Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie

Wenn Sie einen Firewall-Filter für einen Switch der EX-Serie definieren, definieren Sie Filterkriterien (terms, mit match conditions) für die Pakete und ein action (und optional ein action modifier) für den Switch, der verwendet werden soll, wenn die Pakete den Filterkriterien entsprechen. Sie können einen Firewallfilter definieren, um IPv4-, IPv6- oder Nicht-IP-Datenverkehr zu überwachen.

In diesem Thema werden die verschiedenen Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren, die Sie in einem Firewallfilter definieren können, ausführlich beschrieben. Informationen zur Unterstützung von Übereinstimmungsbedingungen auf verschiedenen Switches der EX-Serie finden Sie unter Plattformunterstützung für Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie.

Firewall-Filterelemente

Eine Firewallfilterkonfiguration enthält einen Begriff, eine Übereinstimmungsbedingung, eine Aktion und optional einen Aktionsmodifizierer. Tabelle 1 Beschreibt jedes Element in einer Firewallfilterkonfiguration.

Tabelle 1: Elemente einer Firewall-Filterkonfiguration

Name des Elements

Beschreibung

Ausdruck

Definiert die Filterkriterien für die Pakete. Jeder Begriff im Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Sie können einen einzelnen Begriff oder mehrere Begriffe im Firewall-Filter definieren. Wenn Sie mehrere Begriffe definieren, muss jeder Begriff einen eindeutigen Namen haben.

Übereinstimmungsbedingung

Besteht aus einer Zeichenfolge (als ) bezeichnet match statement, die die Übereinstimmungsbedingung definiert. Übereinstimmungsbedingungen sind die Werte oder Felder, die ein Paket enthalten muss. Sie können eine einzelne Übereinstimmungsbedingung oder mehrere Übereinstimmungsbedingungen für eine Benennung definieren. Sie können sich auch dafür entscheiden, keine Übereinstimmungsbedingung zu definieren. Wenn für einen Begriff keine Übereinstimmungsbedingungen angegeben sind, werden standardmäßig alle Pakete abgeglichen.

Action!

Gibt die Aktion an, die der Switch ausführt, wenn ein Paket alle in den Übereinstimmungsbedingungen angegebenen Kriterien erfüllt.

Modifikator "Aktion"

Gibt eine oder mehrere Aktionen an, die der Switch ausführt, wenn ein Paket die Übereinstimmungsbedingungen für den jeweiligen Begriff erfüllt.

Übereinstimmungsbedingungen, die auf Switches unterstützt werden

Je nach Art des Datenverkehrs, den Sie überwachen möchten, können Sie einen Firewallfilter konfigurieren, um IPv4-, IPv6- oder Nicht-IP-Datenverkehr zu überwachen. Wenn Sie einen Firewallfilter für die Überwachung eines bestimmten Datenverkehrstyps konfigurieren, stellen Sie sicher, dass Sie Übereinstimmungsbedingungen angeben, die für diesen Datenverkehrstyp unterstützt werden. Informationen zu Übereinstimmungsbedingungen, die für einen bestimmten Datenverkehrstyp unterstützt werden, und zu den Switches, auf denen sie unterstützt werden, finden Sie unter Plattformunterstützung für Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Firewall-Filter auf Switches der EX-Serie.

Tabelle 2 beschreibt alle Übereinstimmungsbedingungen, die für Firewall-Filter auf Switches der EX-Serie unterstützt werden.

Tabelle 2: Übereinstimmungsbedingungen für Firewall-Filter auf Switches der EX-Serie

Übereinstimmungsbedingung

Beschreibung

destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

ip-destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

ip6-destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

destination-mac-address mac-address

MAC-Adresse (Destination Media Access Control) des Pakets.

Sie können eine MAC-Zieladresse mit einem Präfix definieren, z. B destination-mac-address 00:01:02:03:04:05/24. . Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet.

destination-port number

TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmungsbedingung in Verbindung mit der protocol Übereinstimmungsbedingung "oder ip-protocol " an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Für numberkönnen Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet):

afs (1483), bgp (179), biff (512), bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

Listenfeld für IP-Zielpräfixe.

Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Diese Übereinstimmungsbedingung definieren Sie auf der Hierarchieebene [edit policy-options] .

dot1q-tag number

Das Tag-Feld im Ethernet-Header. Die Tag-Werte reichen von 1 bis 4095. Die dot1q-tag Übereinstimmungsbedingung und die vlan Übereinstimmungsbedingung schließen sich gegenseitig aus.

user-vlan-id number

Das Tag-Feld im Ethernet-Header. Die Tag-Werte reichen von 1 bis 4095. Die user-vlan-id Übereinstimmungsbedingung und die learn-vlan-id Übereinstimmungsbedingung schließen sich gegenseitig aus.

dot1q-user-priority number

Feld für die Benutzerpriorität des markierten Ethernet-Pakets. Die Werte für die Benutzerpriorität können zwischen 0 und 7 liegen.

Für numberkönnen Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

  • background (1)—Hintergrund

  • best-effort (0)—Bemühen Sie sich nach besten Kräften

  • controlled-load (4)—Kontrollierte Last

  • excellent-load (3)—Ausgezeichnete Auslastung

  • network-control (7)—Reservierter Datenverkehr für die Netzwerksteuerung

  • standard (2)—Standard oder Ersatz

  • video (5)—Video

  • voice (6)—Stimme

user-vlan-1p-priority number

Feld für die Benutzerpriorität des markierten Ethernet-Pakets. Die Werte für die Benutzerpriorität können zwischen 0 und 7 liegen.

Für numberkönnen Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

  • background (1)—Hintergrund

  • best-effort (0)—Bemühen Sie sich nach besten Kräften

  • controlled-load (4)—Kontrollierte Last

  • excellent-load (3)—Ausgezeichnete Auslastung

  • network-control (7)—Reservierter Datenverkehr für die Netzwerksteuerung

  • standard (2)—Standard oder Ersatz

  • video (5)—Video

  • voice (6)—Stimme

dscp number

Gibt den Codepunkt für differenzierte Dienste (Differentiated Services, DSCP) an. Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen sechs Bits dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Für numberkönnen Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

  • ef (46)– wie in RFC 2598, An Expedited Forwarding PHB, definiert.

  • af11 (10), af12 (12), af13 (14), , af21 (18), af22 (20), , af23 (22),

    af31 (26), af32 (28), af33 (30), , af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse sind für 12 Codepunkte in RFC 2597, Assured Forwarding PHB Group, definiert.

ether-type value

Ethernet-Typfeld eines Pakets. Der Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Für valuekönnen Sie eines der folgenden Textsynonyme angeben:

  • aarp—EtherType-Wert AARP (0x80F3)

  • appletalk—EtherType-Wert AppleTalk (0x809B)

  • arp—EtherType-Wert ARP (0x0806)

  • ipv4—EtherType-Wert IPv4 (0x0800)

  • ipv6—EtherType-Wert IPv6 (0x08DD)

  • mpls multicast—EtherType-Wert MPLS-Multicast (0x8848)

  • mpls unicast—EtherType-Wert MPLS-Unicast (0x8847)

  • oam—EtherType-Wert OAM (0x88A8)

  • ppp—EtherType-Wert PPP (0x880B)

  • pppoe-discovery—EtherType-Wert PPPoE-Erkennungsphase (0x8863)

  • pppoe-session—EtherType-Wert PPPoE-Sitzungsphase (0x8864)

  • sna—EtherType-Wert SNA (0x80D5)

HINWEIS:

Die folgenden Übereinstimmungsbedingungen werden nicht unterstützt, wenn ether-type sie auf ipv6festgelegt sind:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence oder ip-precedence

  • protocol oder ip-protocol

fragment-flags fragment-flags

IP-Fragmentierungsflags, die in symbolischen oder hexadezimalen Formaten angegeben werden. Sie können eine der folgenden Optionen angeben:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)
gbp-dst-tag Passen Sie das Ziel-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN
gbp-src-tag Passen Sie das Quell-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

icmp-code number

ICMP-Code-Feld. Dieser Wert oder diese Option enthält spezifischere Informationen als icmp-type. Da die Bedeutung des Werts von der zugeordneten icmp-typeabhängt, müssen icmp-type Sie zusammen mit icmp-codeangeben. Für numberkönnen Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Optionen sind nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • parameter-problemip-header-bad (0), required-option-missing (1)

  • redirectredirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP-Pakettypfeld. In der Regel geben Sie diese Übereinstimmungsbedingung in Verbindung mit der protocol Übereinstimmungsbedingung "oder ip-protocol " an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Für numberkönnen Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

echo-reply (0), echo-request (8), info-reply (16), , info-request (15)mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), , source-quench (4) time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Schnittstelle, auf der das Paket empfangen wird. Sie können das Platzhalterzeichen (*) als Teil eines Schnittstellennamens angeben.

HINWEIS:

Auf Geräten, auf denen Junos OS Evolved ausgeführt wird, stimmt die Übereinstimmung auf IRB der interface Schnittstelle mit dem zugrunde liegenden L2-IFL-Index überein.
HINWEIS:

Die interface Übereinstimmungsbedingung wird für ausgehenden Datenverkehr auf einem EX8200 Virtual Chassis nicht unterstützt.

ip-options

Vorhandensein des Optionsfelds im IP-Header.

ip-version version match_condition(s)

Version des IP-Protokolls für Port- und VLAN-Firewall-Filter. Der Wert für version kann oder ipv6seinipv4.

Für match_condition(s)können Sie eine oder mehrere der folgenden Übereinstimmungsbedingungen angeben:

  • destination-address, ip-destination-addressoder ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence oder ip-precedence

  • protocol oder ip-protocol

  • source-address oder ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Wenn es sich bei dem Paket um ein nachgestelltes Fragment handelt, stimmt diese Übereinstimmungsbedingung nicht mit dem ersten Fragment eines fragmentierten Pakets überein. Verwenden Sie zwei Begriffe, um sowohl das erste als auch das nachfolgende Fragment abzugleichen.

HINWEIS:

Aufgrund einer Einschränkung bei den Switches EX2300, EX3400 und EX4300 stimmt diese Übereinstimmungsbedingung nicht mit dem letzten Fragment eines fragmentierten Pakets überein, wenn sie auf "Familien-Ethernet-Switching" angewendet wird.

l2-encap-type llc-non-snap

Übereinstimmung auf LLC-Layer-Paketen (Logical Link Control) für den Nicht-SNAP-Ethernet-Kapselungstyp (Subnet Access Protocol).

next-header bytes

8-Bit-Protokollfeld, das den Typ des Headers identifiziert, der unmittelbar auf den IPv6-Header folgt. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

ah (51), dstops (60), egp (8), esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

Länge des empfangenen Pakets in Bytes.

Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Kapselungs-Overhead.

precedence precedence

IP-Präzedenz. Für precedencekönnen Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), , net-control (7), , priority (1), routine (0)

ip-precedence precedence

IP-Präzedenz. Für precedencekönnen Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), , net-control (7), , priority (1), routine (0)

protocol list of protocol

IPv4-Protokollwert. Für protocolskönnen Sie eines der folgenden Textsynonyme angeben:

egp (8), esp (50), gre (47), , icmp (1), igmp (2), , ipip (4), ospf (89), pim (103), rsvp (46), , tcp (6)udp (17)

ip-protocol list of protocol

IPv4-Protokollwert. Für protocolskönnen Sie eines der folgenden Textsynonyme angeben:

egp (8), esp (50), gre (47), , icmp (1), igmp (2), , ipip (4), ospf (89), pim (103), rsvp (46), , tcp (6)udp (17)

source-address ip-address

IP-Quelladressfeld, bei dem es sich um die Adresse des Quellknotens handelt, der das Paket sendet. Bei IPv6 ist das Quelladressfeld 128 Bit lang. Die Filterbeschreibungssyntax unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture, beschrieben sind.

ip-source-address (ip-address | ip6-address)

IP-Quelladressfeld, bei dem es sich um die Adresse des Quellknotens handelt, der das Paket sendet. Sie können entweder eine IPv4-Adresse (ip-address) oder eine IPv6-Adresse (ip6-address) angeben. Bei IPv6 ist das Feld ip-source-address 128 Bit lang. Die Filterbeschreibungssyntax unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture, beschrieben sind.

source-mac-address mac-address

MAC-Quelladresse.

Sie können eine Quell-MAC-Adresse mit einem Präfix definieren, z. B source-mac-address 00:01:02:03:04:05/24. . Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet.

source-port number

TCP- oder UDP-Feld source-port . In der Regel geben Sie diese Übereinstimmung in Verbindung mit der protocol Übereinstimmungsbedingung "oder ip-protocol " an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Für numberkönnen Sie eines der Textsynonyme angeben, die unter aufgeführt sind destination-port.

source-prefix-list prefix-list

IP-Quellpräfix-Listenfeld.

Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Diese Übereinstimmungsbedingung definieren Sie auf der Hierarchieebene [edit policy-options] .

tcp-established

TCP-Pakete einer aufgebauten TCP-Verbindung. Diese Bedingung entspricht anderen Paketen als dem ersten Paket einer Verbindung. tcp-established ist ein Synonym für die Bitnamen "(ack | rst)".

tcp-established prüft nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Geben Sie dazu die next-header tcp Übereinstimmungsbedingung an.

tcp-flags (flags tcp-initial)

Ein oder mehrere TCP-Flags:

  • bit-name—fin, syn, rst, push, ack, , urgent

  • logische Operatoren—& (logisches UND), (logisches ODER), |! (Negation)

  • Zahlenwert: 0x01 bis 0x20

  • Text-Synonym—tcp-initial

Wenn Sie mehrere Flags angeben möchten, verwenden Sie logische Operatoren.

tcp-initial

Entspricht dem ersten TCP-Paket einer Verbindung. tcp-initial ist ein Synonym für die Bitnamen "(syn&!ack)".

tcp-initial prüft nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Geben Sie dazu die Übereinstimmungsbedingung protocol tcp or ip-protocol tcp an.

traffic-class number

Gibt den DSCP-Codepunkt für ein Paket an.

ttl value

Entsprechender TTL-Typ. Der Wert reicht von 1 bis 255.

vlan (vlan-name | vlan-id)

Das VLAN, das dem Paket zugeordnet ist. Für vlan-idkönnen Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben. Die vlan Übereinstimmungsbedingung und die dot1q-tag Übereinstimmungsbedingung schließen sich gegenseitig aus.

learn-vlan-id (vlan-name | vlan-id)

Das VLAN, das dem Paket zugeordnet ist. Für vlan-idkönnen Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben. Die vlan Übereinstimmungsbedingung und die user-vlan-id Übereinstimmungsbedingung schließen sich gegenseitig aus.

Aktionen für Firewall-Filter

Sie können eine Aktion definieren, die der Switch ausführen soll, wenn ein Paket den Filterkriterien entspricht, die in einer Übereinstimmungsbedingung definiert sind. Tabelle 3 Beschreibt die Aktionen, die in einer Firewallfilterkonfiguration unterstützt werden.

Tabelle 3: Aktionen für Firewall-Filter

Action!

Beschreibung

accept

Akzeptieren Sie ein Paket.

discard

Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Nachricht (Typ 3). destination unreachable Sie können die zurückgewiesenen Pakete protokollieren, wenn Sie den syslog Aktionsmodifizierer konfigurieren.

Sie können einen der folgenden Nachrichtencodes angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Wenn Sie angeben tcp-reset, wird ein TCP-Reset zurückgegeben, wenn es sich bei dem Paket um ein TCP-Paket handelt. Andernfalls wird nichts zurückgegeben.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung destination unreachable mit der Standardnachricht communication administratively filteredgesendet.

routing-instance routing-instance-name

Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter.

HINWEIS:

EX4200-Switches unterstützen keine Firewall-filterbasierte Umleitung zur Standard-Routing-Instanz.

vlan vlan-name

Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter. Stellen Sie sicher, dass Sie den VLAN-Namen oder die VLAN-ID und keinen VLAN-Bereich angeben, da die vlan Aktion die vlan-range Option nicht unterstützt.

HINWEIS:

Wenn Sie ein VLAN definiert haben, das für dot1q-Tunneling aktiviert ist, wird dieses bestimmte VLAN nicht als Aktion (unter Verwendung der vlan vlan-name Aktion) für einen Eingangs-VLAN-Firewall-Filter unterstützt.

Aktionsmodifikatoren für Firewall-Filter

Zusätzlich zu den in Tabelle 3beschriebenen Aktionen können Sie Aktionsmodifikatoren in einer Firewall-Filterkonfiguration für einen Switch definieren, wenn Pakete den in der Übereinstimmungsbedingung definierten Filterkriterien entsprechen. Tabelle 4 Beschreibt die Aktionsmodifikatoren, die in einer Firewallfilterkonfiguration unterstützt werden.

Tabelle 4: Aktionsmodifikatoren für Firewall-Filter

Modifikator "Aktion"

Beschreibung

analyzer analyzer-name

Spiegeln Sie den Port-Datenverkehr an einen bestimmten Zielport oder ein VLAN, das mit einer Protokollanalyseanwendung verbunden ist. Bei der Spiegelung werden alle Pakete, die auf einem Switch-Port angezeigt werden, in eine Netzwerküberwachungsverbindung an einem anderen Switch-Port kopiert. Der Name des Analyzers muss unter [edit ethernet-switching-options analyzer]konfiguriert werden.

HINWEIS:

analyzer ist kein unterstützter Aktionsmodifizierer für eine Verwaltungsschnittstelle.

HINWEIS:

Auf EX4500-Switches können Sie nur einen Analyzer konfigurieren und ihn in einen Firewall-Filter einschließen. Wenn Sie mehrere Analysetools konfigurieren, können Sie keines dieser Analysetools in einen Firewallfilter aufnehmen.

dscp number

Ändern Sie den DSCP-Wert für übereinstimmende Pakete in den DSCP-Wert, der mit diesem Aktionsmodifizierer angegeben wurde. number gibt den Differentiated Services-Codepunkt (Differentiated Services Code Point, DSCP) an. Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen sechs Bits dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Für numberkönnen Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

  • ef (46)– wie in RFC 2598, An Expedited Forwarding PHB, definiert.

  • af11 (10), af12 (12), af13 (14), , af21 (18), af22 (20), , af23 (22),

    af31 (26), af32 (28), af33 (30), , af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse sind für 12 Codepunkte in RFC 2597, Assured Forwarding PHB Group, definiert.

count counter-name

Zählen Sie die Anzahl der Pakete, die diesen Filter, Begriff oder Policer passieren. Mit einem Policer können Sie Ratenbegrenzungen für Datenverkehr festlegen, der in eine Schnittstelle auf einem Switch gelangt.

HINWEIS:

Auf EX4300-Switches können Sie dieselbe Anzahl von Zählern und Policern konfigurieren wie die Anzahl der Begriffe im ternären Content Addressable Memory (TCAM).

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Weiterleitungsklassen:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control
gbp-src-tag (nur EX4400 und EX4650) Legen Sie das gruppenbasierte Richtlinienquellen-Tag (0..65535) für die Verwendung mit der Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

interface interface-name

Leiten Sie den Datenverkehr an die angegebene Schnittstelle weiter, indem Sie die Switching-Suche umgehen.

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den show firewall log Befehl in der CLI ein.

HINWEIS:

Wenn der log oder der syslog Aktionsmodifizierer zusammen mit einer vlan Aktion oder einem interface Aktionsmodifizierer konfiguriert ist, werden die Ereignisse möglicherweise nicht protokolliert. Die Funktionalität der Umleitungsschnittstelle funktioniert jedoch wie erwartet.

loss-priority (high | low)

Legen Sie die Paketverlustpriorität (PLP) fest.

policer policer-name

Wenden Sie Ratenbegrenzungen auf den Datenverkehr an.

Sie können einen Policer in einem Firewall-Filter nur für eingehenden Datenverkehr an einem Port, VLAN und Router angeben.

HINWEIS:

Ein Zähler für einen Policer wird auf EX8200-Switches nicht unterstützt.

HINWEIS:

Auf EX4300-Switches können Sie dieselbe Anzahl von Zählern und Policern konfigurieren wie die Anzahl der Begriffe im TCAM.

port-mirror

Spiegeln Sie Pakete auf die in der [edit forwarding-options analyzer] Hierarchie definierte Schnittstelle.

port-mirror-instance instance-name

Spiegeln Sie Pakete auf die in der [edit forwarding-options analyzer] Hierarchie definierte Instanz.

syslog

Protokollieren Sie eine Warnung für dieses Paket. Sie können angeben, dass das Protokoll zur Speicherung und Analyse an einen Server gesendet wird.

HINWEIS:

Wenn der log oder der syslog Aktionsmodifizierer zusammen mit einer vlan Aktion oder einem interface Aktionsmodifizierer konfiguriert ist, werden die Ereignisse möglicherweise nicht protokolliert. Die Funktionalität der Umleitungsschnittstelle funktioniert jedoch wie erwartet.

three-color-policer

Wenden Sie einen dreifarbigen Policer an.

Verwandte Themen