Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie

Wenn Sie einen Firewall-Filter für einen Switch der EX-Serie definieren, definieren Sie Filterkriterien (, mit ) für die Pakete und ein (und optional ein ) für den Switch, der verwendet werden soll, wenn die Pakete den Filterkriterien entsprechen.termsmatch conditionsactionaction modifier Sie können einen Firewallfilter definieren, um IPv4-, IPv6- oder Nicht-IP-Datenverkehr zu überwachen.

In diesem Thema werden die verschiedenen Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren, die Sie in einem Firewallfilter definieren können, ausführlich beschrieben. Informationen zur Unterstützung von Übereinstimmungsbedingungen auf verschiedenen Switches der EX-Serie finden Sie unter Plattformunterstützung für Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie.Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie

Firewall-Filterelemente

Eine Firewallfilterkonfiguration enthält einen Begriff, eine Übereinstimmungsbedingung, eine Aktion und optional einen Aktionsmodifizierer. Beschreibt jedes Element in einer Firewallfilterkonfiguration.Tabelle 1

Tabelle 1: Elemente einer Firewall-Filterkonfiguration

Elementname

Beschreibung

Begriff

Definiert die Filterkriterien für die Pakete. Jeder Begriff im Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Sie können einen einzelnen Begriff oder mehrere Begriffe im Firewall-Filter definieren. Wenn Sie mehrere Begriffe definieren, muss jeder Begriff einen eindeutigen Namen haben.

Übereinstimmungsbedingung

Besteht aus einer Zeichenfolge (als ) bezeichnet , die die Übereinstimmungsbedingung definiert.match statement Übereinstimmungsbedingungen sind die Werte oder Felder, die ein Paket enthalten muss. Sie können eine einzelne Übereinstimmungsbedingung oder mehrere Übereinstimmungsbedingungen für eine Benennung definieren. Sie können sich auch dafür entscheiden, keine Übereinstimmungsbedingung zu definieren. Wenn für einen Begriff keine Übereinstimmungsbedingungen angegeben sind, werden standardmäßig alle Pakete abgeglichen.

Was

Gibt die Aktion an, die der Switch ausführt, wenn ein Paket alle in den Übereinstimmungsbedingungen angegebenen Kriterien erfüllt.

Modifikator "Aktion"

Gibt eine oder mehrere Aktionen an, die der Switch ausführt, wenn ein Paket die Übereinstimmungsbedingungen für den jeweiligen Begriff erfüllt.

Übereinstimmungsbedingungen, die auf Switches unterstützt werden

Je nach Art des Datenverkehrs, den Sie überwachen möchten, können Sie einen Firewallfilter konfigurieren, um IPv4-, IPv6- oder Nicht-IP-Datenverkehr zu überwachen. Wenn Sie einen Firewallfilter für die Überwachung eines bestimmten Datenverkehrstyps konfigurieren, stellen Sie sicher, dass Sie Übereinstimmungsbedingungen angeben, die für diesen Datenverkehrstyp unterstützt werden. Informationen zu Übereinstimmungsbedingungen, die für einen bestimmten Datenverkehrstyp unterstützt werden, und zu den Switches, auf denen sie unterstützt werden, finden Sie unter Plattformunterstützung für Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Firewall-Filter auf Switches der EX-Serie.Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie

Tabelle 2 beschreibt alle Übereinstimmungsbedingungen, die für Firewall-Filter auf Switches der EX-Serie unterstützt werden.

Tabelle 2: Übereinstimmungsbedingungen für Firewall-Filter auf Switches der EX-Serie

Übereinstimmungsbedingung

Beschreibung

destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

ip-destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

ip6-destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

destination-mac-address mac-address

MAC-Adresse (Destination Media Access Control) des Pakets.

Sie können eine MAC-Zieladresse mit einem Präfix definieren, z. B . .destination-mac-address 00:01:02:03:04:05/24 Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet.

destination-port number

TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmungsbedingung in Verbindung mit der Übereinstimmungsbedingung "oder" an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.protocolip-protocol Für können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet):number

, , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

Listenfeld für IP-Zielpräfixe.

Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Diese Übereinstimmungsbedingung definieren Sie auf der Hierarchieebene .[edit policy-options]

dot1q-tag number

Das Tag-Feld im Ethernet-Header. Die Tag-Werte reichen von 1 bis 4095. Die Übereinstimmungsbedingung und die Übereinstimmungsbedingung schließen sich gegenseitig aus.dot1q-tagvlan

user-vlan-id number

Das Tag-Feld im Ethernet-Header. Die Tag-Werte reichen von 1 bis 4095. Die Übereinstimmungsbedingung und die Übereinstimmungsbedingung schließen sich gegenseitig aus.user-vlan-idlearn-vlan-id

dot1q-user-priority number

Feld für die Benutzerpriorität des markierten Ethernet-Pakets. Die Werte für die Benutzerpriorität können zwischen 0 und 7 liegen.

Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number

  • background (1)—Hintergrund

  • best-effort (0)—Bemühen Sie sich nach besten Kräften

  • controlled-load (4)—Kontrollierte Last

  • excellent-load (3)—Ausgezeichnete Auslastung

  • network-control (7)—Reservierter Datenverkehr für die Netzwerksteuerung

  • standard (2)—Standard oder Ersatz

  • video (5)—Video

  • voice (6)—Stimme

user-vlan-1p-priority number

Feld für die Benutzerpriorität des markierten Ethernet-Pakets. Die Werte für die Benutzerpriorität können zwischen 0 und 7 liegen.

Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number

  • background (1)—Hintergrund

  • best-effort (0)—Bemühen Sie sich nach besten Kräften

  • controlled-load (4)—Kontrollierte Last

  • excellent-load (3)—Ausgezeichnete Auslastung

  • network-control (7)—Reservierter Datenverkehr für die Netzwerksteuerung

  • standard (2)—Standard oder Ersatz

  • video (5)—Video

  • voice (6)—Stimme

dscp number

Gibt den Codepunkt für differenzierte Dienste (Differentiated Services, DSCP) an. Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen sechs Bits dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number

  • – wie in RFC 2598, An Expedited Forwarding PHB, definiert.ef (46)http://www.ietf.org/rfc/rfc2598.txt

  • , , , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    , , , , , , af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse sind für 12 Codepunkte in RFC 2597, Assured Forwarding PHB Group, definiert.http://www.ietf.org/rfc/rfc2597.txt

ether-type value

Ethernet-Typfeld eines Pakets. Der Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Für können Sie eines der folgenden Textsynonyme angeben:value

  • aarp—EtherType-Wert AARP (0x80F3)

  • appletalk—EtherType-Wert AppleTalk (0x809B)

  • arp—EtherType-Wert ARP (0x0806)

  • ipv4—EtherType-Wert IPv4 (0x0800)

  • ipv6—EtherType-Wert IPv6 (0x08DD)

  • mpls multicast—EtherType-Wert MPLS-Multicast (0x8848)

  • mpls unicast—EtherType-Wert MPLS-Unicast (0x8847)

  • oam—EtherType-Wert OAM (0x88A8)

  • ppp—EtherType-Wert PPP (0x880B)

  • pppoe-discovery—EtherType-Wert PPPoE-Erkennungsphase (0x8863)

  • pppoe-session—EtherType-Wert PPPoE-Sitzungsphase (0x8864)

  • sna—EtherType-Wert SNA (0x80D5)

HINWEIS:

Die folgenden Übereinstimmungsbedingungen werden nicht unterstützt, wenn sie auf festgelegt sind:ether-typeipv6

  • dscp

  • fragment-flags

  • is-fragment

  • precedence Oder ip-precedence

  • protocol Oder ip-protocol

fragment-flags fragment-flags

IP-Fragmentierungsflags, die in symbolischen oder hexadezimalen Formaten angegeben werden. Sie können eine der folgenden Optionen angeben:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)
gbp-dst-tag Passen Sie das Ziel-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN
gbp-src-tag Passen Sie das Quell-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

icmp-code number

ICMP-Code-Feld. Dieser Wert oder diese Option enthält spezifischere Informationen als .icmp-type Da die Bedeutung des Werts von der zugeordneten abhängt, müssen Sie zusammen mit angeben.icmp-typeicmp-typeicmp-code Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet).number Die Optionen sind nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • —, parameter-problemip-header-bad (0)required-option-missing (1)

  • —, , , redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • —, , unreachablecommunication-prohibited-by-filtering (13)destination-host-prohibited (10)destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP-Pakettypfeld. In der Regel geben Sie diese Übereinstimmungsbedingung in Verbindung mit der Übereinstimmungsbedingung "oder" an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.protocolip-protocol Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number

, , , , echo-reply (0)echo-request (8)info-reply (16)info-request (15), , , mask-request (17)mask-reply (18)parameter-problem (12) , , , , redirect (5)router-advertisement (9)router-solicit (10)source-quench (4) , , , time-exceeded (11)timestamp (13)timestamp-reply (14)unreachable (3)

interface interface-name

Schnittstelle, auf der das Paket empfangen wird. Sie können das Platzhalterzeichen () als Teil eines Schnittstellennamens angeben.*

HINWEIS:

Die Übereinstimmungsbedingung wird für ausgehenden Datenverkehr auf einem EX8200 Virtual Chassis nicht unterstützt.interface

ip-options

Vorhandensein des Optionsfelds im IP-Header.

ip-version version match_condition(s)

Version des IP-Protokolls für Port- und VLAN-Firewall-Filter. Der Wert für kann oder sein.versionipv4ipv6

Für können Sie eine oder mehrere der folgenden Übereinstimmungsbedingungen angeben:match_condition(s)

  • , oder destination-addressip-destination-addressip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence Oder ip-precedence

  • protocol Oder ip-protocol

  • source-address Oder ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Wenn es sich bei dem Paket um ein nachgestelltes Fragment handelt, stimmt diese Übereinstimmungsbedingung nicht mit dem ersten Fragment eines fragmentierten Pakets überein. Verwenden Sie zwei Begriffe, um sowohl das erste als auch das nachfolgende Fragment abzugleichen.

HINWEIS:

Aufgrund einer Einschränkung bei den Switches EX2300, EX3400 und EX4300 stimmt diese Übereinstimmungsbedingung nicht mit dem letzten Fragment eines fragmentierten Pakets überein, wenn sie auf "Familien-Ethernet-Switching" angewendet wird.

l2-encap-type llc-non-snap

Übereinstimmung auf LLC-Layer-Paketen (Logical Link Control) für den Nicht-SNAP-Ethernet-Kapselungstyp (Subnet Access Protocol).

next-header bytes

8-Bit-Protokollfeld, das den Typ des Headers identifiziert, der unmittelbar auf den IPv6-Header folgt. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

, , , ah (51)dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

Länge des empfangenen Pakets in Bytes.

Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Kapselungs-Overhead.

precedence precedence

IP-Präzedenz. Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):precedence

, , , , , , , , , critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

ip-precedence precedence

IP-Präzedenz. Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):precedence

, , , , , , , , , critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

protocol list of protocol

IPv4-Protokollwert. Für können Sie eines der folgenden Textsynonyme angeben:protocols

, , , , , , , , egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) , , , , ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

ip-protocol list of protocol

IPv4-Protokollwert. Für können Sie eines der folgenden Textsynonyme angeben:protocols

, , , , , , , , egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) , , , , ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

source-address ip-address

IP-Quelladressfeld, bei dem es sich um die Adresse des Quellknotens handelt, der das Paket sendet. Bei IPv6 ist das Quelladressfeld 128 Bit lang. Die Filterbeschreibungssyntax unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture, beschrieben sind.http://www.ietf.org/rfc/rfc2373.txt

ip-source-address (ip-address | ip6-address)

IP-Quelladressfeld, bei dem es sich um die Adresse des Quellknotens handelt, der das Paket sendet. Sie können entweder eine IPv4-Adresse () oder eine IPv6-Adresse () angeben.ip-addressip6-address Bei IPv6 ist das Feld ip-source-address 128 Bit lang. Die Filterbeschreibungssyntax unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture, beschrieben sind.http://www.ietf.org/rfc/rfc2373.txt

source-mac-address mac-address

MAC-Quelladresse.

Sie können eine Quell-MAC-Adresse mit einem Präfix definieren, z. B . .source-mac-address 00:01:02:03:04:05/24 Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet.

source-port number

TCP- oder UDP-Feld .source-port In der Regel geben Sie diese Übereinstimmung in Verbindung mit der Übereinstimmungsbedingung "oder" an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.protocolip-protocol Für können Sie eines der Textsynonyme angeben, die unter aufgeführt sind .numberdestination-port

source-prefix-list prefix-list

IP-Quellpräfix-Listenfeld.

Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Diese Übereinstimmungsbedingung definieren Sie auf der Hierarchieebene .[edit policy-options]

tcp-established

TCP-Pakete einer aufgebauten TCP-Verbindung. Diese Bedingung entspricht anderen Paketen als dem ersten Paket einer Verbindung. ist ein Synonym für die Bitnamen .tcp-established"(ack | rst)"

tcp-established prüft nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Geben Sie dazu die Übereinstimmungsbedingung an.next-header tcp

tcp-flags (flags tcp-initial)

Ein oder mehrere TCP-Flags:

  • bit-name—, , , , , , finsynrstpushackurgent

  • logische Operatoren— (logisches UND), (logisches ODER), (Negation)&|!

  • Zahlenwert: 0x01 bis 0x20

  • Text-Synonym—tcp-initial

Wenn Sie mehrere Flags angeben möchten, verwenden Sie logische Operatoren.

tcp-initial

Entspricht dem ersten TCP-Paket einer Verbindung. ist ein Synonym für die Bitnamen .tcp-initial"(syn&!ack)"

tcp-initial prüft nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Geben Sie dazu die Übereinstimmungsbedingung or an.protocol tcpip-protocol tcp

traffic-class number

Gibt den DSCP-Codepunkt für ein Paket an.

ttl value

Entsprechender TTL-Typ. Der Wert reicht von 1 bis 255.

vlan (vlan-name | vlan-id)

Das VLAN, das dem Paket zugeordnet ist. Für können Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben.vlan-id Die Übereinstimmungsbedingung und die Übereinstimmungsbedingung schließen sich gegenseitig aus.vlandot1q-tag

learn-vlan-id (vlan-name | vlan-id)

Das VLAN, das dem Paket zugeordnet ist. Für können Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben.vlan-id Die Übereinstimmungsbedingung und die Übereinstimmungsbedingung schließen sich gegenseitig aus.vlanuser-vlan-id

Aktionen für Firewall-Filter

Sie können eine Aktion definieren, die der Switch ausführen soll, wenn ein Paket den Filterkriterien entspricht, die in einer Übereinstimmungsbedingung definiert sind. Beschreibt die Aktionen, die in einer Firewallfilterkonfiguration unterstützt werden.Tabelle 3

Tabelle 3: Aktionen für Firewall-Filter

Was

Beschreibung

accept

Akzeptieren Sie ein Paket.

discard

Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Nachricht (Typ 3). destination unreachable Sie können die zurückgewiesenen Pakete protokollieren, wenn Sie den Aktionsmodifizierer konfigurieren.syslog

Sie können einen der folgenden Nachrichtencodes angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-resetaus.

Wenn Sie angeben , wird ein TCP-Reset zurückgegeben, wenn es sich bei dem Paket um ein TCP-Paket handelt.tcp-reset Andernfalls wird nichts zurückgegeben.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung mit der Standardnachricht gesendet.destination unreachablecommunication administratively filtered

routing-instance routing-instance-name

Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter.

HINWEIS:

EX4200-Switches unterstützen keine Firewall-filterbasierte Umleitung zur Standard-Routing-Instanz.

vlan vlan-name

Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter. Stellen Sie sicher, dass Sie den VLAN-Namen oder die VLAN-ID und keinen VLAN-Bereich angeben, da die Aktion die Option nicht unterstützt.vlanvlan-range

HINWEIS:

Wenn Sie ein VLAN definiert haben, das für dot1q-Tunneling aktiviert ist, wird dieses bestimmte VLAN nicht als Aktion (unter Verwendung der Aktion) für einen Eingangs-VLAN-Firewall-Filter unterstützt.vlan vlan-name

Aktionsmodifikatoren für Firewall-Filter

Zusätzlich zu den in beschriebenen Aktionen können Sie Aktionsmodifikatoren in einer Firewall-Filterkonfiguration für einen Switch definieren, wenn Pakete den in der Übereinstimmungsbedingung definierten Filterkriterien entsprechen. Beschreibt die Aktionsmodifikatoren, die in einer Firewallfilterkonfiguration unterstützt werden. Tabelle 3Tabelle 4

Tabelle 4: Aktionsmodifikatoren für Firewall-Filter

Modifikator "Aktion"

Beschreibung

analyzer analyzer-name

Spiegeln Sie den Port-Datenverkehr an einen bestimmten Zielport oder ein VLAN, das mit einer Protokollanalyseanwendung verbunden ist. Bei der Spiegelung werden alle Pakete, die auf einem Switch-Port angezeigt werden, in eine Netzwerküberwachungsverbindung an einem anderen Switch-Port kopiert. Der Name des Analyzers muss unter konfiguriert werden.[edit ethernet-switching-options analyzer]

HINWEIS:

analyzer ist kein unterstützter Aktionsmodifizierer für eine Verwaltungsschnittstelle.

HINWEIS:

Auf EX4500-Switches können Sie nur einen Analyzer konfigurieren und ihn in einen Firewall-Filter einschließen. Wenn Sie mehrere Analysetools konfigurieren, können Sie keines dieser Analysetools in einen Firewallfilter aufnehmen.

dscp number

Ändern Sie den DSCP-Wert für übereinstimmende Pakete in den DSCP-Wert, der mit diesem Aktionsmodifizierer angegeben wurde. gibt den Differentiated Services-Codepunkt (Differentiated Services Code Point, DSCP) an.number Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen sechs Bits dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number

  • – wie in RFC 2598, An Expedited Forwarding PHB, definiert.ef (46)http://www.ietf.org/rfc/rfc2598.txt

  • , , , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    , , , , , , af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse sind für 12 Codepunkte in RFC 2597, Assured Forwarding PHB Group, definiert.http://www.ietf.org/rfc/rfc2597.txt

count counter-name

Zählen Sie die Anzahl der Pakete, die diesen Filter, Begriff oder Policer passieren. Mit einem Policer können Sie Ratenbegrenzungen für Datenverkehr festlegen, der in eine Schnittstelle auf einem Switch gelangt.

HINWEIS:

Auf EX4300-Switches können Sie dieselbe Anzahl von Zählern und Policern konfigurieren wie die Anzahl der Begriffe im ternären Content Addressable Memory (TCAM).

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Weiterleitungsklassen:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control
gbp-src-tag (nur EX4400 und EX4650) Legen Sie das gruppenbasierte Richtlinienquellen-Tag (0..65535) für die Verwendung mit der Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

interface interface-name

Leiten Sie den Datenverkehr an die angegebene Schnittstelle weiter, indem Sie die Switching-Suche umgehen.

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl in der CLI ein.show firewall log

HINWEIS:

Wenn der oder der Aktionsmodifizierer zusammen mit einer Aktion oder einem Aktionsmodifizierer konfiguriert ist, werden die Ereignisse möglicherweise nicht protokolliert.logsyslogvlaninterface Die Funktionalität der Umleitungsschnittstelle funktioniert jedoch wie erwartet.

loss-priority (high | low)

Legen Sie die Paketverlustpriorität (PLP) fest.

policer policer-name

Wenden Sie Ratenbegrenzungen auf den Datenverkehr an.

Sie können einen Policer in einem Firewall-Filter nur für eingehenden Datenverkehr an einem Port, VLAN und Router angeben.

HINWEIS:

Ein Zähler für einen Policer wird auf EX8200-Switches nicht unterstützt.

HINWEIS:

Auf EX4300-Switches können Sie dieselbe Anzahl von Zählern und Policern konfigurieren wie die Anzahl der Begriffe im TCAM.

port-mirror

Spiegeln Sie Pakete auf die in der Hierarchie definierte Schnittstelle.[edit forwarding-options analyzer]

port-mirror-instance instance-name

Spiegeln Sie Pakete auf die in der Hierarchie definierte Instanz.[edit forwarding-options analyzer]

syslog

Protokollieren Sie eine Warnung für dieses Paket. Sie können angeben, dass das Protokoll zur Speicherung und Analyse an einen Server gesendet wird.

HINWEIS:

Wenn der oder der Aktionsmodifizierer zusammen mit einer Aktion oder einem Aktionsmodifizierer konfiguriert ist, werden die Ereignisse möglicherweise nicht protokolliert.logsyslogvlaninterface Die Funktionalität der Umleitungsschnittstelle funktioniert jedoch wie erwartet.

three-color-policer

Wenden Sie einen dreifarbigen Policer an.

Verwandte Themen