Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Planificación de la cantidad de filtros de firewall para crear

Cómo aumentar la cantidad de filtros de firewall

Puede aumentar la cantidad de filtros de firewall en su dispositivo de varias maneras:

  • (QFX5220) Para crear más de 512 filtros de VLAN de salida, especifique el primer ID de VLAN como 6, el segundo ID de VLAN como 7, el tercer ID de VLAN como 8 , y así sucesivamente. Para cada VLAN que configure, el número aumenta en 1 y continúa mediante el ID de VLAN 1029. Si desea crear menos de 512 filtros de VLAN de salida, pero desea que la cantidad total de términos en esos filtros sea superior a 512, asegúrese de numerar sus IDENTIFICADORes de VLAN de la misma manera. De lo contrario, la cantidad total de términos o filtros permitidos será menor que 1024 y permanecerá en 512.

  • A partir de Junos OS versión 19.1R1, puede aumentar la cantidad de filtros de firewall VLAN de salida en el QFX5110 de 1024 a 2048 mediante la egress-to-ingress opción. Esta opción se incluye en la from instrucción en la [edit firewall] jerarquía.

    A partir de Junos OS Evolved versión 19.4R2, puede configurar hasta 2000 filtros de firewall de salida en el QFX5220 incluyendo la egress-scale opción en la eracl-profile instrucción en el [edit system packet-forwarding-option firewall] nivel de jerarquía. Esta función solo se admite en la dirección de salida (tráfico enrutado que sale del dispositivo).

    Tenga en cuenta lo siguiente al configurar esta función:

    • No puede aplicar filtros con las mismas condiciones de coincidencia a VLAN de salida o interfaces de capa 3 diferentes.

    • No puede aplicar el escalado de salida en interfaces GRE.

    • Si un paquete hace coincidir varios filtros con distintos calificadores y se aplica en interfaces de salida diferentes, esto puede dar lugar a un comportamiento impredecible.

    • Solo puede configurar la egress-scale opción en modo global. La nueva configuración de CLI se proporcionará en modo global. Una vez que un usuario configura el grupo ERACL en modo de escala de salida (de salida a entrada), no podrá configurar ERACL de la manera más antigua, es decir, sin usar ifp tcam space. En otras palabras, no se admitirá ERACL en modo mixto.

TCAM

La memoria ternaria direccionable de contenido (TCAM) para filtros de firewall se divide en segmentos que admiten 256 términos. Cuando configure un filtro de firewall, todos los términos de una división de memoria deben estar en filtros del mismo tipo y aplicarse en la misma dirección. Se reserva una división de memoria tan pronto como confirme un filtro. Por ejemplo, si crea un filtro de puerto y lo aplica en la dirección de entrada, se reserva un segmento de memoria que solo almacena los filtros de puerto de entrada. Si crea y aplica solo un filtro de puerto de entrada y ese filtro tiene un solo término, el resto de este segmento no se utiliza y no está disponible para otros tipos de filtro.

Nota:

En un entorno EVPN, los conmutadores serie QFX5200 admiten hasta 512 entradas TCAM.

Por ejemplo, supongamos que crea y aplica 256 filtros de puerto de entrada con un término cada uno para que se complete un segmento de memoria. Esto deja dos segmentos de memoria más disponibles para los filtros de entrada. (En este caso, la cantidad máxima de términos de entrada es 768.) Si a continuación crea y aplica un filtro de entrada de capa 3 con un término, otra división de memoria se reserva para los filtros de entrada de capa 3. Como antes, el resto de la división no se utiliza y no está disponible para diferentes tipos de filtro. Ahora hay una división de memoria disponible para cualquier tipo de filtro de entrada.

Ahora suponga que crea y aplica un filtro de entrada VLAN. El segmento de memoria final está reservado para los filtros de entrada de VLAN. La asignación de memoria para los filtros de entrada (una vez más, suponiendo un término por filtro) es:

  • División 1: Lleno con 256 filtros de puerto de entrada. No puede confirmar más filtros de puerto de entrada.

  • División 2: Contiene un filtro de entrada de capa 3 con un término. Puede confirmar 255 términos más en filtros de entrada de capa 3.

  • División 3: Contiene un filtro VLAN de entrada con un término. Puede confirmar 255 términos más en filtros VLAN de entrada.

Este es otro ejemplo. Supongamos que se crean 257 filtros de puerto de entrada con un término por filtro, es decir, se crea un término más del que puede admitir una sola división de memoria. Cuando se aplican los filtros y se confirma la configuración, la asignación de memoria del filtro es:

  • División 1: Lleno con 256 filtros de puerto de entrada. No puede aplicar más filtros de puerto de entrada.

  • División 2: Contiene un filtro de puerto de entrada. Puede aplicar 255 términos más en filtros de puerto de entrada.

  • División 3: Esta división no está asignada. Puede crear y aplicar 256 términos en filtros de entrada de cualquier tipo (puerto, capa 3 o VLAN), pero todos los filtros deben ser del mismo tipo.

Nota:

Todos los ejemplos anteriores también se aplican a los filtros de salida. La diferencia es que se utilizan cuatro segmentos de memoria porque los filtros de capa 3 IPv4 e IPv6 se almacenan en segmentos separados. Los segmentos de memoria para los filtros de salida tienen el mismo tamaño que los de los filtros de entrada, por lo que la cantidad máxima de filtros será la misma (1024).

Evite configurar demasiados filtros

Si infringe alguna de estas restricciones y confirma una configuración que no cumple, Junos OS rechaza los filtros excesivos. Por ejemplo, si configura 300 filtros de puerto de entrada y 300 filtros de capa de entrada 3 e intenta confirmar la configuración, Junos OS hace lo siguiente (suponiendo de nuevo un término por filtro):

  • Acepta los 300 filtros de puerto de entrada (almacenándolos en dos segmentos de memoria).

  • Acepta los primeros 256 filtros de entrada de capa 3 que procesa (almacenándolos en el tercer segmento de memoria).

  • Rechaza los 44 filtros de entrada de capa 3 restantes.

Nota:

Asegúrese de eliminar los filtros excesivos (por ejemplo, los 44 filtros de entrada de capa 3 restantes) de la configuración antes de reiniciar el dispositivo. Si reinicia un dispositivo que tiene una configuración no compatible, es difícil predecir qué filtros se instalaron después del reinicio. Con el ejemplo anterior, se podrían instalar los 44 filtros de entrada de capa 3 que se rechazaron originalmente y podrían rechazarse 44 de los filtros de puerto aceptados originalmente.

Configuración de mensajes de error de TCAM

Si carece de espacio TCAM y no puede instalar un filtro de firewall, puede configurar el conmutador para que envíe mensajes de error de las siguientes maneras:

  • Ingrese set system syslog file filename pfe emergency para enviar mensajes de error a un archivo syslog.

  • Escriba set system syslog console pfe emergency para enviar mensajes de error a la consola.

  • Ingrese set system syslog user user-login pfe emergency para enviar mensajes de error a una sesión de terminal SSH.

Cómo aumentar la escala de los filtros de firewall mediante perfiles

Cuando configura un filtro de firewall, la instrucción term en la configuración del filtro de firewall proporciona un amplio conjunto de condiciones de coincidencia. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse coincidencia. Puede definir una o varias condiciones de coincidencia según sus requisitos. Cuando un paquete coincide con un filtro, el dispositivo realiza la acción especificada en el término. La escalabilidad de los filtros de firewall generalmente depende de la cantidad de condiciones de coincidencia utilizadas.

En escenarios de despliegue típicos, solo necesitará usar un subconjunto de condiciones de coincidencia. Con la introducción de perfiles, puede usar uno de los perfiles de filtro de firewall disponibles con condiciones de coincidencia predefinidas para aumentar la cantidad de filtros de firewall utilizados para lograr la escala máxima.

Puede configurar perfiles de filtros de firewall para conmutación basada en Ethernet y inet de familia. Utilice la instrucción de configuración de perfiles en el nivel jerárquico de [edit system-packet-forwarding-options firewall] para configurar los perfiles de filtro de firewall.

Nota:

Cuando se hacen cambios en los perfiles de filtro de firewall, ya sea seleccionando un perfil o pasando de un perfil a otro, se reinicia el motor de reenvío de paquetes, lo que provoca interrupciones en el flujo de tráfico.

En la tabla siguiente se describen los perfiles de filtro de firewall y las condiciones de coincidencia predefinidas para la conmutación basada en Inet y Ethernet.

Tabla 1: Perfil de filtro de firewall y condiciones de coincidencia
Tipo de familia Perfiles de filtro de firewall Condición de coincidencia (predefinido) Jerarquía de configuración
inet (IPv4/IPv6) profile1

ip-source-address

ip-source-prefix-list

Protocolo

siguiente encabezado

puerto de origen

puerto de destino

primer fragmento

is-fragment

icmp-code

tipo icmp

establecido por tcp

inicial tcp

tcp-flags

 [edit system packet-forwarding-options firewall profiles inet profile1]
perfil2

dirección ip-fuente

ip6-source-address

ip-source-prefix-list

ip6-source-prefix-list

Protocolo

siguiente encabezado

puerto de origen

puerto de destino

primer fragmento

is-fragment

icmp-code

tipo icmp

establecido por tcp

inicial tcp

tcp-flags

Dscp

Precedencia

clase de tráfico

Ttl

límite de saltos

 [edit system packet-forwarding-options firewall profiles inet profile2]
Conmutación Ethernet profile1

dirección mac de origen

dirección mac de destino

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile1]
perfil2

dirección mac de origen

dirección mac de destino

tipo éter

dirección ip-fuente

ip-source-prefix-list

protocolo ip

puerto de origen

puerto de destino

siguiente encabezado

 [edit system packet-forwarding-options firewall profiles ethernet-switching profile2]
       
Nota:

Cuando seleccione un perfil de filtro de firewall, debe aplicar una condición de coincidencia que forme parte del subconjunto de condición de coincidencia predefinido. Si aplica una condición de coincidencia que no forma parte del subconjunto de condición de coincidencia predefinido del perfil de filtro de firewall, se produce un error de confirmación. Por ejemplo, si selecciona profile1 para el filtro de inet y aplica la condición de coincidencia como ip-destination-address, que no forma parte de la condición de coincidencia definida previamente, verá un error durante la operación de confirmación que indica que la ip-destination-address coincidencia no forma parte del profile1 filtro de inet.

Puede usar el comando de CLI show pfe filter hw profile-info para ver los detalles de los perfiles de filtro de firewall.

Nota:

El módulo de firewall admite dos perfiles diferentes (perfil uno y perfil dos) solo en plataformas ACX EVO. De forma predeterminada, pfe aparecerá con el perfil dos y a los usuarios se les dará una opción de CLI para permitirles cambiar al otro perfil. Una vez que el perfil se alterna a través de cli, pfe se reiniciará.

Filtro IFF IPV6: Profile-one admite sip6 hasta 128 bits. El perfil dos admite sip6 hasta 64 bits.

Filtro lo0 Ipv6: El perfil uno admite dip6 hasta 128bits. El perfil dos admite dip6 hasta 64bits.

Los filtros Ipv6-Bgp-flow-spec y los filtros IPv6-FTF solo se admiten en el perfil dos.

Categoría Funciones de PMF Perfil dos Perfil uno

Familia cualquiera

Filtro IFL IPv6

 

Filtro IFL IPv6: acción de registro/syslog/rechazar

No

No

Filtro de familia

Filtro IFF IPv6

 

Filtro IFF IPv6: COINCIDENCIA SIP6=128bits

No

 

Filtro IFF IPv6 - Coincidencias L4

 

Filtro IFF IPv6: acción de registro/syslog/rechazar

Filtro Lo0

Filtro Lo0 IPv6- Soporte de Hw

 

Filtro Lo0 IPv6 - Adjunto VRF

No
 

Filtro Lo0 IPv6 - Soporte sw

 

dip6 Partido de 128 bits

No

Para lograr la escala máxima de filtros de firewall, se recomienda aplicar filtros de nivel de interfaz (capa 2 o capa 3) y distribuir los filtros por igual entre las interfaces de diferentes canalizaciones de procesamiento de paquetes. Cada conjunto de interfaces se asigna a una canalización de procesamiento de paquetes que controla los paquetes recibidos en esas interfaces. En este caso, los filtros de firewall se instalan en el espacio de memoria TCAM del canal de procesamiento de paquetes asignado a la interfaz respectiva.

Cuando un paquete entra en una interfaz, el filtro de firewall realiza acciones de filtrado en el paquete en la canalización de procesamiento de paquetes según las condiciones de coincidencia antes de salir de una interfaz de salida. En el caso de varias canalizaciones de procesamiento de paquetes, cuando los paquetes ingresan a un dispositivo a través de varias interfaces, el filtro de firewall realiza acciones de filtrado en los paquetes que pasan por las canalizaciones de procesamiento de paquetes respectivas. Tener los filtros de nivel de interfaz distribuidos por igual en las interfaces de diferentes canalizaciones de procesamiento de paquetes ofrece una mejor escala

Puede usar el comando de cli show pfe filter hw port-pipe-info para ver los detalles de la canalización de procesamiento de paquetes a la que se asigna cada interfaz física. El resultado de este comando de CLI también proporciona información sobre los filtros de firewall instalados en una canalización de procesamiento de paquetes. Puede usar esta información para planificar y distribuir filtros de firewall entre canalizaciones a fin de lograr la máxima escala.

La siguiente salida de ejemplo del comando de CLI show pfe filter hw port-pipe-info muestra los detalles de la canalización de procesamiento de paquetes a la que se asigna cada interfaz física:

Cómo los policías pueden limitar los filtros de salida

En algunos conmutadores, la cantidad de policias de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que toman dos entradas en una TCAM de 1024 entradas. Estos se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los agentes de policía consumen dos entradas, ya que una se utiliza para paquetes verdes y otra para paquetes no verdes, independientemente del tipo de agente de policía).) Si la TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma los policías de salida 512 (dos colores, tres colores o una combinación de ambos tipos de policia), todas las entradas de memoria de los contadores se acostumbran. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos más:

  • Supongamos que configura filtros de salida que incluyen un total de 512 policias y ningún contador. Más adelante, en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio TCAM para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que se ocupan 1000 entradas TCAM. Más adelante, en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

    • Filtrar A con 20 términos y 20 contadores. Todos los términos de este filtro están comprometidos porque hay suficiente espacio TCAM para todos los contadores.

    • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas de TCAM, pero solo cuatro están disponibles.)

Puede detener este problema si se asegura de que los términos del filtro de firewall de salida con acciones de contador se colocan antes en el archivo de configuración que los términos que incluyen policías. En esta circunstancia, Junos OS confirma los agentes de policía incluso si no hay suficiente espacio TCAM para los contadores implícitos. Por ejemplo, suponga lo siguiente:

  • Tiene términos de filtro de firewall de salida 1024 con acciones de contador.

  • Más adelante, en el archivo de configuración, tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores, pero uno tiene un modificador de acción de policía.

Puede confirmar correctamente el filtro con 10 términos aunque no haya suficiente espacio TCAM para los contadores implícitos del agente de policía. El policía se comete sin los contadores.

Planificación de políticas específicas para filtros

Puede configurar los policiacos para que sean específicos del filtro. Esto significa que Junos OS crea solo una instancia de policía, independientemente de la cantidad de veces que se haga referencia al agente de policía. Cuando hace esto, la limitación de velocidad se aplica en conjunto, de modo que si configura un agente de política para descartar tráfico que supere 1 Gbps y hace referencia a ese agente de política en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de un agente de policía específico para filtros se ve afectado por cómo los términos de filtro de firewall que hacen referencia al agente de policía se almacenan en la memoria direccionable de contenido ternario (TCAM). Si crea un agente de policía específico para filtros y lo hace referencia a varios términos de filtro de firewall, el agente de policía permite más tráfico del esperado si los términos se almacenan en diferentes segmentos de TCAM. Por ejemplo, si configura un agente de política para descartar tráfico que supere 1 Gbps y hace referencia a ese agente de política en tres términos diferentes que se almacenan en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no de 1 Gbps.

Para evitar que ocurra este comportamiento inesperado, utilice la información sobre los segmentos TCAM anteriores para organizar el archivo de configuración de modo que todos los términos del filtro de firewall que hacen referencia a un agente de policía específico del filtro se almacenen en el mismo segmento TCAM.

Planificación del reenvío basado en filtros

Puede usar filtros de firewall junto con instancias de enrutamiento virtual para especificar diferentes rutas para que los paquetes viajen en sus redes. Para configurar esta función, llamada reenvío basado en filtros, especifique un filtro y criterios de coincidencia, y, a continuación, especifique la instancia de enrutamiento virtual a la que enviar paquetes. Los filtros utilizados de esta manera también consumen memoria en una TCAM adicional. Consulte Descripción de la escalabilidad de filtros FIP, FBF y MVR para obtener más información. La sección Consumo de TCAM del filtro FBF VFP de este tema aborda específicamente la cantidad de filtros compatibles cuando se utiliza el reenvío basado en filtros.

Nota:

El reenvío basado en filtros no funciona con interfaces IPv6 en algunos conmutadores de Juniper.

Temas relacionados

Tabla de historial de versiones
Liberación
Descripción
19.4R2-EVO
A partir de Junos OS Evolved versión 19.4R2, puede configurar hasta 2000 filtros de firewall de salida en el QFX5220 incluyendo la egress-scale opción en la eracl-profile instrucción en el [edit system packet-forwarding-option firewall] nivel de jerarquía.
19.1R1
A partir de Junos OS versión 19.1R1, puede aumentar la cantidad de filtros de firewall VLAN de salida en el QFX5110 de 1024 a 2048 mediante la egress-to-ingress opción.