Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Планирование количества фильтров межсетевых экранов, которые необходимо создать

Максимальное число поддерживаемых фильтров межсетевых экранов

Табл. 1 отображает максимальное число фильтров межсетевых экранов, поддерживаемых каждым коммутатором. Общее количество фильтров применяется в совокупности. Например, на коммутаторах QFX5200 и QFX5210 можно применить 768 терминов в направлении ввода и 1024 в направлении вывода. Фактическое число фильтров, поддерживаемых коммутатором, зависит от того, как фильтры хранятся в адресной памяти содержимого (TCAM).

Для коммутаторов QFX5120-48Y и EX4650, работающих Junos OS release 20.3R1 или более поздних, можно включить команду для увеличения системного предела по умолчанию для фильтр закольцовывания до [set chassis loopback-firewall-optimization 768 для IPv6 и 1152 условий для IPv4.

Чтобы узнать, сколько фильтров уже запрограммировано на коммутаторе, введите show pfe filter hw summary команду. На коммутаторах QFX5220 используйте режим оболочки, чтобы видеть количество фильтров. Для входа в режим оболочки введите команду и введите в start shellcli-pfe командной пункте для доступа к PFE интерфейс командной строки.

Табл. 1: Максимальное число поддерживаемых фильтров межсетевых экранов
Тип фильтра QFX3500, QFX3600 QFX5100, EX4600 QFX5120, EX4650 QFX5110 QFX5200, QFX5210, QFX5220 QFX10000

Попадания

768

1536

1536

6144

768

8192

Выход

1024

1024

2048

1024 или 2048

1024

512 (QFX5220)

8192

Как увеличить количество фильтров межсетевых экранов

Количество фильтров межсетевых экранов на устройстве можно увеличить несколькими способами:

  • (QFX5220) Чтобы создать более 512 фильтров для выпадаемой VLAN, укажите первый VLAN ID как 6, второй VLAN ID как 7, третий VLAN ID как 5 и так далее. Для каждой настроенной сети VLAN номер увеличивается на 1 и проходит через VLAN ID 1029. Если требуется создать не более 512 выходных фильтров VLAN, но требуется общее количество терминов в этих фильтрах более 512, убедитесь, что номера ID VLAN будут процесаны таким же образом. В противном случае общее число разрешенных терминов или фильтров будет меньше 1024 и останется на 512.

  • Начиная с Junos OS выпуска 19.1R1, можно увеличить количество фильтров выходного межсетевых экрана VLAN на QFX5110 с 1024 по 2048 с помощью этого egress-to-ingress параметра. Этот параметр включается в from утверждение в [edit firewall] иерархии.

    Начиная с Junos OS Evolved Release 19.4R2, можно настроить до 2000 фильтров выходного межсетевых экрана на QFX5220, включив параметр под утверждением на уровне egress-scaleeracl-profile[edit system packet-forwarding-option firewall] иерархии. Эта функция поддерживается только в направлении выхода (маршрутный трафик, выющий из устройства).

    При настройке данной функции учитывайте следующее:

    • Нельзя применить фильтры с одинаковыми условиями совпадения к разным выпаданым VLANs или интерфейсам 3-го уровня.

    • На интерфейсах GRE нельзя применять масштабирование для выпадающих данных.

    • Если пакет соответствует нескольким фильтрам с различными классификаторами и применяется к разным интерфейсам для выката, это может привести к непредсказуемому поведению.

    • Настроить этот параметр можно только egress-scale в глобальном режиме. Новая конфигурация cli будет предоставлена в глобальном режиме. Как только пользователь настроит группу ERACL в выходном (выходном) режиме, он не сможет настроить ERACL более старый путь, т.е. без использования пространства IFP tcam. Другими словами, ERACL в смешанном режиме не поддерживается.

TCAM

Объем адресной памяти (TCAM) содержимого для фильтров межсетевых экранов делится на части, вместимые в 256 терминов. При настройке фильтра межсетевых экранов все термины в срезе памяти должны быть в фильтрах одного типа и применены в одном направлении. Срез памяти резервируется сразу после сфиксии фильтра. Например, если создать фильтр порта и применить его во вводимом направлении, то зарезервируется срез памяти, в который будут вводиться только фильтры для входного порта. Если создается и применяется только один фильтр влиятельный порт, а у фильтра есть только один термин, оставшиеся части срезов неиспользованы и недоступны для других типов фильтров.

Прим.:

В среде EVPN коммутаторы QFX5200 поддерживают до 512 записей TCAM.

Например, предположим, что создается и применяется 256 фильтров в отношении впадаго порта с одним термином каждый, чтобы заполнить один срез памяти. В результате остается доступными еще два среза памяти для впаданых фильтров. (В этом случае максимальное число условий в отношении в отношении впадаем — 768.) Если затем создать и применить фильтр в уровне 3 с одним термином, другой срез памяти зарезервирован для фильтров влия 3-го уровня. Как и ранее, остальная часть срезов неиспользована и недоступна для различных типов фильтров. Теперь существует один срез памяти, доступный для любого типа фильтра в момент врезки.

Теперь предположим, что вы создаете и применяли висячее фильтры VLAN. Конечная часть памяти зарезервирована для впадайных фильтров VLAN. Выделение памяти для влиятельной фильтрации (в очередной раз при условии одного срока на фильтр) является:

  • Срез 1: Заполнен 256 фильтрами впадаемго порта. Нельзя префиксировать фильтры влияли на порты.

  • Фрагмент 2: Содержит один веский фильтр 3-го уровня с одним термином. Можно зафиксировать еще 255 терминов в впаданых фильтрах уровня 3.

  • Фрагмент 3: Содержит один фильтр взламывной сети VLAN с одним термином. В впаданых фильтрах VLAN можно зафиксировать еще 255 терминов.

Вот еще один пример. Предположим, что вы создаете 257 фильтров для впадагого порта с одним термином на фильтр, то есть создается еще один термин, чем один срез памяти может вместить. При применении фильтров и сфиксации конфигурации выделение памяти фильтра будет:

  • Срез 1: Заполнен 256 фильтрами впадаемго порта. Больше фильтров в отношении впадаго порта не применяется.

  • Фрагмент 2: Содержит один фильтр впадаемго порта. В фильтрах на впадаемом порту можно применить еще 255 терминов.

  • Фрагмент 3: Этот срез не назначен. Можно создать и применить 256 терминов к фильтрам в отношении впаданья любого типа (порт, уровень 3 или VLAN), но все фильтры должны быть одного типа.

Прим.:

Все вышеперечисленные примеры применимы и к фильтрам на выпадае. Отличие состоит в том, что используются четыре среза памяти, поскольку фильтры IPv4 и IPv6 уровня 3 хранятся в отдельных слоях. Срезы памяти для фильтров на выпадаее имеют такой же размер, как и срезы памяти для впаданых фильтров, поэтому максимальное число фильтров будет тем же (1024).

Не следует настраивать слишком много фильтров

При нарушении любого из этих ограничений и сфиксации конфигурации, которая не соответствует требованиям, Junos OS отклоняет избыточные фильтры. Например, при настройке 300 фильтров в обратном порту и 300 фильтров уровня 3 и попытке сфиксировать конфигурацию, Junos OS делает следующее (опять же предполагает один термин за фильтр):

  • Принимает фильтры впадающих портов 300 (храня их в двух срезах памяти).

  • Принимает первые 256 фильтров в уровне 3, которые он обрабатывает (храня их в третьем срезе памяти).

  • Отклоняет оставшиеся 44 фильтра уровня 3 впадающих.

Прим.:

Перед перезагрузкой устройства убедитесь, что из этой конфигурации удаляются избыточные фильтры (например, оставшиеся 44 фильтра влиятельного уровня 3). При перезагрузке устройства с несоотвершенной конфигурацией трудно прогнозировать, какие фильтры были установлены после перезагрузки. С помощью вышеуказанного примера можно установить 44 фильтра 3-го уровня, которые были изначально отклонены, и 44 фильтра порта, которые были изначально приняты, могут быть отклонены.

Настройка сообщений об ошибках TCAM

Если не хватает пространства TCAM и невозможно установить фильтр межсетевых экранов, коммутатор можно настроить на отправку сообщений об ошибках следующим образом:

  • Введите для отправки сообщений об ошибках set system syslog file filename pfe emergency в файл syslog.

  • Введите set system syslog console pfe emergency для отправки сообщений об ошибках на консоль.

  • Введите set system syslog user user-login pfe emergency для отправки сообщений об ошибках на сеанс SSH-терминала.

Ограничение ограничителями скорости для фильтров на выпадае

На некоторых коммутаторах количество настроенных вами деспозитантов для выпадения может повлиять на общее количество разрешенных фильтров на межсетевом экране. Каждый policer имеет два неявных счетчика, которые в 1024-записи TCAM принимают участие в двух записях. Они используются для счетчиков, включая счетчики, настроенные как модификаторы действий в терминах фильтра межсетевых экранов. (Сотрудники службы безопасности используют две записи, поскольку одна используется для зеленых пакетов, а одна – для невыпрямых пакетов, независимо от типа. Если TCAM становится заполненной, то нельзя будет зафиксировать большее заполнение фильтров от межсетевых экранов, которые имеют термины со счетчиками. Например, если настроить и зафиксировать 512 выпадаемых policer (двухцветные, трехцветные или комбинации обоих типов), будут использованы все записи памяти для счетчиков. Если позже в файле конфигурации будут вставляться дополнительные фильтры для выпаданого межсетевых экрана с терминами, которые также содержат счетчики, никакие из этих условий в этих фильтрах не будут включены, поскольку для счетчиков не существует доступного пространства памяти.

Вот еще несколько примеров:

  • Предположим, что вы настраивали фильтры для выпадателей, включив в себя в сумме 512 policers и no counters. Позже в файле конфигурации будет включен другой фильтр для выпада с 10 терминами, 1 из которых имеет модификатор счетчика действий. Ни одно из условий этого фильтра не является совеяным, поскольку счетчику не хватает места TCAM.

  • Предположим, что настроены фильтры на входе, которые содержат в сумме 500 policers, поэтому будет занято 1000 записей TCAM. Далее в файле конфигурации вы включаете два следующих фильтра для отката:

    • Фильтр A с 20 терминами и 20 счетчиками. Все термины в этом фильтре являются совеяными, поскольку для всех счетчиков достаточно места TCAM.

    • Фильтр B идет после фильтра A и имеет пять терминов и пять счетчиков. Ни одно из условий этого фильтра не является сомнамерилось, поскольку для всех счетчиков недостаточно места в памяти. (Требуется пять записей TCAM, но доступно только четыре.

Эту проблему можно остановить, убедившись, что термины фильтра на межсетевом экране с действиями счетчика помещаются раньше в файл конфигурации, чем термины, включающие механизмы управления. В таких случаях Junos OS, даже если не хватает места TCAM для неявных счетчиков. Например, предположим следующее:

  • Имеется 1024 термина фильтра межсетевых экранов с действиями счетчика.

  • Далее в файле конфигурации имеется фильтр для отката с 10 терминами. Ни у одного из этих терминов нет счетчиков, но у одного есть модификатор действия policer.

Фильтр можно успешно использовать с 10 терминами, даже если не хватает места TCAM для неявных счетчиков policer. Policer действовать без счетчиков.

Планирование функций фильтрации.

Можно настроить в настройках функции policers специфические фильтры. Это означает, Junos OS только один экземпляр, независимо от того, сколько раз на нее ссылались. Если это сделать, ограничение скорости применяется в совокупности, поэтому при настройке ограничителя для сброса трафика с превышением скорости с превышением 1 Гбит/с и ссылки на этот ограничитер в трех разных терминах общая пропускная способность, разрешенная фильтром, составляет 1 Гбит/с. Однако на поведение определенного фильтра policer влияет то, как термины фильтра межсетевых экранов, которые ссылаются на этот policer, хранятся в адресной памяти (TCAM) содержимого, подавляемой подсети. При создании определенного фильтра правила управления и ссылке на него с несколькими терминами фильтра межсетевых экранов он позволяет трафику больше, чем ожидалось, если эти термины хранятся в разных фрагментах TCAM. Например, если настроить policer на отбрасывание трафика с превышением 1 Гбит/с и ссылаться на этот policer в трех разных терминах, которые хранятся в трех отдельных срезах памяти, общая пропускная способность, разрешенная фильтром, составляет 3 Гбит/с, а не 1 Гбит/с.

Чтобы предотвратить такое непредвиденное поведение, используйте вышеуказанную информацию о срезах TCAM, чтобы организовать файл конфигурации таким образом, чтобы все термины фильтра брандмауэра, которые ссылались на заданный фильтр-определенный policer, хранились в одном срезе TCAM.

Планирование переадваровки с учетом фильтров

Можно использовать фильтры межсетевых экранов наряду с виртуальными экземплярами маршрутов, чтобы указать различные маршруты для пакетов, которые будут проходить по их сетям. Чтобы настроить эту функцию — называемую фильтрацию forwarding, необходимо задать критерии фильтрации и соответствия, а затем указать виртуальный экземпляр маршрутов для отправки пакетов в. Фильтры, используемые таким образом, также потребляют память в дополнительном TCAM. Дополнительные сведения см. в "Понимание масштабируемости фильтрации FIP, FBF и MVR". В разделе "Использование фильтра FBF VFP TCAM" в этой теме конкретно посвящено количеству поддерживаемых фильтров при использовании фильтрации перенаправки.

Прим.:

В некоторых коммутаторах переад часть коммутаторов на основе фильтров не работает с интерфейсами IPv Juniper 6.

Таблица истории выпусков
Версия
Описание
19.4R2-EVO
Начиная с Junos OS Evolved Release 19.4R2, можно настроить до 2000 фильтров выходного межсетевых экрана на QFX5220, включив параметр под утверждением на уровне egress-scaleeracl-profile[edit system packet-forwarding-option firewall] иерархии.
19.1R1
Начиная с Junos OS выпуска 19.1R1, можно увеличить количество фильтров выходного межсетевых экрана VLAN на QFX5110 с 1024 по 2048 с помощью этого egress-to-ingress параметра.