Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Planificación del número de filtros de cortafuegos para crear

Número máximo de filtros de cortafuegos admitidos

Tabla 1muestra el número máximo de filtros del firewall que admite cada conmutador. El número total de filtros se aplica en un agregado. Por ejemplo, en los conmutadores QFX5200 y QFX5210, puede aplicar un total de 768 términos en la dirección de entrada y en los 1024 términos en la dirección de salida. El número real de filtros que admite un conmutador depende de cómo se almacenen los filtros en la memoria direccionable a través de contenido ternario (TCAM).

Para los conmutadores QFX5120-48Y y EX4650 que ejecutan Junos OS versión 20.3R1 o posterior, puede habilitar el comando para aumentar el límite predeterminado del sistema para los términos de filtro de circuito cerrado a [set chassis loopback-firewall-optimization 768 para IPv6 y 1152 términos para IPv4.

Para ver cuántos filtros ya están programados en el conmutador, ingrese el show pfe filter hw summary comando. En QFX5220, use el modo de shell para ver la cantidad de filtros. Para entrar en el modo de Shell start shell , escriba el cli-pfe comando y escriba la solicitud de acceso al modo CLI de PFE.

Tabla 1: Número máximo de filtros de cortafuegos admitidos
Tipo de filtro QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

Entrada

768

1536

1536

6144

768

8192

Salida

1024

1024

2048

1024 o 2048

1024

512 (QFX5220)

8192

Cómo aumentar la cantidad de filtros de firewall

Puede aumentar la cantidad de filtros de firewall en su dispositivo de varias maneras:

  • (QFX5220) Para crear más de 512 filtros de VLAN de salida, especifique el primer ID de VLAN como 6, el segundo ID de VLAN como 7, el tercer ID de VLAN como 5 y así sucesivamente. Para cada VLAN que configure, el número aumenta en 1 y continúa a través de la VLAN ID 1029. Si desea crear menos de 512 filtros VLAN de salida, pero desea que el número total de términos de esos filtros sea superior a 512, asegúrese de que ha numerado los ID. de VLAN del mismo modo. De lo contrario, el número total de términos o filtros permitidos será inferior a 1024 y permanecerá en 512.

  • A partir de Junos OS versión 19.1 R1, puede aumentar el número de filtros de Firewall VLAN en el QFX5110 del 1024 al 2048 mediante la egress-to-ingress opción. Esta opción se incluye en el from extracto en la [edit firewall] jerarquía.

    A partir de Junos OS versión evolucionada 19.4R2, puede configurar hasta 2000 filtros de firewall de salida en el QFX5220 incluyendo la opción bajo la instrucción en el nivel de egress-scaleeracl-profile[edit system packet-forwarding-option firewall] jerarquía. Esta característica solo se admite en la dirección de salida (tráfico enrutado que sale del dispositivo).

    Tenga en cuenta lo siguiente cuando configure esta función:

    • No puede aplicar filtros con las mismas condiciones de coincidencia a distintas VLAN de salida o interfaces de capa 3.

    • No puede aplicar el escalamiento de salida en interfaces GRE.

    • Si un paquete coincide con varios filtros con diferentes calificadores y se aplica a distintas interfaces de salida, esto puede dar lugar a un comportamiento impredecible.

    • Solo puede configurar la egress-scale opción en modo global. La nueva configuración de cli se proporciona en modo global. Una vez que un usuario configura el grupo ERACL en modo de escala de salida (salida a entrada), no podrá configurar ERACL de la manera anterior, es decir, sin usar el espacio tcam IFP. En otras palabras, no se admite ERACL en modo mixto.

TCAM

La memoria direccionable a través de contenido ternario (TCAM) para filtros de Firewall está dividida en segmentos que admiten los términos 256. Cuando configure un filtro de firewall, todos los términos de un segmento de memoria deben estar en filtros del mismo tipo y aplicarse en la misma dirección. Un segmento de memoria se reserva en cuanto confirma un filtro. Por ejemplo, si crea un filtro de puerto y lo aplica en la dirección de entrada, se reserva un segmento de memoria que solo almacena filtros de puerto de Ingress. Si crea y aplica solo un filtro de puerto de entrada y ese filtro solo tiene un término, el resto de la división no se utiliza y no está disponible para otros tipos de filtros.

Por ejemplo, supongamos que crea y aplica 256 filtros de puerto de entrada con un término cada uno para que se llenado una división de memoria. Esto deja dos segmentos más de memoria disponibles para filtros de entrada. (En este caso, el número máximo de términos de la entrada es 768). Si, a continuación, crea y aplica un filtro de capa de entrada 3 con un término, se reserva otro segmento de memoria para los filtros de la capa 3 de entrada. Al igual que antes, el resto del sector no se utiliza y no está disponible para distintos tipos de filtros. Ahora hay un segmento de memoria disponible para cualquier tipo de filtro de entrada.

Ahora suponga que crea y aplica un filtro de entrada de VLAN. El segmento de memoria final está reservado para filtros de VLAN. Asignación de memoria para filtros de entrada (una vez más que suponemos un término por filtro) es:

  • Segmento 1: Rellenado con filtros de Puerto 256 de entrada. No puede confirmar más filtros de puerto de entrada.

  • Segmento 2: Contiene un filtro de capa de entrada 3 con un término. Puede confirmar 255 más términos en los filtros de la capa 3 de entrada.

  • Segmento 3: Contiene un filtro VLAN de entrada con un término. Puede confirmar 255 más términos en los filtros de VLAN de entrada.

Este es otro ejemplo. Suponga que crea 257 filtros de puerto de entrada con un término por filtro; es decir, crea un término más que el que puede acomodar una sola división de memoria. Cuando aplique los filtros y confirme la configuración, la asignación de memoria del filtro será:

  • Segmento 1: Rellenado con filtros de Puerto 256 de entrada. No se pueden aplicar más filtros de puertos de entrada.

  • Segmento 2: Contiene un filtro de puerto de entrada. Puede aplicar 255 más términos en los filtros de puerto de entrada.

  • Segmento 3: Esta división no está asignada. Puede crear y aplicar 256 términos en filtros de entrada de cualquier tipo (puerto, capa 3 o VLAN), pero todos los filtros deben ser del mismo tipo.

Nota:

Todos los ejemplos anteriores también se aplican a los filtros de salida. La diferencia estriba en que se utilizan cuatro segmentos de memoria, ya que los filtros IPv4 e IPv6 de capa 3 se almacenan en diferentes sectores. Las divisiones de memoria de los filtros de salida son del mismo tamaño que las de los filtros de entrada, por lo que el número máximo de filtros será el mismo (1024).

Evite configurar demasiados filtros

Si infringe alguna de estas restricciones y confirma una configuración que no es conforme, Junos OS rechaza los filtros excesivos. Por ejemplo, si configura 300 filtros de puerto de entrada y 300 filtros de capa 3 e intenta confirmar la configuración, Junos OS realiza lo siguiente (de nuevo suponiendo un término por filtro):

  • Acepta los filtros de puerto de entrada del 300 (que los almacena en dos segmentos de memoria).

  • Acepta el primer filtro de la capa 3 256 de entrada que procesa (almacenándolos en el tercer segmento de memoria).

  • Rechaza los restantes filtros de la capa 3 de entrada del 44.

Nota:

Asegúrese de eliminar los filtros excesivos (por ejemplo, los 44 restantes filtros de la capa 3 de entrada de la configuración) antes de reiniciar el dispositivo. Si reinicia un dispositivo que tiene una configuración no compatible, es difícil predecir qué filtros se instalaron después del reinicio. Con el ejemplo anterior, los filtros de la capa 3 de 44 de entrada que se rechazaron originalmente podrían estar instalados, y es posible que se rechace el 44 de los filtros de puertos que se aceptaron originalmente.

Configuración de mensajes de error de TCAM

Si carece de espacio TCAM y no puede instalar un filtro de firewall, puede configurar el conmutador para enviar mensajes de error de las siguientes maneras:

  • Entrar set system syslog file filename pfe emergency para enviar mensajes de error a un archivo syslog.

  • Entrar set system syslog console pfe emergency para enviar mensajes de error a la consola.

  • Entrar set system syslog user user-login pfe emergency para enviar mensajes de error a una sesión de terminal SSH.

Cómo pueden los enpolicíadores limitar los filtros de salida

En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de Firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de entrada de 1024. Se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acciones en los términos de filtros de Firewall. (Los enpoliciales utilizan dos entradas porque una se utiliza para los paquetes verdes y la otra se utiliza para los paquetes que no son verdes independientemente del tipo de policíación). Si el TCAM se llena, no podrá confirmar más filtros de Firewall de salida con términos con contadores. Por ejemplo, si configura y confirma 512 políticas de salida (dos colores, tres colores o una combinación de ambos tipos de policíación), se utilizan todas las entradas de memoria para los contadores. Si más adelante en el archivo de configuración inserta filtros adicionales de Firewall de salida con términos que también incluyen contadores, no se confirmará ninguno de los términos de esos filtros porque no hay espacio de memoria disponible para los contadores.

A continuación, le mostramos algunos ejemplos más:

  • Suponga que configura filtros de salida que incluyen un total de 512 policiales y ningún contador. Más adelante en el archivo de configuración, incluye otro filtro de salida con 10 términos, uno de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro están confirmados porque no hay espacio en TCAM suficiente para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policiales, por lo que las entradas 1000 TCAM están ocupadas. Más adelante en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

    • Filtrar con 20 términos y 20 contadores. Todos los términos de este filtro están confirmados porque hay suficiente espacio en TCAM para todos los contadores.

    • El filtro B va después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro están confirmados porque no hay suficiente espacio en memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo hay cuatro disponibles.)

Puede evitar que ocurra este problema asegurándose de que los términos de filtro de Firewall de salida con acciones de contador se colocan anteriormente en su archivo de configuración que los términos que incluyen policía. En estas circunstancias, Junos OS confirma las políticas, incluso si no hay suficiente espacio en TCAM para los contadores implícitos. Por ejemplo, supongamos lo siguiente:

  • Dispone de términos de filtro de Firewall de 1024 con acciones de contador.

  • Más adelante en su archivo de configuración tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores pero uno tiene un modificador de acciones de policía.

Puede confirmar correctamente el filtro con 10 términos, aunque no haya espacio TCAM suficiente para los contadores implícitos del policía. El policial se confirma sin los contadores.

Planificación para las políticas específicas de filtros

Puede configurar las políticas para que sean específicas del filtro. Esto significa que Junos OS crea sólo una instancia de policía, independientemente de cuántas veces se haga referencia a la misma. Cuando hace esto, la limitación de velocidad se aplica en conjunto, por lo que si configura un aplicador de política para descartar tráfico que exceda de 1 Gbps y haga referencia a ese aplicador en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de una policía de filtro específica se ve afectado por el modo en que los términos de filtro de firewall que hacen referencia al policial se almacenan en la memoria direccionable a través de contenido ternario (TCAM). Si crea una policía de filtro específica y hace referencia a ella en varios términos de filtro de cortafuegos, la policía puede conceder más tráfico del esperado si los términos se almacenan en diferentes segmentos de TCAM. Por ejemplo, si configura un agente de política para descartar tráfico que exceda de 1 Gbps y haga referencia a dicho aplicador en tres términos diferentes que se almacenan en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no 1 Gbps.

Para evitar que ocurra este comportamiento inesperado, utilice la información sobre TCAM slices anteriores para organizar el archivo de configuración de modo que todos los términos de filtro de firewall que hacen referencia a una determinada políticas específica del filtro se almacenen en el mismo TCAM segmento.

Planear el reenvío basado en filtros

Puede utilizar filtros de cortafuegos junto con instancias de enrutamiento virtual para especificar rutas diferentes para que los paquetes viajen en sus redes. Para configurar esta característica denominada reenvío basado en filtros, debe especificar un filtro y criterios de coincidencia y, luego, especificar la instancia de enrutamiento virtual a la que enviar paquetes. Los filtros utilizados de esta manera también consumen memoria en un TCAM adicional. Consulte Understanding FIP snooping, FBF y MVR Filter Scalability para obtener más información. En la sección Consumo de TCAM del filtro FBF VFP de este tema se aborda específicamente la cantidad de filtros compatibles cuando se utiliza el reenvío basado en filtros.

Nota:

El reenvío basado en filtros no funciona con interfaces IPv6 en algunos conmutadores de Juniper.

Tabla de historial de versiones
Liberación
Descripción
19.4R2-EVO
A partir de Junos OS versión evolucionada 19.4R2, puede configurar hasta 2000 filtros de firewall de salida en el QFX5220 incluyendo la opción bajo la instrucción en el nivel de egress-scaleeracl-profile[edit system packet-forwarding-option firewall] jerarquía.
19.1R1
A partir de Junos OS versión 19.1 R1, puede aumentar el número de filtros de Firewall VLAN en el QFX5110 del 1024 al 2048 mediante la egress-to-ingress opción.