Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Conditions de correspondance du filtre de pare-feu, actions et modificateurs d’action pour les commutateurs EX Series

Lorsque vous définissez un filtre de pare-feu pour un commutateur EX Series, vous définissez des critères de filtrage (, avec match conditions) pour les paquets et un (termset, éventuellement, un actionaction modifier) pour le commutateur si les paquets correspondent aux critères de filtrage. Vous pouvez définir un filtre de pare-feu pour surveiller le trafic IPv4, IPv6 ou non-IP.

Cette rubrique décrit en détail les différentes conditions de correspondance, les actions et les modificateurs d’action que vous pouvez définir dans un filtre de pare-feu. Pour plus d’informations sur la prise en charge des conditions de correspondance sur divers commutateurs EX Series, reportez-vous à la section Prise en charge de la plate-forme pour les conditions de correspondance du filtre de pare-feu, les actions et les modificateurs d’action sur les commutateurs EX Series.

Éléments filtrants du pare-feu

Une configuration de filtre de pare-feu contient un terme, une condition de correspondance, une action et, éventuellement, un modificateur d’action. Tableau 1 Décrit chaque élément d’une configuration de filtre de pare-feu.

Tableau 1 : Éléments de la configuration d’un filtre de pare-feu

Nom de l’élément

Description

Terme

Définit les critères de filtrage des paquets. Chaque terme du filtre de pare-feu est constitué de conditions de correspondance et d’une action. Vous pouvez définir un ou plusieurs termes dans le filtre de pare-feu. Si vous définissez plusieurs termes, chacun d’entre eux doit avoir un nom unique.

Condition de correspondance

Se compose d’une chaîne (appelée match statement) qui définit la condition de correspondance. Les conditions de correspondance sont les valeurs ou les champs qu’un paquet doit contenir. Vous pouvez définir une ou plusieurs conditions de correspondance pour un terme. Vous pouvez également choisir de ne pas définir de condition de correspondance. Si aucune condition de correspondance n’est spécifiée pour un terme, tous les paquets sont mis en correspondance par défaut.

Action

Spécifie l’action que le commutateur effectue si un paquet correspond à tous les critères spécifiés dans les conditions de correspondance.

Modificateur d’action

Spécifie une ou plusieurs actions que le commutateur effectue si un paquet correspond aux conditions de correspondance pour le terme spécifique.

Conditions de correspondance prises en charge sur les commutateurs

En fonction du type de trafic que vous souhaitez surveiller, vous pouvez configurer un filtre de pare-feu pour surveiller le trafic IPv4, IPv6 ou non IP. Lorsque vous configurez un filtre de pare-feu pour surveiller un type de trafic particulier, assurez-vous de spécifier les conditions de correspondance qui sont prises en charge pour ce type de trafic. Pour plus d’informations sur les conditions de correspondance prises en charge pour un type de trafic spécifique et les commutateurs sur lesquels elles sont prises en charge, reportez-vous à la section Prise en charge de la plate-forme pour les conditions de correspondance du filtre de pare-feu, actions et modificateurs d’action sur les commutateurs EX Series.

Tableau 2 décrit toutes les conditions de correspondance prises en charge pour les filtres de pare-feu sur les commutateurs EX Series.

Tableau 2 : Conditions de correspondance du filtre de pare-feu prises en charge sur les commutateurs EX Series

Condition de correspondance

Description

destination-address ip-address

Champ Adresse IP de destination, qui correspond à l’adresse du nœud de destination final.

ip-destination-address ip-address

Champ Adresse IP de destination, qui correspond à l’adresse du nœud de destination final.

ip6-destination-address ip-address

Champ Adresse IP de destination, qui correspond à l’adresse du nœud de destination final.

destination-mac-address mac-address

Adresse MAC (Media Access Control) de destination du paquet.

Vous pouvez définir une adresse MAC de destination avec un préfixe, tel que destination-mac-address 00:01:02:03:04:05/24. Si aucun préfixe n’est spécifié, la valeur par défaut 48 est utilisée.

destination-port number

Champ de port de destination TCP ou UDP. En règle générale, vous spécifiez cette condition de correspondance en conjonction avec la protocol condition de correspondance ou ip-protocol pour déterminer quel protocole est utilisé sur le port. Pour number, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) :

afs (1483), , , bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

Champ de liste des préfixes de destination IP.

Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Vous définissez cette condition de correspondance au niveau de la [edit policy-options] hiérarchie.

dot1q-tag number

Champ de balise dans l’en-tête Ethernet. Les valeurs des balises sont comprises entre 1 et 4095. La dot1q-tag condition de correspondance et la condition de correspondance s’excluent vlan mutuellement.

user-vlan-id number

Champ de balise dans l’en-tête Ethernet. Les valeurs des balises sont comprises entre 1 et 4095. La user-vlan-id condition de correspondance et la condition de correspondance s’excluent learn-vlan-id mutuellement.

dot1q-user-priority number

Champ de priorité de l’utilisateur du paquet Ethernet balisé. Les valeurs de priorité de l’utilisateur peuvent être comprises entre 0 et 7.

Pour number, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • background (1)—Contexte

  • best-effort (0)—Meilleur effort

  • controlled-load (4)—Charge contrôlée

  • excellent-load (3)—Excellente charge

  • network-control (7)—Trafic réservé de contrôle réseau

  • standard (2)—Standard ou de rechange

  • video (5)—Vidéo

  • voice (6)—Voix

user-vlan-1p-priority number

Champ de priorité de l’utilisateur du paquet Ethernet balisé. Les valeurs de priorité de l’utilisateur peuvent être comprises entre 0 et 7.

Pour number, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • background (1)—Contexte

  • best-effort (0)—Meilleur effort

  • controlled-load (4)—Charge contrôlée

  • excellent-load (3)—Excellente charge

  • network-control (7)—Trafic réservé de contrôle réseau

  • standard (2)—Standard ou de rechange

  • video (5)—Vidéo

  • voice (6)—Voix

dscp number

Spécifie le point de code des services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les six bits les plus significatifs de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

Pour number, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • ef (46)—tel que défini dans la RFC 2598, An Expedited Forwarding PHB.

  • af11 (10), , , af21 (18), , af23 (22)af12 (12)af13 (14)af22 (20)

    af31 (26), , , , af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    Ces quatre classes, avec trois précédences d’abandon dans chaque classe, sont définies pour 12 points de code dans la RFC 2597, Assured Forwarding PHB Group.

ether-type value

Type Ethernet d’un paquet. La valeur spécifie le protocole transporté dans la trame Ethernet. Pour value, vous pouvez spécifier l’un des synonymes de texte suivants :

  • aarp—Valeur EtherType AARP (0x80F3)

  • appletalk—Valeur EtherType AppleTalk (0x809B)

  • arp—Valeur EtherType ARP (0x0806)

  • ipv4—Valeur EtherType IPv4 (0x0800)

  • ipv6—Valeur EtherType IPv6 (0x08DD)

  • mpls multicast—Valeur EtherType Multicast MPLS (0x8848)

  • mpls unicast—Valeur EtherType unicast MPLS (0x8847)

  • oam—Valeur EtherType OAM (0x88A8)

  • ppp—Valeur EtherType PPP (0x880B)

  • pppoe-discovery—Valeur EtherType Phase de découverte PPPoE (0x8863)

  • pppoe-session—Valeur EtherType Phase de session PPPoE (0x8864)

  • sna—Valeur EtherType SNA (0x80D5)

REMARQUE :

Les conditions de correspondance suivantes ne sont pas prises en charge lorsque ether-type est défini sur ipv6:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

fragment-flags fragment-flags

Indicateurs de fragmentation IP, spécifiés dans des formats symboliques ou hexadécimaux. Vous pouvez spécifier l’une des options suivantes :

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)
gbp-dst-tag Faites correspondre la balise de destination, pour une utilisation avec la microsegmentation sur un VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN
gbp-src-tag Faites correspondre la balise source, pour une utilisation avec la microsegmentation sur un VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

icmp-code number

Champ de code ICMP. Cette valeur ou option fournit des informations plus spécifiques que icmp-type. Étant donné que la signification de la valeur dépend de l’attribut icmp-type, vous devez spécifier icmp-type avec icmp-code. Pour number, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées). Les options sont regroupées selon le type ICMP auquel elles sont associées :

  • parameter-problemip-header-bad (0), required-option-missing (1)

  • redirectredirect-for-host (1), , , redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13), , destination-host-unknown (7)destination-host-prohibited (10)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

Champ de type de paquet ICMP. En règle générale, vous spécifiez cette condition de correspondance en conjonction avec la protocol condition de correspondance ou ip-protocol pour déterminer quel protocole est utilisé sur le port. Pour number, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

echo-reply (0), , , info-request (15), echo-request (8)info-reply (16)mask-request (17), , , mask-reply (18)parameter-problem (12) redirect (5), , , source-quench (4), router-advertisement (9)router-solicit (10) time-exceeded (11), , , timestamp (13)timestamp-reply (14)unreachable (3)

interface interface-name

Interface sur laquelle le paquet est reçu. Vous pouvez spécifier le caractère générique (*) dans le nom d’une interface.

REMARQUE :

La interface condition de correspondance n’est pas prise en charge pour le trafic sortant sur un Virtual Chassis EX8200.

ip-options

Présence du champ options dans l’en-tête IP.

ip-version version match_condition(s)

Version du protocole IP pour les filtres de port et de pare-feu VLAN. La valeur de version peut être ipv4 ou ipv6.

Pour match_condition(s), vous pouvez spécifier une ou plusieurs des conditions de correspondance suivantes :

  • destination-address, ip-destination-address, ou ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

  • source-address Ou ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

S’il s’agit d’un fragment de fin, cette condition de correspondance ne correspond pas au premier fragment d’un paquet fragmenté. Utilisez deux termes pour faire correspondre le premier fragment et le dernier fragment.

REMARQUE :

En raison d’une limitation sur les commutateurs EX2300, EX3400 et EX4300, cette condition de correspondance ne correspond pas au dernier fragment d’un paquet fragmenté lorsqu’elle est appliquée à la « commutation Ethernet de famille ».

l2-encap-type llc-non-snap

Correspondance sur les paquets de la couche LLC (Logical Link Control) pour le type d’encapsulation Ethernet non-SNAP (Subnet Access Protocol).

next-header bytes

Champ de protocole 8 bits qui identifie le type d’en-tête qui suit immédiatement l’en-tête IPv6. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

ah (51), , , , dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

Longueur du paquet reçu, en octets.

La longueur fait uniquement référence au paquet IP, y compris l’en-tête du paquet, et n’inclut aucune surcharge d’encapsulation de couche 2.

precedence precedence

Priorité IP. Pour precedence, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

critical-ecp (5), , , immediate (2), internet-control (6)flash (3)flash-override (4)net-control (7)priority (1)routine (0)

ip-precedence precedence

Priorité IP. Pour precedence, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

critical-ecp (5), , , immediate (2), internet-control (6)flash (3)flash-override (4)net-control (7)priority (1)routine (0)

protocol list of protocol

Valeur du protocole IPv4. Pour protocols, vous pouvez spécifier l’un des synonymes de texte suivants :

egp (8), , , icmp (1), , ipip (4)esp (50)gre (47)igmp (2) ospf (89), , , tcp (6), pim (103)rsvp (46)udp (17)

ip-protocol list of protocol

Valeur du protocole IPv4. Pour protocols, vous pouvez spécifier l’un des synonymes de texte suivants :

egp (8), , , icmp (1), , ipip (4)esp (50)gre (47)igmp (2) ospf (89), , , tcp (6), pim (103)rsvp (46)udp (17)

source-address ip-address

IP source address, qui correspond à l’adresse du nœud source qui envoie le paquet. Pour IPv6, le champ d’adresse source a une longueur de 128 bits. La syntaxe de description de filtre prend en charge les représentations textuelles des adresses IPv6 décrites dans la RFC 2373, IP version 6 Addressing Architecture.

ip-source-address (ip-address | ip6-address)

IP source address, qui correspond à l’adresse du nœud source qui envoie le paquet. Vous pouvez spécifier une adresse IPv4 () ou une adresse IPv6 (ip-addressip6-address). Pour IPv6, le champ ip-source-address a une longueur de 128 bits. La syntaxe de description de filtre prend en charge les représentations textuelles des adresses IPv6 décrites dans la RFC 2373, IP version 6 Addressing Architecture.

source-mac-address mac-address

Adresse MAC source.

Vous pouvez définir une adresse MAC source avec un préfixe, tel que source-mac-address 00:01:02:03:04:05/24. Si aucun préfixe n’est spécifié, la valeur par défaut 48 est utilisée.

source-port number

Champ TCP ou UDP source-port . En règle générale, vous spécifiez cette correspondance en conjonction avec la protocol condition de correspondance ou ip-protocol pour déterminer quel protocole est utilisé sur le port. Pour number, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

source-prefix-list prefix-list

Champ de liste des préfixes de source IP.

Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Vous définissez cette condition de correspondance au niveau de la [edit policy-options] hiérarchie.

tcp-established

Paquets TCP d’une connexion TCP établie. Cette condition correspond à des paquets autres que le premier paquet d’une connexion. tcp-established est un synonyme des noms de "(ack | rst)"bits .

tcp-established ne vérifie pas implicitement si le protocole est TCP. Pour ce faire, spécifiez la condition de next-header tcp correspondance.

tcp-flags (flags tcp-initial)

Un ou plusieurs indicateurs TCP :

  • nom_bit—fin, , , pushrstack, , synurgent

  • opérateurs logiques—& (ET logique), (OU logique), |! (négation)

  • valeur numérique : de 0x01 à 0x20

  • synonyme textuel—tcp-initial

Pour spécifier plusieurs indicateurs, utilisez des opérateurs logiques.

tcp-initial

Correspond au premier paquet TCP d’une connexion. tcp-initial est un synonyme des noms de "(syn&!ack)"bits .

tcp-initial ne vérifie pas implicitement si le protocole est TCP. Pour ce faire, spécifiez la protocol tcp condition or ip-protocol tcp match.

traffic-class number

Spécifie le point de code DSCP d’un paquet.

ttl value

Type de TTL à correspondre. La valeur est comprise entre 1 et 255.

vlan (vlan-name | vlan-id)

VLAN associé au paquet. Pour vlan-id, vous pouvez spécifier l’ID de VLAN ou une plage de VLAN. La vlan condition de correspondance et la condition de correspondance s’excluent dot1q-tag mutuellement.

learn-vlan-id (vlan-name | vlan-id)

VLAN associé au paquet. Pour vlan-id, vous pouvez spécifier l’ID de VLAN ou une plage de VLAN. La vlan condition de correspondance et la condition de correspondance s’excluent user-vlan-id mutuellement.

Actions pour les filtres de pare-feu

Vous pouvez définir une action que le commutateur doit effectuer si un paquet correspond aux critères de filtrage définis dans une condition de correspondance. Tableau 3 Décrit les actions prises en charge dans la configuration d’un filtre de pare-feu.

Tableau 3 : Actions pour les filtres de pare-feu

Action

Description

accept

Accepter un paquet.

discard

Rejeter un paquet en mode silencieux sans envoyer de message ICMP (Internet Control Message Protocol).

reject message-type

Supprimez un paquet et envoyez le message ICMPv4 (type 3) destination unreachable. Vous pouvez consigner les paquets rejetés si vous configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des codes de message suivants : administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Si vous spécifiez tcp-reset, une réinitialisation TCP est renvoyée si le paquet est un paquet TCP. Dans le cas contraire, rien n’est retourné.

Si vous ne spécifiez pas de type de message, la notification destination unreachable ICMP est envoyée avec le message communication administratively filteredpar défaut .

routing-instance routing-instance-name

Transférez les paquets correspondants vers une instance de routage virtuelle.

REMARQUE :

Les commutateurs EX4200 ne prennent pas en charge la redirection basée sur le filtre de pare-feu vers l’instance de routage par défaut.

vlan vlan-name

Transférez les paquets correspondants vers un VLAN spécifique. Assurez-vous de spécifier le nom ou l’ID de VLAN et non une plage de VLAN, car l’action ne prend pas en charge l’option vlanvlan-range .

REMARQUE :

Si vous avez défini un VLAN activé pour le tunneling dot1q, ce VLAN particulier n’est pas pris en charge en tant qu’action (à l’aide de l’action vlan vlan-name ) pour un filtre de pare-feu VLAN entrant.

Modificateurs d’action pour les filtres de pare-feu

Outre les actions décrites dans la section , vous pouvez définir des modificateurs d’action dans la configuration d’un filtre de pare-feu pour un commutateur si les paquets correspondent aux critères de filtrage définis dans la condition de correspondance. décrit les modificateurs d’action pris en charge dans Tableau 3la configuration d’un filtre de pare-feu. Tableau 4

Tableau 4 : Modificateurs d’action pour les filtres de pare-feu

Modificateur d’action

Description

analyzer analyzer-name

Mettez en miroir le trafic de port vers un port de destination ou un VLAN spécifié connecté à une application d’analyse de protocole. La mise en miroir copie tous les paquets détectés sur un port de commutation vers une connexion de surveillance réseau sur un autre port de commutation. Le nom de l’analyseur doit être configuré sous [edit ethernet-switching-options analyzer].

REMARQUE :

analyzer n’est pas un modificateur d’action pris en charge pour une interface de gestion.

REMARQUE :

Sur les commutateurs EX4500, vous ne pouvez configurer qu’un seul analyseur et l’inclure dans un filtre de pare-feu. Si vous configurez plusieurs analyseurs, vous ne pouvez pas inclure l’un d’entre eux dans un filtre de pare-feu.

dscp number

Remplacez la valeur DSCP des paquets correspondants par la valeur DSCP spécifiée avec ce modificateur d’action. number spécifie le point de code des services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les six bits les plus significatifs de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

Pour number, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • ef (46)—tel que défini dans la RFC 2598, An Expedited Forwarding PHB.

  • af11 (10), , , af21 (18), , af23 (22)af12 (12)af13 (14)af22 (20)

    af31 (26), , , , af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    Ces quatre classes, avec trois précédences d’abandon dans chaque classe, sont définies pour 12 points de code dans la RFC 2597, Assured Forwarding PHB Group.

count counter-name

Comptez le nombre de paquets qui passent ce filtre, ce terme ou ce mécanisme de contrôle. Un mécanisme de contrôle vous permet de spécifier des limites de débit sur le trafic entrant dans une interface sur un commutateur.

REMARQUE :

Sur les commutateurs EX4300, vous pouvez configurer le même nombre de compteurs et de mécanismes de contrôle que le nombre de termes dans la mémoire adressable de contenu ternaire (TCAM).

forwarding-class class

Classez le paquet dans l’une des classes de transfert suivantes :

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control
gbp-src-tag (EX4400 et EX4650 uniquement) Définissez la balise source de stratégie basée sur le groupe (0..65535) à utiliser avec la microsegmentation sur VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

interface interface-name

Transférez le trafic vers l’interface spécifiée en contournant la recherche de commutation.

log

Consignez les informations d’en-tête du paquet dans le moteur de routage. Pour afficher ces informations, exécutez la show firewall log commande dans l’interface de ligne de commande.

REMARQUE :

Si le modificateur ou le log modificateur d’action syslog est configuré en même temps qu’une action ou un modificateur d’action vlaninterface , les événements peuvent ne pas être consignés. Cependant, la fonctionnalité de l’interface de redirection fonctionne comme prévu.

loss-priority (high | low)

Définissez la priorité de perte de paquets (PLP).

policer policer-name

Appliquez des limites de débit au trafic.

Vous pouvez spécifier un mécanisme de contrôle dans un filtre de pare-feu uniquement pour le trafic entrant sur un port, un VLAN et un routeur.

REMARQUE :

Le compteur d’un mécanisme de contrôle n’est pas pris en charge sur les commutateurs EX8200.

REMARQUE :

Sur les commutateurs EX4300, vous pouvez configurer le même nombre de compteurs et de mécanismes de contrôle que le nombre de termes dans le TCAM.

port-mirror

Mise en miroir des paquets sur l’interface définie dans la [edit forwarding-options analyzer] hiérarchie.

port-mirror-instance instance-name

Mettez en miroir les paquets sur l’instance définie dans la [edit forwarding-options analyzer] hiérarchie.

syslog

Consignez une alerte pour ce paquet. Vous pouvez spécifier que le journal doit être envoyé à un serveur pour stockage et analyse.

REMARQUE :

Si le modificateur ou le log modificateur d’action syslog est configuré en même temps qu’une action ou un modificateur d’action vlaninterface , les événements peuvent ne pas être consignés. Cependant, la fonctionnalité de l’interface de redirection fonctionne comme prévu.

three-color-policer

Appliquez un mécanisme de contrôle tricolore.

Rubriques connexes