Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Solución de problemas con filtros de firewall

Utilice la siguiente información para solucionar problemas de la configuración del filtro de firewall.

Solución de problemas de conmutadores QFX10000

En esta sección, se describen problemas específicos de los conmutadores QFX10000:

No combinar condiciones de coincidencia para diferentes capas

En conmutadores QFX10000, no combine condiciones de coincidencia para la capa 2 y cualquier otra capa en un family ethernet-switching filtro. (Por ejemplo, no incluya condiciones que coincidan con direcciones MAC e IP en el mismo filtro.) Si lo hace, el filtro se confirmará correctamente, pero no funcionará. También verá el siguiente mensaje de registro: L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.

No se pueden descartar paquetes de capa 2 con filtros de firewall

Problema

Descripción

Los paquetes de control de capa 2 (L2), como el protocolo de descubrimiento de capa de vínculo (LLDP) y la unidad de datos de protocolo de puente (BPDU) no se pueden descartar con filtros de firewall.

Solución

Configure la protección distribuida de denegación de servicio (DDoS) en el paquete de control L2 y establezca el ancho de banda del agente de policía agregado y los valores de ráfaga en el valor mínimo de 1. Por ejemplo,

user@host # set aggregate bandwidth 1

user@host # set aggregate burst 1

El filtro de firewall Protect-RE (circuito cerrado) no filtra paquetes aplicados a interfaces EM0

Problema

Descripción

En los conmutadores QFX10000, el filtro de firewall Protect-RE (circuito cerrado) no filtra los paquetes aplicados a interfaces EM0, incluidos SNMP, Telnet y otros servicios.

Solución

Este es el comportamiento esperado.

Solución de problemas con otros conmutadores

En esta sección, se describen problemas específicos de los conmutadores QFX distintos de los conmutadores QFX10000. Esta información también se aplica a los conmutadores OCX1100 y EX4600.

La configuración del filtro de firewall devuelve un mensaje TCAM sin espacio disponible

Problema

Descripción

Cuando la configuración de un filtro de firewall supera la cantidad de espacio disponible de memoria ternaria direccionable de contenido (TCAM), el sistema devuelve el siguiente syslogd mensaje:

Un conmutador devuelve este mensaje durante la operación de confirmación si el filtro de firewall que se aplicó a un puerto, VLAN o interfaz de capa 3 supera la cantidad de espacio disponible en la tabla TCAM. No se aplica el filtro, pero la operación de confirmación para la configuración del filtro de firewall se completa en el módulo de CLI.

Solución

Cuando la configuración de un filtro de firewall supera la cantidad de espacio de tabla TCAM disponible, debe configurar un nuevo filtro de firewall con menos términos de filtro para que los requisitos de espacio para el filtro no superen el espacio disponible en la tabla TCAM.

Puede realizar cualquiera de los siguientes procedimientos para corregir el problema:

Para eliminar el filtro y su enlace y aplicar el nuevo filtro de firewall más pequeño al mismo enlace:

  1. Elimine el filtro y su enlace a puertos, VLAN o interfaces de capa 3. Por ejemplo:

  2. Confirme los cambios:

  3. Configure un filtro más pequeño con menos términos que no supere la cantidad de espacio TCAM disponible. Por ejemplo:

  4. Aplique (enlazar) el nuevo filtro de firewall a un puerto, VLAN o interfaz de capa 3. Por ejemplo:

  5. Confirme los cambios:

Para aplicar un nuevo filtro de firewall y sobrescribir el enlace existente, pero no eliminar el filtro original:

  1. Configure un filtro de firewall con menos términos que el filtro original:

  2. Aplique el filtro de firewall a las interfaces de puerto, VLAN o capa 3 para sobrescribir el enlace del filtro original, por ejemplo:

    Dado que no se puede aplicar más de un filtro de firewall por VLAN por dirección, el enlace del filtro de firewall original a la VLAN se sobrescribe con el nuevo filtro new-ingress-vlan-rogue-blockde firewall.

  3. Confirme los cambios:

Nota:

El filtro original no se elimina y sigue estando disponible en la configuración.

Recuentos de filtros de paquetes caídos anteriormente

Problema

Descripción

Si configura dos o más filtros en la misma dirección para una interfaz física y uno de los filtros incluye un contador, el contador será incorrecto si se aplican las siguientes circunstancias:

  • Configure el filtro que se aplica primero a los paquetes para descartar determinados paquetes. Por ejemplo, imagine que tiene un filtro VLAN que acepta paquetes enviados a direcciones 10.10.1.0/24 y descarta implícitamente los paquetes enviados a cualquier otra dirección. Aplique el filtro a la admin VLAN en la dirección de salida, y la interfaz xe-0/0/1 es miembro de esa VLAN.

  • Configure un filtro posterior para aceptar y contar paquetes que se pierden con el primer filtro. En este ejemplo, tiene un filtro de puerto que acepta y cuenta paquetes enviados a direcciones 192.168.1.0/24 que también se aplica a xe-0/0/1 en la dirección de salida.

El filtro VLAN de salida se aplica primero y descarta correctamente los paquetes enviados a direcciones 192.168.1.0/24. El filtro de puerto de salida se aplica a continuación y cuenta los paquetes descartados como paquetes coincidentes. Los paquetes no se reenvían, pero el contador que muestra el filtro de puerto de salida es incorrecto.

Recuerde que el orden en el que se apliquen los filtros depende de la dirección en la que se apliquen, como se indica aquí:

Filtros de entrada:

  1. Filtro de puerto (capa 2)

  2. Filtro VLAN

  3. Filtro de enrutador (capa 3)

Filtros de salida:

  1. Filtro de enrutador (capa 3)

  2. Filtro VLAN

  3. Filtro de puerto (capa 2)

Solución

Este es el comportamiento esperado.

No se cuentan los paquetes coincidentes

Problema

Descripción

Si configura dos filtros de salida con contadores para una interfaz física y un paquete coincide con ambos filtros, solo uno de los contadores incluye ese paquete.

Por ejemplo:

  • Configure un filtro de puerto de salida con un contador para la interfaz xe-0/0/1.

  • Configure un filtro VLAN de salida con un contador para la VLAN, y la admininterfaz xe-0/0/1 es miembro de esa VLAN.

  • Un paquete coincide con ambos filtros.

En este caso, el paquete se cuenta solo por uno de los contadores, aunque coincida con ambos filtros.

Solución

Este es el comportamiento esperado.

Restablecimiento del contador al editar el filtro

Problema

Descripción

Si edita un término de filtro de firewall, el valor de cualquier contador asociado con cualquier término del mismo filtro se establece en 0, incluido el contador implícito para cualquier agente de policía al que haga referencia el filtro. Considere los siguientes ejemplos:

  • Supongamos que el filtro tiene term1, term2, y term3, y cada término tiene un contador que ya ha contado paquetes coincidentes. Si edita cualquiera de los términos de alguna manera, los contadores de todos los términos se restablecen a 0.

  • Supongamos que el filtro tieneterm1.term2 También suponga que term2 tiene un policer modificador de acción y el contador implícito del agente de policía ya ha contado 1000 paquetes coincidentes. Si edita term1 o term2 de cualquier manera, el contador para el agente de policía al que hace referencia se restablece term2 a 0.

Solución

Este es el comportamiento esperado.

No puede incluir acciones con prioridad de pérdida y de policía en el mismo plazo

Problema

Descripción

No puede incluir las dos acciones siguientes en el mismo término de filtro de firewall en un conmutador serie QFX:

  • loss-priority

  • policer

Si lo hace, verá el siguiente mensaje de error cuando intenta confirmar la configuración: "no puede admitir la acción del agente de policía si se configura la prioridad de pérdida".

Solución

Este es el comportamiento esperado.

No se puede filtrar cierto tráfico que se origina en el conmutador QFX

Problema

Descripción

En un conmutador de la serie QFX, no puede filtrar cierto tráfico con un filtro de firewall aplicado en la dirección de salida si el tráfico se origina en el conmutador QFX. Esta limitación se aplica al control del tráfico de protocolos como ICMP (ping), STP, LACP, etc.

Solución

Este es el comportamiento esperado.

Condición de coincidencia de filtro de firewall que no funciona con tunelización Q-in-Q

Problema

Descripción

Si crea un filtro de firewall que incluye una condición de coincidencia de dot1q-tag o dot1q-user-priority y aplica el filtro en la entrada a un puerto de troncalización que participa en una VLAN de servicio, la condición de coincidencia no funciona si el EtherType Q-in-Q no está 0x8100. (Cuando se habilita la tunelización Q-in-Q, se da por sentado que las interfaces troncales forman parte del proveedor de servicios o de la red del centro de datos y, por lo tanto, participan en VLAN de servicio).

Solución

Este es el comportamiento esperado. Para establecer el EtherType Q-in-Q en 0x8100, escriba la set dot1q-tunneling ethertype 0x8100 instrucción en el [edit ethernet-switching-options] nivel de jerarquía. También debe configurar el otro extremo del vínculo para que use el mismo Tipo Ether.

Filtros de firewall de salida con VLAN privadas

Problema

Descripción

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro también se aplica a las VLAN secundarias que son miembros de la VLAN principal cuando el tráfico salida con la etiqueta VLAN principal o la etiqueta VLAN aislada, como se muestra a continuación:

  • Tráfico reenviado desde un puerto troncal de VLAN secundario a un puerto promiscuo (troncalización o acceso)

  • Tráfico reenviado desde un puerto de troncalización VLAN secundario que transporta una VLAN aislada a un puerto de troncalización PVLAN.

  • Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal de VLAN secundario

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto troncal de VLAN secundario

  • Tráfico reenviado desde un puerto comunitario a un puerto promiscuo (troncal o acceso)

Si aplica un filtro de firewall en la dirección de salida a una VLAN principal, el filtro no se aplica al tráfico que sale con una etiqueta VLAN comunitaria, como se muestra a continuación:

  • Tráfico reenviado desde un puerto troncal de comunidad a un puerto troncal pvLAN

  • Tráfico reenviado desde un puerto de troncalización VLAN secundario que transporta una VLAN comunitaria a un puerto de troncalización PVLAN

  • Tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto troncal comunitario

  • Tráfico reenviado desde un puerto troncal PVLAN. a un puerto de troncalización comunitaria

Si aplica un filtro de firewall en la dirección de salida a una VLAN de comunidad, se aplican los siguientes comportamientos:

  • El filtro se aplica al tráfico reenviado desde un puerto promiscuo (troncal o acceso) a un puerto de troncalización comunitaria (porque el tráfico se desvía con la etiqueta VLAN de la comunidad).

  • El filtro se aplica al tráfico reenviado desde un puerto de comunidad a un puerto de troncalización PVLAN (porque el tráfico salida con la etiqueta VLAN de la comunidad).

  • El filtro no se aplica al tráfico que se reenvía desde un puerto de comunidad a un puerto promiscuo (porque el tráfico salida con la etiqueta VLAN principal o sin etiquetar).

Solución

Estos son comportamientos esperados. Se producen solo si aplica un filtro de firewall a una VLAN privada en la dirección de salida y no se producen si aplica un filtro de firewall a una VLAN privada en la dirección de entrada.

Filtrado de salida del tráfico L2PT no compatible

Problema

Descripción

El filtrado de salida del tráfico L2PT no se admite en el conmutador QFX3500. Es decir, si configura L2PT para tunelización de un protocolo en una interfaz, tampoco puede usar un filtro de firewall para filtrar el tráfico de ese protocolo en esa interfaz en la dirección de salida. Si confirma una configuración para este propósito, el filtro de firewall no se aplica al tráfico de túnel L2PT.

Solución

Este es el comportamiento esperado.

No se pueden soltar paquetes de BGP en ciertas circunstancias

Problema

Descripción

Los paquetes BGP con un valor de tiempo de vida (TTL) mayor que 1 no se pueden descartar mediante un filtro de firewall aplicado a una interfaz de circuito cerrado o aplicado en la entrada a una interfaz de capa 3. Los paquetes BGP con valor TTL de 1 o 0 se pueden descartar mediante un filtro de firewall aplicado a una interfaz de circuito cerrado o aplicado en la entrada a una interfaz de capa 3.

Solución

Este es el comportamiento esperado.

Estadísticas no válidas para policer

Problema

Descripción

Si aplica un policiar de dos colores de velocidad única en más de 128 términos en un filtro de firewall, la salida del show firewall comando muestra datos incorrectos para el agente de policía.

Solución

Este es el comportamiento esperado.

Los policías pueden limitar los filtros de salida

Problema

Descripción

En algunos conmutadores, la cantidad de policias de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que toman dos entradas en una TCAM de 1024 entradas. Estos se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los agentes de policía consumen dos entradas, ya que una se utiliza para paquetes verdes y otra para paquetes no verdes, independientemente del tipo de agente de policía).) Si la TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma los policías de salida 512 (dos colores, tres colores o una combinación de ambos tipos de policia), todas las entradas de memoria de los contadores se acostumbran. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos adicionales:

  • Supongamos que configura filtros de salida que incluyen un total de 512 policias y ningún contador. Más adelante, en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio TCAM para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que se ocupan 1000 entradas TCAM. Más adelante, en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

    • Filtrar A con 20 términos y 20 contadores. Todos los términos de este filtro están comprometidos porque hay suficiente espacio TCAM para todos los contadores.

    • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas de TCAM, pero solo cuatro están disponibles.)

Solución

Para evitar este problema, asegúrese de que los términos del filtro de firewall de salida con acciones de contador se colocan antes en el archivo de configuración que en los términos que incluyen policías. En esta circunstancia, Junos OS confirma los agentes de policía incluso si no hay suficiente espacio TCAM para los contadores implícitos. Por ejemplo, suponga lo siguiente:

  • Tiene términos de filtro de firewall de salida 1024 con acciones de contador.

  • Más adelante, en el archivo de configuración, tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores, pero uno tiene un modificador de acción de policía.

Puede confirmar correctamente el filtro con 10 términos aunque no haya suficiente espacio TCAM para los contadores implícitos del agente de policía. El policía se comete sin los contadores.