터 수에 대해 구체적으로 설명합니다.

주:

필터 기반 포워딩은 일부 주니퍼 스위치의 IPv6 인터페이스에서 작동하지 않습니다.

관련 항목

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
19.4R2-EVO
Junos OS Evolved 릴리스 19.4R2부터 계층 수준에서 문 아래에 옵션을 포함하여 QFX5220에서 최대 2,000개의 송신 방화벽 필터를 구성할 수 있습니다.egress-scale eracl-profile [edit system packet-forwarding-option firewall]
19.1R1
Junos OS 릴리스 19.1R1부터 옵션을 사용하여 QFX5110의 송신 VLAN 방화벽 필터 수를 1024개에서 2048개로 늘릴 수 있습니다.egress-to-ingress