Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifizierer für Switches der EX-Serie

Wenn Sie einen Firewall-Filter für einen Switch der EX-Serie definieren, definieren Sie Filterkriterien (termsmit match conditions) für die Pakete und eine action (und optional eine action modifier) für den Switch, die ausgeführt werden soll, wenn die Pakete den Filterkriterien entsprechen. Sie können einen Firewall-Filter zur Überwachung des IPv4-, IPv6- oder Nicht-IP-Datenverkehrs definieren.

In diesem Thema werden die verschiedenen Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren, die Sie in einem Firewall-Filter definieren können, detailliert beschrieben. Informationen zur Unterstützung von Übereinstimmungsbedingungen auf verschiedenen Switches der EX-Serie finden Sie unter Plattformunterstützung für Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifizierer auf Switches der EX-Serie.

Firewall-Filterelemente

Eine Firewall-Filterkonfiguration enthält einen Begriff, eine Übereinstimmungsbedingung, eine Aktion und optional einen Aktionsmodifizierer. Tabelle 1 beschreibt jedes Element in einer Firewallfilterkonfiguration.

Tabelle 1: Elemente einer Firewall-Filterkonfiguration

Elementname

Beschreibung

Begriff

Definiert die Filterkriterien für die Pakete. Jeder Begriff im Firewall-Filter besteht aus Übereinstimmungsbedingungen und einer Aktion. Sie können einen einzelnen Begriff oder mehrere Begriffe im Firewall-Filter definieren. Wenn Sie mehrere Begriffe definieren, muss jeder Begriff einen eindeutigen Namen haben.

Übereinstimmungsbedingung

Besteht aus einer Zeichenfolge (die als a match statementbezeichnet wird), die die Übereinstimmungsbedingung definiert. Übereinstimmungsbedingungen sind die Werte oder Felder, die ein Paket enthalten muss. Sie können eine einzelne Übereinstimmungsbedingung oder mehrere Übereinstimmungsbedingungen für einen Begriff festlegen. Sie können auch entscheiden, keine Übereinstimmungsbedingung zu definieren. Wenn für einen Begriff keine Übereinstimmungsbedingungen angegeben sind, werden standardmäßig alle Pakete übereinstimmen.

Aktion

Gibt die Aktion an, die der Switch ausgeführt wird, wenn ein Paket allen in den Übereinstimmungsbedingungen festgelegten Kriterien entspricht.

Aktionsmodifizierer

Gibt eine oder mehrere Aktionen an, die der Switch ausführen kann, wenn ein Paket mit den Bedingungen für den jeweiligen Begriff übereinstimmt.

Bedingungen anpassen, die auf Switches unterstützt werden

Basierend auf der Art des Datenverkehrs, den Sie überwachen möchten, können Sie einen Firewall-Filter für die Überwachung von IPv4-, IPv6- oder Nicht-IP-Datenverkehr konfigurieren. Wenn Sie einen Firewall-Filter zur Überwachung eines bestimmten Datenverkehrstyps konfigurieren, stellen Sie sicher, dass Sie Übereinstimmungsbedingungen angeben, die für diesen Datenverkehrstyp unterstützt werden. Informationen zu Übereinstimmungsbedingungen, die für eine bestimmte Art von Datenverkehr und Switches, auf denen sie unterstützt werden, unterstützt werden, finden Sie unter Plattformunterstützung für Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifizierer auf Switches der EX-Serie.

Tabelle 2 beschreibt alle Übereinstimmungsbedingungen, die für Firewall-Filter auf Switches der EX-Serie unterstützt werden.

Tabelle 2: Firewall-Filter-Übereinstimmungsbedingungen werden auf Switches der EX-Serie unterstützt

Übereinstimmungsbedingung

Beschreibung

destination-address ip-address

IP-Zieladressenfeld, das die Adresse des endgültigen Zielknotens ist.

ip-destination-address ip-address

IP-Zieladressenfeld, das die Adresse des endgültigen Zielknotens ist.

ip6-destination-address ip-address

IP-Zieladressenfeld, das die Adresse des endgültigen Zielknotens ist.

destination-mac-address mac-address

Mac-Adresse (Destination Media Access Control) des Pakets.

Sie können eine Mac-Zieladresse mit einem Präfix festlegen, z destination-mac-address 00:01:02:03:04:05/24. B. . Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet.

destination-port number

TCP- oder UDP-Zielportfeld. In der Regel legen Sie diese Übereinstimmungsbedingung zusammen mit der protocolip-protocol Oder-Übereinstimmungsbedingung fest, um zu bestimmen, welches Protokoll am Port verwendet wird. Für numberkönnen Sie eines der folgenden Text synonyme angeben (die Portnummern sind ebenfalls aufgeführt):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

Ip-Ziel-Präfixlistenfeld.

Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlisten-Alias für häufige Verwendung definieren. Sie definieren diese Übereinstimmungsbedingung auf der [edit policy-options] Hierarchieebene.

dot1q-tag number

Das Tag-Feld im Ethernet-Header. Die Tag-Werte liegen zwischen 1 und 4095. Die dot1q-tag Übereinstimmungsbedingung und die Übereinstimmungsbedingung vlan schließen sich gegenseitig aus.

user-vlan-id number

Das Tag-Feld im Ethernet-Header. Die Tag-Werte liegen zwischen 1 und 4095. Die user-vlan-id Übereinstimmungsbedingung und die Übereinstimmungsbedingung learn-vlan-id schließen sich gegenseitig aus.

dot1q-user-priority number

Benutzerprioritätsfeld des tagged Ethernet-Pakets. Die Werte für die Benutzerpriorität können zwischen 0 und 7 liegen.

Für numberkönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • background (1)— Hintergrund

  • best-effort (0)— Beste Anstrengungen

  • controlled-load (4)— Kontrollierte Last

  • excellent-load (3)— Hervorragende Last

  • network-control (7)— Reservierter Datenverkehr zur Netzwerksteuerung

  • standard (2)— Standard oder Ersatzteil

  • video (5)— Video

  • voice (6)— Sprache

user-vlan-1p-priority number

Benutzerprioritätsfeld des tagged Ethernet-Pakets. Die Werte für die Benutzerpriorität können zwischen 0 und 7 liegen.

Für numberkönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • background (1)— Hintergrund

  • best-effort (0)— Beste Anstrengungen

  • controlled-load (4)— Kontrollierte Last

  • excellent-load (3)— Hervorragende Last

  • network-control (7)— Reservierter Datenverkehr zur Netzwerksteuerung

  • standard (2)— Standard oder Ersatzteil

  • video (5)— Video

  • voice (6)— Sprache

dscp number

Gibt den Codepunkt für differenzierte Services (DSCP) an. Das DiffServ-Protokoll verwendet das ToS-Byte (Type of Service) im IP-Header. Die wichtigsten sechs Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Für numberkönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • ef (46)— wie in RFC 2598, An Expedited Forwarding PHB definiert.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Precedences in jeder Klasse sind für 12 Codepunkte in RFC 2597, Assured Forwarding PHB Group, definiert.

ether-type value

Ethernet-Typfeld eines Pakets. Der Wert gibt an, welches Protokoll im Ethernet-Frame übertragen wird. Für valuekönnen Sie eines der folgenden Text synonyme angeben:

  • aarp— EtherType-Wert AARP (0x80F3)

  • appletalk— EtherType-Wert AppleTalk (0x809B)

  • arp– EtherType-Wert ARP (0x0806)

  • ipv4— EtherType-Wert IPv4 (0x0800)

  • ipv6– EtherType-Wert IPv6 (0x08DD)

  • mpls multicast– EtherType-Wert MPLS-Multicast (0x8848)

  • mpls unicast– EtherType-Wert MPLS-Unicast (0x8847)

  • oam– EtherType-Wert OAM (0x88A8)

  • ppp– EtherType-Wert PPP (0x880B)

  • pppoe-discovery— EtherType-Wert PPPoE Discovery Stage (0x8863)

  • pppoe-session— EtherType-Wert PPPoE Session Stage (0x8864)

  • sna— EtherType-Wert SNA (0x80D5)

Anmerkung:

Die folgenden Übereinstimmungsbedingungen werden nicht unterstützt, wenn ether-type folgende Einstellung festgelegt ipv6ist:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence Oder ip-precedence

  • protocol Oder ip-protocol

fragment-flags fragment-flags

IP-Fragmentierungs-Flags, die in symbolischen oder hexadezimalen Formaten angegeben sind. Sie können eine der folgenden Optionen angeben:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Passen Sie das Ziel-Tag für die Verwendung mit Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierter Richtlinie in einem VXLAN
gbp-src-tag Passen Sie das Quell-Tag für die Verwendung mit Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierter Richtlinie in einem VXLAN

icmp-code number

ICMP-Codefeld. Dieser Wert oder diese Option bietet spezifischere Informationen als icmp-type. Da die Bedeutung des Wertes von der zugehörigen icmp-typeabhängt, müssen Sie zusammen mit icmp-codeangebenicmp-type. Für numberkönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt). Die Optionen werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirectredirect-for-host (1), redirect-for-network (0), , redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13) , destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6)fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), , network-unreachable-for-TOS (11), , port-unreachable (3), precedence-cutoff-in-effect (15), , , protocol-unreachable (2), source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP-Pakettypfeld. In der Regel legen Sie diese Übereinstimmungsbedingung zusammen mit der protocolip-protocol Oder-Übereinstimmungsbedingung fest, um zu bestimmen, welches Protokoll am Port verwendet wird. Für numberkönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Schnittstelle, an der das Paket empfangen wird. Sie können das Platzhalterzeichen (*) als Teil eines Schnittstellennamens angeben.

Anmerkung:

Die Übereinstimmungsbedingung interface wird für ausgehenden Datenverkehr in einem EX8200 Virtual Chassis nicht unterstützt.

ip-options

Anwesenheit des Optionsfelds im IP-Header.

ip-version version match_condition(s)

Version des IP-Protokolls für Port- und VLAN-Firewall-Filter. Der Wert für version kann sein ipv4 oder ipv6.

Für match_condition(s)können Sie eine oder mehrere der folgenden Übereinstimmungsbedingungen angeben:

  • destination-address, ip-destination-addressoder ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence Oder ip-precedence

  • protocol Oder ip-protocol

  • source-address Oder ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Wenn es sich bei dem Paket um ein Trailing-Fragment handelt, entspricht diese Übereinstimmungsbedingung nicht dem ersten Fragment eines fragmentierten Pakets. Verwenden Sie zwei Begriffe, um sowohl den ersten als auch den nachgestellten Fragmenten zu entsprechen.

Anmerkung:

Aufgrund einer Einschränkung der Switches EX2300, EX3400 und EX4300 entspricht diese Übereinstimmungsbedingung nicht dem letzten Fragment eines fragmentierten Pakets, wenn es auf "Family Ethernet-Switching" angewendet wird.

l2-encap-type llc-non-snap

Passen Sie die Layer-Pakete der logischen Link Control (LLC) für den Ethernet-Einkapselungstyp SNAP (Non-Subnet Access Protocol) an.

next-header bytes

8-Bit-Protokollfeld, das den Header-Typ unmittelbar nach dem IPv6-Header identifiziert. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

Länge des empfangenen Pakets in Bytes.

Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Einkapselungs-Overhead.

precedence precedence

IP-Rangfolge. Für precedencekönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

IP-Rangfolge. Für precedencekönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

IPv4-Protokollwert. Für protocolskönnen Sie eines der folgenden Text synonyme angeben:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

IPv4-Protokollwert. Für protocolskönnen Sie eines der folgenden Text synonyme angeben:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

IP-Quelladressenfeld, das die Adresse des Quellknotens ist, der das Paket sendet. Für IPv6 beträgt das Quelladressfeld eine Länge von 128 Bits. Die Filterbeschreibungssyntax unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture beschrieben sind.

ip-source-address (ip-address | ip6-address)

IP-Quelladressenfeld, das die Adresse des Quellknotens ist, der das Paket sendet. Sie können entweder eine IPv4-Adresse () oder eine IPv6-Adresse (ip-addressip6-address) angeben. Für IPv6 beträgt das IP-Quelladressfeld eine Länge von 128 Bit. Die Filterbeschreibungssyntax unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture beschrieben sind.

source-mac-address mac-address

Quell-MAC-Adresse.

Sie können eine Mac-Quelladresse mit einem Präfix definieren, z source-mac-address 00:01:02:03:04:05/24. B. . Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet.

source-port number

TCP- oder UDP-Feld source-port . In der Regel geben Sie diese Übereinstimmung zusammen mit der protocolip-protocol Oder-Übereinstimmungsbedingung an, um zu bestimmen, welches Protokoll am Port verwendet wird. Für numberkönnen Sie eines der unter aufgeführten destination-portText synonyme angeben.

source-prefix-list prefix-list

Ip-Quell-Präfixlistenfeld.

Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlisten-Alias für häufige Verwendung definieren. Sie definieren diese Übereinstimmungsbedingung auf der [edit policy-options] Hierarchieebene.

tcp-established

TCP-Pakete einer etablierten TCP-Verbindung. Diese Bedingung entspricht anderen Paketen als dem ersten Paket einer Verbindung. tcp-established ist ein Synonym für die Bitnamen "(ack | rst)".

tcp-established überprüft nicht implizit, ob das Protokoll TCP ist. Geben Sie dazu die Übereinstimmungsbedingung next-header tcp an.

tcp-flags (flags tcp-initial)

Ein oder mehrere TCP-Flags:

  • Bitname –fin , syn, rst, push, ackurgent

  • logische Operatoren –& (logisches AND), | (logisches OR), ! (Negation)

  • numerischer Wert – 0x01 bis 0x20

  • Text synonym:tcp-initial

Verwenden Sie zum Angeben mehrerer Flags logische Operatoren.

tcp-initial

Gleicht das erste TCP-Paket einer Verbindung ab. tcp-initial ist ein Synonym für die Bitnamen "(syn&!ack)".

tcp-initial überprüft nicht implizit, ob das Protokoll TCP ist. Geben Sie dazu die protocol tcp Bedingung oder ip-protocol tcp Übereinstimmung an.

traffic-class number

Gibt den DSCP-Codepunkt für ein Paket an.

ttl value

TTL-Typ, der übereinstimmen soll. Der Wert reicht von 1 bis 255.

vlan (vlan-name | vlan-id)

Das VLAN, das mit dem Paket verknüpft ist. Für vlan-idkönnen Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben. Die vlan Übereinstimmungsbedingung und die Übereinstimmungsbedingung dot1q-tag schließen sich gegenseitig aus.

learn-vlan-id (vlan-name | vlan-id)

Das VLAN, das mit dem Paket verknüpft ist. Für vlan-idkönnen Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben. Die vlan Übereinstimmungsbedingung und die Übereinstimmungsbedingung user-vlan-id schließen sich gegenseitig aus.

Aktionen für Firewall-Filter

Sie können eine Aktion festlegen, die für den Switch durchzuführen ist, wenn ein Paket den in einer Übereinstimmungsbedingung definierten Filterkriterien entspricht. Tabelle 3 beschreibt die in einer Firewallfilterkonfiguration unterstützten Aktionen.

Tabelle 3: Aktionen für Firewall-Filter

Aktion

Beschreibung

accept

Akzeptieren Sie ein Paket.

discard

Verwerfen Sie ein Paket unbemerkt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Nachricht (Typ 3). destination unreachable Sie können die abgelehnten Pakete protokollieren, wenn Sie den Aktionsmodifizierer syslog konfigurieren.

Sie können einen der folgenden Nachrichtencodes angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Wenn Sie angeben tcp-reset, wird ein TCP-Reset zurückgegeben, wenn es sich bei dem Paket um ein TCP-Paket handelt. Andernfalls wird nichts zurückgegeben.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung destination unreachable mit der Standardnachricht communication administratively filteredgesendet.

routing-instance routing-instance-name

Übertragen Sie übereinstimmene Pakete an eine virtuelle Routing-Instanz.

Anmerkung:

EX4200-Switches unterstützen keine firewallfilterbasierte Umleitung zur Standardroutinginstanz.

vlan vlan-name

Weiterleitung von Paketen an ein bestimmtes VLAN. Stellen Sie sicher, dass Sie den VLAN-Namen oder die VLAN-ID angeben und keinen VLAN-Bereich, da die vlan Aktion die vlan-range Option nicht unterstützt.

Anmerkung:

Wenn Sie ein VLAN definiert haben, das für dot1q-Tunneling aktiviert ist, wird dieses bestimmte VLAN nicht als Aktion (mithilfe der vlan vlan-name Aktion) für einen Ingress-VLAN-Firewall-Filter unterstützt.

Aktionsmodifikatoren für Firewall-Filter

Zusätzlich zu den in Tabelle 3beschriebenen Aktionen können Sie Aktionsmodifikatoren in einer Firewall-Filterkonfiguration für einen Switch definieren, wenn Pakete mit den in der Übereinstimmungsbedingung definierten Filterkriterien übereinstimmen. Tabelle 4 Beschreiben die in einer Firewall-Filterkonfiguration unterstützten Aktionsmodifikatoren.

Tabelle 4: Aktionsmodifikatoren für Firewall-Filter

Aktionsmodifizierer

Beschreibung

analyzer analyzer-name

Spiegelung des Portdatenverkehrs zu einem bestimmten Zielport oder VLAN, das mit einer Protokollanalyseanwendung verbunden ist. Durch Spiegelung werden alle Pakete, die auf einem Switch-Port zu sehen sind, in eine Netzwerküberwachungsverbindung auf einem anderen Switch-Port kopiert. Der Analyzer-Name muss unter [edit ethernet-switching-options analyzer]konfiguriert werden.

Anmerkung:

analyzer ist kein unterstützter Action-Modifikator für eine Verwaltungsschnittstelle.

Anmerkung:

Auf EX4500-Switches können Sie nur einen Analyzer konfigurieren und in einen Firewall-Filter integrieren. Wenn Sie mehrere Analysegeräte konfigurieren, können Sie keinen dieser Analysegeräte in einen Firewall-Filter aufnehmen.

dscp number

Ändern Sie den DSCP-Wert für zugeordnete Pakete in den mit diesem Aktionsmodifizierer angegebenen DSCP-Wert. number gibt den DSCP (Differentiated Services Code Point) an. Das DiffServ-Protokoll verwendet das ToS-Byte (Type of Service) im IP-Header. Die wichtigsten sechs Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Für numberkönnen Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • ef (46)— wie in RFC 2598, An Expedited Forwarding PHB definiert.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Precedences in jeder Klasse sind für 12 Codepunkte in RFC 2597, Assured Forwarding PHB Group, definiert.

count counter-name

Zählen Sie die Anzahl der Pakete, die diesen Filter, Begriff oder Policer passieren. Mit einem Policer können Sie Datenübertragungsraten für Datenverkehr festlegen, der über eine Schnittstelle auf einem Switch übertragen wird.

Anmerkung:

Auf EX4300-Switches können Sie die gleiche Anzahl von Zählern und Policern konfigurieren wie die Anzahl der Begriffe im ternären adressierbaren Inhaltsspeicher (TCAM).

forwarding-class class

Klassifizieren Sie das Paket in einer der folgenden Weiterleitungsklassen:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (nur EX4400 und EX4650) Legen Sie das gruppenbasierte Richtlinien-Quell-Tag (0.65535) für die Verwendung mit Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierter Richtlinie in einem VXLAN

interface interface-name

Leiten Sie den Datenverkehr an die angegebene Schnittstelle weiter, um die Switching-Suche zu umgehen.

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den show firewall log Befehl in der BEFEHLSZEILE aus.

Anmerkung:

Wenn der log oder der Aktionsmodifizierer syslog zusammen mit einer Aktion oder einem vlan Aktionsmodifizierer interface konfiguriert ist, werden die Ereignisse möglicherweise nicht protokolliert. Die Umleitungsschnittstelle funktioniert jedoch wie erwartet.

loss-priority (high | low)

Legen Sie die Paketverlustpriorität (PLP) fest.

policer policer-name

Anwenden von Begrenzungen der Datenübertragungsrate auf den Datenverkehr.

Sie können einen Policer in einem Firewall-Filter nur für eingehenden Datenverkehr an einem Port, VLAN und Router angeben.

Anmerkung:

Ein Zähler für einen Policer wird auf EX8200-Switches nicht unterstützt.

Anmerkung:

Auf EX4300-Switches können Sie die gleiche Anzahl von Zählern und Policern konfigurieren wie die Anzahl der Begriffe in der TCAM.

port-mirror

Spiegelung von Paketen auf die in der [edit forwarding-options analyzer] Hierarchie definierte Schnittstelle.

port-mirror-instance instance-name

Spiegelung von Paketen zu der in der Hierarchie definierten [edit forwarding-options analyzer] Instanz.

syslog

Protokollieren Sie eine Warnung für dieses Paket. Sie können festlegen, dass das Protokoll zur Speicherung und Analyse an einen Server gesendet wird.

Anmerkung:

Wenn der log oder der Aktionsmodifizierer syslog zusammen mit einer Aktion oder einem vlan Aktionsmodifizierer interface konfiguriert ist, werden die Ereignisse möglicherweise nicht protokolliert. Die Umleitungsschnittstelle funktioniert jedoch wie erwartet.

three-color-policer

Wenden Sie einen dreifarbigen Policer an.