Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übereinstimmungsbedingungen, Aktionen und Aktionsmodfizierer für Switches der EX-Serie von Firewall-Filtern

Wenn Sie einen Firewall-Filter für einen Switch der EX-Serie definieren, definieren Sie Filterkriterien(Bedingungen mit Übereinstimmungsbedingungen) für die Pakete und eine Aktion (und optional einen Handlungsmoderierer), den der Switch nehmen kann, wenn die Pakete den Filterkriterien entsprechen. Sie können einen Firewall-Filter zur Überwachung von IPv4-, IPv6- oder Nicht-IP-Datenverkehr definieren.

In diesem Thema werden die verschiedenen Bedingungen, Aktionen und Aktionen, die Sie in einem Firewall-Filter definieren können, detailliert beschrieben. Informationen zur Unterstützung von Übereinstimmungsbedingungen auf verschiedenen Switches der EX-Serie finden Sie unter Plattformunterstützung für Firewall-Filter Übereinstimmungsbedingungen, Aktionen und Aktionsmodfizierer auf Switches der EX-Serie.

Firewall-Filterelemente

Eine Firewall-Filterkonfiguration enthält einen Begriff, eine Übereinstimmungsbedingung, eine Aktion und optional einen Ändern der Aktion. Tabelle 1 beschreibt jedes Element in einer Konfiguration von Firewall-Filtern.

Tabelle 1: Elemente einer Firewall-Filterkonfiguration

Elementname

Beschreibung

Begriff

Definiert die Filterkriterien für die Pakete. Jeder Begriff im Firewall-Filter besteht aus Bedingungen und einer Aktion. Sie können einen einzelnen Begriff oder mehrere Begriffe in dem Firewall-Filter definieren. Wenn Sie mehrere Begriffe definieren, muss jeder Begriff einen eigenen Namen haben.

Bedingungen übereinstimmen

Besteht aus einem String (als Übereinstimmungs-Anweisungbezeichnet), der die Übereinstimmungsbedingung definiert. Bedingungen sind die Werte oder Felder, die ein Paket enthalten muss. Sie können eine einzelne Übereinstimmungsbedingung oder mehrere Bedingungen für einen Begriff definieren. Sie können auch entscheiden, keine Übereinstimmungsbedingung zu definieren. Wenn für einen Begriff keine Bedingungen festgelegt werden, werden alle Pakete standardmäßig an sie angepasst.

Aktion

Gibt die Aktion an, die der Switch ergreift, wenn ein Paket mit allen in den Übereinstimmungsbedingungen angegebenen Kriterien abspricht.

Aktionsmoderator

Gibt eine oder mehrere Aktionen an, die der Switch ergreift, wenn ein Paket mit den Bedingungen für den jeweiligen Begriff entspricht.

Auf Switches unterstützte Bedingungen

Basierend auf der Art des Datenverkehrs, den Sie überwachen möchten, können Sie einen Firewall-Filter für die Überwachung von IPv4-, IPv6- oder Nicht-IP-Datenverkehr konfigurieren. Wenn Sie einen Firewall-Filter zur Überwachung einer bestimmten Datenverkehrsart konfigurieren, stellen Sie sicher, dass Sie Übereinstimmungsbedingungen angeben, die für diesen Datenverkehrstyp unterstützt werden. Informationen zu Bedingungen, die für eine bestimmte Art von Datenverkehr und Switches unterstützt werden, finden Sie unter Plattformunterstützung für Firewall-Filter Und Bedingungen, Aktionen und Aktionen Zu den Switches der EX-Serie.

Tabelle 2 beschreibt alle Bedingungen, die für Firewall-Filter auf Switches der EX-Serie unterstützt werden.

Tabelle 2: Auf Switches der EX-Serie unterstützte Bedingungen für Firewall-Filter

Bedingungen erfüllen

Beschreibung

destination-address ip-address

IP-Zieladressenfeld, die die Adresse des endgültigen Zielknotens ist.

ip-destination-address ip-address

IP-Zieladressenfeld, die die Adresse des endgültigen Zielknotens ist.

ip6-destination-address ip-address

IP-Zieladressenfeld, die die Adresse des endgültigen Zielknotens ist.

destination-mac-address mac-address

MAC-MAC (Destination MAC) des Pakets

Sie können eine MAC-Zieladresse mit einem Präfix wie destination-mac-address 00:01:02:03:04:05/24 z. B. definieren. Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet.

destination-port number

TCP- oder UDP-Ziel-Portfeld. Sie geben diese Bedingungen in der Regel zusammen mit der Bedingungen bzw. Bedingungen an, um zu bestimmen, welches Protokoll protocol für den Port verwendet ip-protocol wird. Als Nummerkönnen Sie eines der folgenden Text synonyme angeben (die Portnummern sind ebenfalls aufgeführt):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

IP-Ziel-Präfixlistenfeld.

Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlistenalias für häufig verwendete Adressen definieren. Sie definieren diese Übereinstimmungsbedingung auf der [edit policy-options] Hierarchieebene.

dot1q-tag number

Das Tag-Feld im Ethernet-Header. Die Tag-Werte reichen von 1 bis 4095. Die Bedingungen für die Übereinstimmung und die Bedingungen schließen dot1q-tagvlan sich gegenseitig aus.

user-vlan-id number

Das Tag-Feld im Ethernet-Header. Die Tag-Werte reichen von 1 bis 4095. Die Bedingungen für die Übereinstimmung und die Bedingungen schließen user-vlan-idlearn-vlan-id sich gegenseitig aus.

dot1q-user-priority number

Feld mit Benutzerpriorität des tagged Ethernet-Pakets. Die Werte mit der Benutzerpriorität können zwischen 0 und 7 liegen.

Als Nummerkönnen Sie eines der folgenden Texts synonyme angeben (die Feldwerte sind ebenfalls aufgeführt):

  • background (1)— Hintergrund

  • best-effort (0)— Best Effort

  • controlled-load (4)— Kontrollierter Lastausgleich

  • excellent-load (3)– Hervorragende Last

  • network-control (7)— Kontrolle des Netzwerks für den reservierten Datenverkehr

  • standard (2)— Standard oder Ersatzteil

  • video (5)— Video

  • voice (6)- Sprache

user-vlan-1p-priority number

Feld mit Benutzerpriorität des tagged Ethernet-Pakets. Die Werte mit der Benutzerpriorität können zwischen 0 und 7 liegen.

Als Nummerkönnen Sie eines der folgenden Texts synonyme angeben (die Feldwerte sind ebenfalls aufgeführt):

  • background (1)— Hintergrund

  • best-effort (0)— Best Effort

  • controlled-load (4)— Kontrollierter Lastausgleich

  • excellent-load (3)– Hervorragende Last

  • network-control (7)— Kontrolle des Netzwerks für den reservierten Datenverkehr

  • standard (2)— Standard oder Ersatzteil

  • video (5)— Video

  • voice (6)- Sprache

dscp number

Gibt den Differentiated Services Code Point (DSCP) an. Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten sechs Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Als Nummerkönnen Sie eines der folgenden Texts synonyme angeben (die Feldwerte sind ebenfalls aufgeführt):

  • ef (46)— wie in RFC 2598definiert, An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Precedences in jeder Klasse werden für 12 Codepunkte in RFC 2597, Assured Forwarding PHB Group definiert.

ether-type value

Ethernet-Feld eines Pakets. Der Wert gibt an, welche Protokolle im Ethernet-Frame übertragen werden. Als Wertkönnen Sie eines der folgenden Texts synonyme angeben:

  • aarp– EtherType-Wert AARP (0x80F3)

  • appletalk– EtherType-Wert AppleTalk (0x809B)

  • arp– EtherType-Wert-ARP (0x0806)

  • ipv4– EtherType-Wert IPv4 (0x0800)

  • ipv6– EtherType-Wert IPv6 (0x08DD)

  • mpls multicast– EtherType-MPLS-Multicast (0x8848)

  • mpls unicast— EtherType-MPLS-Unicast (0x8847)

  • oam– EtherType-Wert OAM (0x88A8)

  • ppp– EtherType-Wert PPP (0x880B)

  • pppoe-discovery— EtherType-Wert PPPoE Discovery Stage (0x8863)

  • pppoe-session— EtherType-Wert PPPoE Session-Phase (0x8864)

  • sna– EtherType-Wert-SNA (0x80D5)

Anmerkung:

Die folgenden Übereinstimmungsbedingungen werden nicht unterstützt, ether-type wenn festgelegt ipv6 wird:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence oder ip-precedence

  • protocol oder ip-protocol

fragment-flags fragment-flags

IP-Fragmentierungs-Flags, die in einer Minimierung oder Hexadezimal-Form angegeben sind. Sie können eine der folgenden Optionen angeben:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Passen Sie das Ziel-Tag zur Verwendung mit einer Mikrosegmentierung in einer VXLAN, wie hier beschrieben: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
Gbit/src-Tag Matchen Sie das Quell-Tag für die Mikrosegmentierung in einer VXLAN, wie hier beschrieben: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

icmp-code number

ICMP-Codefeld. Diese Option bzw. dieser Wert bietet mehr als nur icmp-type Informationen. Da die Bedeutung des Werts von den zugehörigen icmp-type abhängt, müssen Sie diese zusammen mit icmp-type spezifizieren. icmp-code Als Nummerkönnen Sie eines der folgenden Texts synonyme angeben (die Feldwerte sind ebenfalls aufgeführt). Die Optionen sind nach dem ICMP-Typ, dem sie zugeordnet sind, gruppiert:

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirectredirect-for-host (1)redirect-for-network (0) , redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13)destination-host-prohibited (10) , , , , destination-host-unknown (7) , , , , destination-network-prohibited (9) , , destination-network-unknown (6) , fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2) , source-host-isolated (8)source-route-failed (5)

icmp-type number

Feld für ICMP-Pakettyp. Sie geben diese Bedingungen in der Regel zusammen mit der Bedingungen bzw. Bedingungen an, um zu bestimmen, welches Protokoll protocol für den Port verwendet ip-protocol wird. Als Nummerkönnen Sie eines der folgenden Texts synonyme angeben (die Feldwerte sind ebenfalls aufgeführt):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Schnittstelle, an der das Paket empfangen wird. Sie können das Platzhalterzeichen ( * ) als Teil eines Schnittstellennamens angeben.

Anmerkung:

Die Bedingungen für die Übereinstimmung werden für den ausgehenden Datenverkehr auf einem Netzwerk nicht interface EX8200 Virtual Chassis.

ip-options

Das Optionsfeld im IP-Header.

ip-version Version match_condition(n)

Version des IP-Protokolls für Port- und VLAN-Firewallfilter. Der Wert für die Version kann sein ipv4 oder ipv6 .

Für match_condition Bedingungenkönnen Sie eine oder mehrere der folgenden Bedingungen angeben:

  • destination-addressoder ip-destination-addressip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence oder ip-precedence

  • protocol oder ip-protocol

  • source-address oder ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Wenn es sich um ein Trailing-Fragment handelt, ist diese Bedingungen nicht mit dem ersten Fragment eines fragmentierten Pakets übereinstimmen. Verwenden Sie zwei Begriffe, um sowohl erste als auch Trailing-Fragmente zu verwenden.

Anmerkung:

Aufgrund einer Einschränkung der EX2300-, EX3400- und EX4300-Switches ist diese Bedingungen nicht mit dem letzten Fragment eines fragmentierten Pakets übereinstimmen, wenn auf "Family Ethernet-Switching" angewendet wird.

l2-encap-type llc-non-snap

Match auf Logical Link Control (LLC)-Layer-Paketen für den Ethernet-Einkapselungstyp Nicht-Subnet Access Protocol (SNAP).

next-header bytes

8-Bit-Protokollfeld, das den Headertyp unmittelbar nach dem IPv6-Header identifiziert. Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

Länge des empfangenen Pakets, in Bytes.

Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers und enthält keinen Layer-2-Einkapselungs-Overhead.

precedence precedence

IP-Rangfolge. Als Rangfolgekönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgeführt):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

IP-Rangfolge. Als Rangfolgekönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgeführt):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

IPv4-Protokollwert. Für Protokollekönnen Sie eines der folgenden Texts Synonyme angeben:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

IPv4-Protokollwert. Für Protokollekönnen Sie eines der folgenden Texts Synonyme angeben:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

IP-Quelladressenfeld, die Adresse des Quellknotens, der das Paket sendet. Bei IPv6 hat das Quelladressenfeld eine Länge von 128 Bits. Die Syntax der Filterbeschreibung unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture beschrieben werden.

ip-source-address (ip-address | ip6-address)

IP-Quelladressenfeld, die Adresse des Quellknotens, der das Paket sendet. Sie können entweder eine IPv4-Adresse ( ip-address ) oder eine IPv6-Adresse ( ip6-address ) angeben. Bei IPv6 hat das Ip-Quelladressenfeld eine Länge von 128 Bits. Die Syntax der Filterbeschreibung unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture beschrieben werden.

source-mac-address mac-address

MAC-Quelladresse

Sie können eine MAC-Quelladresse mit einem Präfix wie source-mac-address 00:01:02:03:04:05/24 z. B. definieren. Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet.

source-port number

TCP- oder source-port UDP-Feld. Sie geben diese Übereinstimmung in der Regel zusammen mit der Bedingungen oder Bedingungen an, um zu bestimmen, welches Protokoll protocol für den Port verwendet ip-protocol wird. Als Nummerkönnen Sie eines der unter . destination-port

source-prefix-list prefix-list

IP-Quell-Präfixlistenfeld.

Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlistenalias für häufig verwendete Adressen definieren. Sie definieren diese Übereinstimmungsbedingung auf der [edit policy-options] Hierarchieebene.

tcp-established

TCP-Pakete einer etablierten TCP-Verbindung. Diese Bedingung entspricht anderen Paketen als dem ersten Paket einer Verbindung. tcp-establishedist ein Synonym für Bitnamen. "(ack | rst)"

tcp-established wird nicht implizit geprüft, ob das Protokoll TCP ist. Geben Sie dazu die next-header tcp Bedingungen für die Übereinstimmung an.

tcp-flags (flags tcp-initial)

Mindestens ein TCP-Flags:

  • Bitname: fin , syn , rstpush , ackurgent

  • logischen & Operatoren – (logical AND), | (logical OR), ! (verhandelbar)

  • mehrwert – 0x01 durch 0x20

  • Text synonymtcp-initial

Verwenden Sie logische Operatoren, um mehrere Flags anzugeben.

tcp-initial

Entspricht dem ersten TCP-Paket einer Verbindung. tcp-initialist ein Synonym für Bitnamen. "(syn&!ack)"

tcp-initial wird nicht implizit geprüft, ob das Protokoll TCP ist. Geben Sie dazu die Bedingungen protocol tcpip-protocol tcp bzw. die Übereinstimmungsbedingung an.

traffic-class number

Gibt den DSCP-Codepunkt für ein Paket an.

ttl value

TTL-Typ nach Übereinstimmung. Der Wert reicht von 1 bis 255.

vlan (vlan-name | vlan-id)

Das mit dem Paket verbundene VLAN. Bei vlan-idkönnen Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben. Die Bedingungen für die Übereinstimmung und die Bedingungen schließen vlandot1q-tag sich gegenseitig aus.

learn-vlan-id (vlan-name | vlan-id)

Das mit dem Paket verbundene VLAN. Bei vlan-idkönnen Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben. Die Bedingungen für die Übereinstimmung und die Bedingungen schließen vlanuser-vlan-id sich gegenseitig aus.

Aktionen für Firewall-Filter

Sie können eine Aktion definieren, die den Switch ergreifen soll, wenn ein Paket mit den in einer Übereinstimmungsbedingung definierten Filterkriterien entspricht. Tabelle 3 beschreibt die von einer Firewall-Filterkonfiguration unterstützten Aktionen.

Tabelle 3: Aktionen für Firewall-Filter

Aktion

Beschreibung

accept

Akzeptieren Sie ein Paket.

discard

Verwerfen Sie ein Paket unbedringt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Nachricht (Typ destination unreachable 3). Sie können die abgelehnten Pakete protokollieren, wenn Sie den syslog Aktionsmoderator konfigurieren.

Sie können einen der folgenden Nachrichtencodes angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Wenn Sie einen tcp-reset angegebenen TCP-Reset angeben, wird ein TCP-Reset zurückgegeben, wenn es sich um ein TCP-Paket handelt. Andernfalls wird nichts zurückgegeben.

Wenn Sie keinen Meldungstyp angeben, wird die destination unreachable ICMP-Benachrichtigung mit der Standardnachricht communication administratively filtered gesendet.

routing-instance routing-instance-name

Weiterleiten der abgestimmten Pakete an eine virtuelle Routing-Instanz.

Anmerkung:

EX4200-Switches unterstützen keine Firewall-Filter-basierte Umleitung an die Standard-Routinginstanz.

vlan vlan-name

Übertragen Sie gematchte Pakete an ein bestimmtes VLAN. Stellen Sie sicher, dass Sie den VLAN-Namen oder die VLAN-ID und keinen VLAN-Bereich angeben, da die Aktion die vlanVlan-Bereichsoption nicht unterstützt.

Anmerkung:

Wenn Sie ein VLAN definiert haben, das für Dot1q-Tunneling aktiviert ist, wird dieses bestimmte VLAN nicht als Aktion (mithilfe der Aktion) für einen eindringenden vlan vlan-name VLAN-Firewallfilter unterstützt.

Aktionsmodfizierer für Firewall-Filter

Zusätzlich zu den in dieser Liste beschriebenen Aktionen können Sie Aktionen ändernde Aktionen in einer Firewall-Filterkonfiguration für einen Switch festlegen, wenn Pakete mit den in der Übereinstimmungsbedingung definierten Filterkriterien übereinstimmen. Beschreibt die in einer Firewall-Filterkonfiguration unterstützten Tabelle 3Tabelle 4 Aktionen.

Tabelle 4: Aktionsmodfizierer für Firewall-Filter

Aktionsmodfizierer

Beschreibung

analyzer analyzer-name

Spiegelung des Portdatenverkehrs zu einem angegebenen Zielport oder VLAN, der mit einer Protokollanalyseanwendung verbunden ist. Spiegelung aller an einem Switch-Port gesehenen Pakete zu einer Netzwerküberwachungsverbindung auf einem anderen Switch-Port. Der Analyzer-Name muss unter [edit ethernet-switching-options analyzer] konfiguriert sein.

Anmerkung:

analyzer wird nicht unterstützt und wird nicht als Änderungsschnittstelle für eine Verwaltungsschnittstelle angezeigt.

Anmerkung:

Auf EX4500 switches können Sie nur einen Analysegerät konfigurieren und in einen Firewall-Filter ein- oder untermauern. Wenn Sie mehrere Analysegeräte konfigurieren, kann kein dieser Analyzer in einen Firewall-Filter enthalten.

dscp number

Ändern Sie den DSCP-Wert für die abgestimmten Pakete in den mit diesem Aktionsmoderator angegebenen DSCP-Wert. Nummer gibt den Differentiated Services Code Point (DSCP) an. Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten sechs Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Als Nummerkönnen Sie eines der folgenden Texts synonyme angeben (die Feldwerte sind ebenfalls aufgeführt):

  • ef (46)— wie in RFC 2598definiert, An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Precedences in jeder Klasse werden für 12 Codepunkte in RFC 2597, Assured Forwarding PHB Group definiert.

count counter-name

Zählen Sie die Anzahl der Pakete, die diesen Filter, Begriff oder Policer passieren. Mit einem Policer können Sie Begrenzungen der Raten für Datenverkehr angeben, die eine Schnittstelle auf einem Switch einschaltet.

Anmerkung:

Auf EX4300 Können Sie dieselbe Anzahl von Leistungsindikatoren und Policern konfigurieren wie die Anzahl der Begriffe im ternary Content Addressable Memory (TCAM).

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Weiterleitungsklassen:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (nur EX4400) Legen Sie das gruppenbasierte Richtlinien-Quell-Tag (0.65535) für die Mikrosegmentierung auf VXLAN, wie hier beschrieben: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

interface interface-name

Den Datenverkehr an die angegebene Schnittstelle weitergeleitet, um die Switching-Suche zu umgehen.

log

Protokollieren Sie die Headerinformationen des Pakets im Routing-Engine. Wenn Sie diese Informationen anzeigen, geben Sie den show firewall log Befehl im Befehl CLI.

Anmerkung:

Wenn der oder die Aktion zusammen mit einer Aktion oder einem Aktionsmoderator konfiguriert wird, werden die Ereignisse unter Umständen logsyslog nicht vlaninterface protokolliert. Die Funktionalität der Weiterleitungsschnittstelle funktioniert jedoch wie erwartet.

loss-priority (high | low)

Legen Sie die Priorität (Packet Loss Priority, PLP) fest.

policer policer-name

Wenden Sie Begrenzung der Raten auf den Datenverkehr an.

Sie können einen Policer in einem Firewall-Filter nur für den ingressen Datenverkehr auf einem Port, VLAN und Router angeben.

Anmerkung:

Ein Zähler für einen Policer wird auf Switches EX8200 werden nicht unterstützt.

Anmerkung:

Auf EX4300 können Sie dieselbe Anzahl von Leistungsindikatoren und Policern konfigurieren wie die Anzahl der Begriffe im TCAM.

port-mirror

Spiegelung von Paketen an die in der Hierarchie definierte [edit forwarding-options analyzer] Schnittstelle.

port-mirror-instance instance-name

Spiegelung von Paketen zu der in der Hierarchie definierten [edit forwarding-options analyzer] Instanz.

syslog

Protokollieren Sie eine Warnung für dieses Paket. Sie können angeben, dass das Protokoll zur Speicherung und Analyse an einen Server gesendet wird.

Anmerkung:

Wenn der oder die Aktion zusammen mit einer Aktion oder einem Aktionsmoderator konfiguriert wird, werden die Ereignisse unter Umständen logsyslog nicht vlaninterface protokolliert. Die Funktionalität der Weiterleitungsschnittstelle funktioniert jedoch wie erwartet.

three-color-policer

Wenden Sie einen dreifarbigen Policer an.