Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Устранение неполадок фильтров межсетевых экранов

Используйте следующую информацию для устранения неполадок конфигурации фильтра брандмауэра.

Устранение неполадок QFX10000 коммутаторов

В данном разделе описываются проблемы, специфические для QFX10000 коммутаторов:

Не сочетайте условия совпадения для разных уровней

На QFX10000 не объединяйте условия совпадения для уровня 2 и другого уровня в family ethernet-switching фильтре. (Например, не нужно включать условия, которые совпадают с MAC-адресами и IP-адресами в одном фильтре.) Если это сделать, фильтр будет работать успешно, но не будет работать. Также вы увидите следующее сообщение журнала: L2 filter filter-name doesn't support mixed L2 and L3/L4 match conditions. Please re-config.

Пакеты уровня 2 не могут быть отброшены фильтрами межсетевых экранов

Проблема

Описание

Контрольные пакеты уровня 2 (L2), такие как протокол обнаружения уровня соединений (LLDP) и блок данных протокола моста (BPDU), не могут быть отброшены фильтрами межсетевых экранов.

Решение

Настройте распределенную отказ в обслуживании (DDoS) защиту на контрольном пакете L2 и установите минимальное значение 1 для совокупной пропускной способности и размера пакета. Например

user@host # set aggregate bandwidth 1

user@host # set aggregate burst 1

Фильтр межсетевых экранов Protect-RE (loopback) не фильтрует пакеты, применяемые к интерфейсам EM0

Проблема

Описание

На QFX10000 коммутаторах фильтр межсетевых экранов Protect-RE (loopback) не фильтрует пакеты, примененные к интерфейсам EM0, включая SNMP, Telnet и другие службы.

Решение

Это ожидаемое поведение.

Устранение неполадок других коммутаторов

В данном разделе описаны проблемы, специфические для коммутаторов QFX, кроме QFX10000 коммутаторов. Эта информация также относится к OCX1100 и EX4600 коммутаторам.

Конфигурация фильтра брандмауэра возвращает сообщение TCAM об отсутствие места

Проблема

Описание

Когда конфигурация фильтра брандмауэра превышает объем доступного пространства Ternary Content Addressable Memory (TCAM), система возвращает следующее syslogd сообщение:

Коммутатор возвращает это сообщение во время операции сфиксации, если фильтр брандмауэра, примененный к порту, VLAN или интерфейсу уровня 3, превышает объем пространства, доступного в таблице TCAM. Фильтр не применяется, но операция сфиксации для конфигурации фильтра межсетевых экранов выполнена в интерфейс командной строки модуле.

Решение

Когда конфигурация фильтра брандмауэра превышает объем доступного пространства таблицы TCAM, необходимо настроить новый фильтр брандмауэра с другими терминами фильтра, чтобы требования к размеру места для фильтра не превышали доступное пространство в таблице TCAM.

Для устранения проблемы можно выполнить любой из следующих процедур:

Удаление фильтра и его привязки и применение нового меньшего фильтра межсетевых экранов к той же привязке:

  1. Удалите фильтр и его привязку к портам, VLANs или интерфейсам уровня 3. Например:

  2. Сфиксировать изменения:

  3. Настройте меньший фильтр с другими терминами, которые не превышают объем доступного пространства TCAM. Например:

  4. Примените (bind) новый фильтр межсетевых экранов к порту, VLAN или интерфейсу уровня 3. Например:

  5. Сфиксировать изменения:

Для применения нового фильтра межсетевых экранов и перезаписи существующей привязки, но не удаления исходного фильтра:

  1. Настройте фильтр брандмауэра, который имеет меньшее количество терминов, чем исходный фильтр:

  2. Применение фильтра брандмауэра к интерфейсам порта, VLAN или уровня 3 для перезаписи привязки исходного фильтра, например:

    Так как на VLAN можно применить не более одного фильтра межсетевых экранов на каждый направление, привязка исходного фильтра межсетевых экранов к VLAN перезаписана новым фильтром межсетевых new-ingress-vlan-rogue-block экранов.

  3. Сфиксировать изменения:

Прим.:

Исходный фильтр не удален и по-прежнему доступен в конфигурации.

Подсчет фильтра ранее отброшенного пакета

Проблема

Описание

Если настроить два или более фильтров в одном направлении для физического интерфейса, а один из фильтров включает счетчик, счетчик будет неверным при применении следующих обстоятельств:

  • Фильтр, применяемый к пакетам, сначала настраивается для отбрасывания определенных пакетов. Например, представьте, что имеется фильтр VLAN, который принимает пакеты, отправленные на адреса 10.10.1.0/24, и неявно отбрасывают пакеты, отправленные на любые другие адреса. Фильтр применяется к VLAN в направлении вывода, и admin интерфейс xe-0/0/1 является членом этой VLAN.

  • Последующие фильтры настроены для прием и подсчет пакетов, отброшенных первым фильтром. В этом примере имеется фильтр порта, который принимает и считает пакеты, отправленные на адреса 192.168.1.0/24, которые также применяются к xe-0/0/1 в направлении вывода.

В первую очередь применяется фильтр egress VLAN и корректно отбрасывается пакеты, отправленные на адреса 192.168.1.0/24. Затем применяется фильтр отброшенных портов, который считает отброшенные пакеты в качестве совпадают. Пакеты не переадресуются, но счетчик, отображаемый фильтром на выпадающего порта, неверен.

Помните, что порядок, в котором применяются фильтры, зависит от направления их работы, как по настоящему указано:

Фильтры для вехи:

  1. Фильтр порта (уровень 2)

  2. Фильтр VLAN

  3. Фильтр маршрутизатора (уровня 3)

Фильтры по выпадаю:

  1. Фильтр маршрутизатора (уровня 3)

  2. Фильтр VLAN

  3. Фильтр порта (уровень 2)

Решение

Это ожидаемое поведение.

Не учитывается совпадающие пакеты

Проблема

Описание

Если настроить два фильтра на выпадение с счетчиками для физического интерфейса, а пакет соответствует обоим фильтрам, то только один из счетчиков будет включать этот пакет.

Например:

  • Необходимо настроить фильтр порта для выпадения со счетчиком для интерфейса xe-0/0/1.

  • Необходимо настроить фильтр для выпадаемых VLAN со счетчиком для VLAN, и интерфейс admin xe-0/0/1 является членом этой VLAN.

  • Пакет соответствует обоим фильтрам.

В этом случае пакет подсчитываются только одним из счетчиков, даже если они совпадают с обоими фильтрами.

Решение

Это ожидаемое поведение.

Сброс счетчика при редактировании фильтра

Проблема

Описание

При редактировании термина фильтра брандмауэра значение любого счетчика, связанного с любым термином одного фильтра, будет установлено в 0, включая неявный счетчик для любого счетчика, на который ссылается фильтр. Рассмотрим следующие примеры:

  • Предположим, что ваш фильтр имеет и, и каждый термин имеет счетчик, который уже подсчитывания term1term2term3 совпадающих пакетов. При любом отредактировании любого из терминов счетчики для всех этих терминов сбрасываются на 0.

  • Предположим, что фильтр имеет term1 и term2 . Также предположим, что с модификатором действий и неявным счетчиком policer уже насчитано term2policer 1000 совпадающих пакетов. При редактировании или любым способом счетчик для счетчика, на который term1term2 ссылается policer, term2 сбрасывается в 0.

Решение

Это ожидаемое поведение.

Не удается включить действия потери-приоритета и действия сотрудника политики в одном и том же термине

Проблема

Описание

В один и тот же термин фильтра межсетевых экранов нельзя включить оба этих действия в серия QFX коммутатора:

  • loss-priority

  • policer

Если это сделать, при попытке сфиксировать конфигурацию вы видите следующее сообщение об ошибке: "Не поддерживает действие политики, если настроен приоритет потери".

Решение

Это ожидаемое поведение.

Не удается отфильтровать определенный трафик, исходя из коммутатора QFX

Проблема

Описание

На коммутаторе серия QFX фильтровать определенный трафик с помощью фильтра брандмауэра, примененного в направлении вывода, если трафик исходит на коммутаторе QFX. Это ограничение применяется к контролю трафика для протоколов, таких как ICMP (ping), STP, LACP и т.д.

Решение

Это ожидаемое поведение.

Условие совпадения фильтра брандмауэра не работает с туннелем Q-in-Q

Проблема

Описание

При создании фильтра брандмауэра, который содержит условие совпадения или применить фильтр на входе к магистральму порту, участвуя в сервисной VLAN, условие совпадения не будет работать, если dot1q-tagdot1q-user-priority Q-in-Q EtherType не 0x8100. (При включенном туннелинге Q-in-Q магистральные интерфейсы предположительно являются частью сети поставщика услуг или центра обработки данных и, таким образом, участвуют в сервисных VLANs.)

Решение

Это ожидаемое поведение. Чтобы установить Q-in-Q EtherType 0x8100, введите утверждение set dot1q-tunneling ethertype 0x8100 на [edit ethernet-switching-options] уровне иерархии. Для использования того же ethertype необходимо также настроить другой конец соединения.

Фильтры от межсетевых экранов с частными VLANs

Проблема

Описание

При применении фильтра брандмауэра в направлении вывода к первичной сети VLAN фильтр также применяется к вторичным VLAN, которые являются членами первичной VLAN при выходе трафика с помощью метки первичной VLAN или изолированной VLAN, как по списку ниже:

  • Трафик, перена который переназначен из вторичного порта магистрали VLAN на разнодатной порт (магистраль или доступ)

  • Трафик, перена который перенащается из вторичного порта магистрали VLAN, несущего изолированную VLAN, на магистральный порт PVLAN.

  • Трафик, перена который переназначен из разного порта (магистрали или доступа) на вторичный порт магистрали VLAN.

  • Трафик, перена который перенащается из порта магистрали PVLAN. на вторичный порт магистрали VLAN

  • Трафик, который переназначен из порта сообщества на promiscuous-порт (магистраль или доступ)

При применении фильтра брандмауэра в направлении вывода к первичной VLAN фильтр не применяется к трафику, выпадаемму с тегом VLAN сообщества, как по списку ниже:

  • Трафик, перена который от порта магистрали сообщества до порта магистрали PVLAN

  • Трафик, перена который перенащается из вторичного порта магистрали VLAN, несущего VLAN сообщества, на магистральный порт PVLAN.

  • Трафик, перена который из разнонаборного порта (магистрали или доступа) в магистральные порты сообщества

  • Трафик, перена который перенащается из порта магистрали PVLAN. на порт магистрали сообщества

При применении фильтра межсетевых экранов в направлении вывода к VLAN сообщества, применяются следующие поведения:

  • Фильтр применяется к трафику, который переадресуется из разного порта (магистрали или доступа) на магистральный порт сообщества (поскольку трафик выходит с меткой VLAN сообщества).

  • Фильтр применяется к трафику, который переадресуется из порта сообщества на магистральный порт PVLAN (поскольку трафик выпадает с меткой VLAN сообщества).

  • Фильтр не применяется к трафику, который переадресуется из порта сообщества на promiscuous-порт (поскольку трафик выпадает с первичной меткой VLAN или немеченым).

Решение

Это ожидаемое поведение. Они возникают, только если применить фильтр межсетевых экранов к частной VLAN в направлении вывода и не применять фильтр межсетевых экранов к частной VLAN в направлении ввода.

Фильтрация на выпадающих трафика L2PT не поддерживается

Проблема

Описание

На коммутаторе не поддерживается фильтрация трафика L2PT на QFX3500 трафика. То есть, если настроить L2PT на туннелировать протокол на интерфейсе, то также нельзя использовать фильтр брандмауэра для фильтрации трафика для этого протокола на этом интерфейсе в направлении вывода. Если конфигурация была сложена для этих целей, фильтр межсетевых экранов не применяется к трафику, туннелю l2PT.

Решение

Это ожидаемое поведение.

Не удается BGP пакетов при определенных обстоятельствах

Проблема

Описание

BGP пакеты с временем жизни (TTL), которые больше 1, не могут быть отброшены с помощью фильтра межсетевых экранов, примененного к интерфейсу обратной связи или примененного на входе в интерфейс уровня 3. BGP пакеты со значением TTL 1 или 0 могут быть отброшены с помощью фильтра брандмауэра, примененного к интерфейсу обратной связи или примененного на входе в интерфейс уровня 3.

Решение

Это ожидаемое поведение.

Недействительные статистические данные для policer

Проблема

Описание

Если в фильтре межсетевых экранов применять двухстотный policer более чем по 128 терминам, выходные данные этой команды будут отображать неверные данные show firewall для этого.

Решение

Это ожидаемое поведение.

Ограничители скорости могут ограничить фильтры на выехаве

Проблема

Описание

На некоторых коммутаторах количество настроенных вами деспозитантов для выпадения может повлиять на общее количество разрешенных фильтров на межсетевом экране. Каждый policer имеет два неявных счетчика, которые в 1024-записи TCAM принимают участие в двух записях. Они используются для счетчиков, включая счетчики, настроенные как модификаторы действий в терминах фильтра межсетевых экранов. (Сотрудники службы безопасности используют две записи, поскольку одна используется для зеленых пакетов, а одна – для невыпрямых пакетов, независимо от типа. Если TCAM становится заполненной, то нельзя будет зафиксировать большее заполнение фильтров от межсетевых экранов, которые имеют термины со счетчиками. Например, если настроить и зафиксировать 512 выпадаемых policer (двухцветные, трехцветные или комбинации обоих типов), будут использованы все записи памяти для счетчиков. Если позже в файле конфигурации будут вставляться дополнительные фильтры для выпаданого межсетевых экрана с терминами, которые также содержат счетчики, никакие из этих условий в этих фильтрах не будут включены, поскольку для счетчиков не существует доступного пространства памяти.

Вот несколько дополнительных примеров:

  • Предположим, что вы настраивали фильтры для выпадателей, включив в себя в сумме 512 policers и no counters. Позже в файле конфигурации будет включен другой фильтр для выпада с 10 терминами, 1 из которых имеет модификатор счетчика действий. Ни одно из условий этого фильтра не является совеяным, поскольку счетчику не хватает места TCAM.

  • Предположим, что настроены фильтры на входе, которые содержат в сумме 500 policers, поэтому будет занято 1000 записей TCAM. Далее в файле конфигурации вы включаете два следующих фильтра для отката:

    • Фильтр A с 20 терминами и 20 счетчиками. Все термины в этом фильтре являются совеяными, поскольку для всех счетчиков достаточно места TCAM.

    • Фильтр B идет после фильтра A и имеет пять терминов и пять счетчиков. Ни одно из условий этого фильтра не является сомнамерилось, поскольку для всех счетчиков недостаточно места в памяти. (Требуется пять записей TCAM, но доступно только четыре.

Решение

Эту проблему можно предотвратить, убедившись, что термины фильтрации на межсетевом экране с действиями счетчика помещаются раньше в файл конфигурации, чем термины, включающие механизмы управления. В таких случаях Junos OS, даже если не хватает места TCAM для неявных счетчиков. Например, предположим следующее:

  • Имеется 1024 термина фильтра межсетевых экранов с действиями счетчика.

  • Далее в файле конфигурации имеется фильтр для отката с 10 терминами. Ни у одного из этих терминов нет счетчиков, но у одного есть модификатор действия policer.

Фильтр можно успешно использовать с 10 терминами, даже если не хватает места TCAM для неявных счетчиков policer. Policer действовать без счетчиков.