Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu, actions et modifiers d’action pour EX Series commutateurs

Lorsque vous définissez un filtre de pare-feu pour un commutateur EX Series, vous définissez des critères de filtrage(conditionsgénérales et de correspondance)pour les paquets et une action (et, éventuellement, un changement d’action) pour le commutateur à prendre si les paquets correspondent aux critères de filtrage. Vous pouvez définir un filtre de pare-feu pour surveiller le trafic IPv4, IPv6 ou non IP.

Ce sujet décrit en détail les diverses conditions de correspondance, actions et modifiers d’action que vous pouvez définir dans un filtre de pare-feu. Pour plus d’informations sur la prise en charge des conditions de correspondance sur divers commutateurs EX Series, consultez la plate-forme prise en charge des conditions de correspondance des filtres de pare-feu, des actions et des modifiers d’action EX Series commutateurs.

Éléments de filtre de pare-feu

Une configuration de filtre de pare-feu contient un terme, une condition de correspondance, une action et, éventuellement, un modifier l’action. Tableau 1 décrit chaque élément d’une configuration de filtre de pare-feu.

Tableau 1 : Éléments d’une configuration de filtre de pare-feu

Element Name

Description

Terme

Définit les critères de filtrage des paquets. Chaque terme du filtre de pare-feu comprend des conditions de correspondance et une action. Vous pouvez définir un ou plusieurs termes dans le filtre de pare-feu. Si vous définissez plusieurs termes, chaque terme doit avoir un nom unique.

Condition de correspondance

Se compose d’une chaîne (appelée instruction de correspondance)qui définit la condition de correspondance. Les conditions de correspondance correspondent aux valeurs ou champs qu’un paquet doit contenir. Vous pouvez définir une condition de correspondance unique ou plusieurs conditions de correspondance pour une durée. Vous pouvez également choisir de ne pas définir de condition de correspondance. Si aucune condition de correspondance n’est spécifiée pour un terme, tous les paquets sont assortis par défaut.

Action

Indique l’action du commutateur si un paquet correspond à tous les critères spécifiés dans les conditions de correspondance.

Modifier l’action

Spécifie une ou plusieurs actions prises par le commutateur si un paquet correspond aux conditions de correspondance pour ce terme spécifique.

Correspondance avec les conditions prise en charge sur les commutateurs

En fonction du type de trafic à surveiller, vous pouvez configurer un filtre de pare-feu pour surveiller le trafic IPv4, IPv6 ou non IP. Lorsque vous configurez un filtre de pare-feu pour surveiller un type particulier de trafic, assurez-vous de spécifier les conditions de correspondance qui sont prise en charge pour ce type de trafic. Pour plus d’informations sur les conditions de correspondance prises en charge pour un type spécifique de trafic et de commutateurs sur lesquels ils sont pris en charge, consultez la prise en charge de la plate-forme pour les conditions de correspondance des filtres de pare-feu, les actions et les modifiers d’action sur EX Series commutateurs.

Tableau 2 décrit toutes les conditions de correspondance qui sont prise en charge pour les filtres de pare-feu EX Series commutateurs.

Tableau 2 : Conditions de correspondance des filtres de pare-feu EX Series sur les commutateurs

Condition de correspondance

Description

destination-address ip-address

Champ d’adresse IP, qui est l’adresse du nœud de destination final.

ip-destination-address ip-address

Champ d’adresse IP, qui est l’adresse du nœud de destination final.

ip6-destination-address ip-address

Champ d’adresse IP, qui est l’adresse du nœud de destination final.

destination-mac-address mac-address

L adresse MAC de destination (MAC) du paquet.

Vous pouvez définir une adresse MAC de destination avec un préfixe, par destination-mac-address 00:01:02:03:04:05/24 exemple. Si aucun préfixe n’est spécifié, la valeur par défaut 48 est utilisée.

destination-port number

Champ de port de destination TCP ou UDP. En général, vous spécifiez cette condition de correspondance en conjonction avec la condition de correspondance ou de correspondance pour déterminer le protocole protocolip-protocol utilisé sur le port. Pour le nombre,vous pouvez spécifier l’une des synonymes de texte suivantes (les numéros de port sont également répertoriés):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

Champ de liste des préfixes de destination IP.

Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixe pour une utilisation fréquente. Vous définissez cette condition de correspondance au niveau [edit policy-options] hiérarchique.

dot1q-tag number

Champ de balises dans l’en-tête Ethernet. Les valeurs de balise sont de 1 à 4095. La dot1q-tag condition de correspondance et la condition de correspondance sont vlan mutuellement exclusives.

user-vlan-id number

Champ de balises dans l’en-tête Ethernet. Les valeurs de balise sont de 1 à 4095. La user-vlan-id condition de correspondance et la condition de correspondance sont learn-vlan-id mutuellement exclusives.

dot1q-user-priority number

Champ de priorité utilisateur du paquet Ethernet balisé. Les valeurs de priorité des utilisateurs peuvent varier de 0 à 7.

Pour le nombre,vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • background (1)—Contexte

  • best-effort (0)— Meilleur effort

  • controlled-load (4)— Charge contrôlée

  • excellent-load (3)— Excellente charge

  • network-control (7)—Contrôle du réseau trafic réservé

  • standard (2)— Standard ou de rechange

  • video (5)— Vidéo

  • voice (6)— Voix

user-vlan-1p-priority number

Champ de priorité utilisateur du paquet Ethernet balisé. Les valeurs de priorité des utilisateurs peuvent varier de 0 à 7.

Pour le nombre,vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • background (1)—Contexte

  • best-effort (0)— Meilleur effort

  • controlled-load (4)— Charge contrôlée

  • excellent-load (3)— Excellente charge

  • network-control (7)—Contrôle du réseau trafic réservé

  • standard (2)— Standard ou de rechange

  • video (5)— Vidéo

  • voice (6)— Voix

dscp number

Spécifie le point de code differentiated services (DSCP). Le protocole DiffServ utilise le type de service (ToS) dans l’en-tête IP. Les six bits les plus importants de cet investissement constituent le DSCP.

Vous pouvez spécifier DSCP dans une forme hexadécimale, binaire ou décimale.

Pour le nombre,vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • ef (46)— tel qu’indiqué dans le RFC 2598, An Expedited Forwarding PHB ( An Expedited Forwarding PHB).

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Ces quatre classes, avec trois priorités d’abandon dans chaque classe, sont définies pour 12 points de code dans le RFC 2597, groupe PHB de forwarding assuré.

ether-type value

Champ de type Ethernet de paquets. La valeur spécifie le protocole en cours de transport dans la trame Ethernet. Pour plus devaleur, vous pouvez spécifier l’une des synonymes de texte suivantes:

  • aarp—Valeur EtherType AARP (0x80F3)

  • appletalk—Valeur EtherType AppleTalk (0x809B)

  • arp—ARP de valeur EtherType (0x0806)

  • ipv4—Valeur EtherType IPv4 (0x0800)

  • ipv6—Valeur EtherType IPv6 (0x08DD)

  • mpls multicast— Multicast (MPLS valeur EtherType) (0x8848)

  • mpls unicast—Valeur de l’MPLS EtherType et unicast (0x8847)

  • oam—OAM de valeur EtherType (0x88A8)

  • ppp—Ppp de la valeur EtherType (0x880B)

  • pppoe-discovery—Phase de découverte de la valeur EtherType PPPoE (0x8863)

  • pppoe-session—Phase de session PPPoE, valeur EtherType (0x8864)

  • sna—SNA de valeur EtherType (0x80D5)

Remarque :

Les conditions de correspondance suivantes ne sont pas prise en charge lorsque la correspondance ether-type est définie ipv6 sur:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence ou ip-precedence

  • protocol ou ip-protocol

fragment-flags fragment-flags

Indicateurs de fragmentation IP, spécifiés dans les formats d’insémalité ou hexadécimaux. Vous pouvez spécifier l’une des options suivantes:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Correspondre à la balise de destination, pour une utilisation avec la micro-segmentation sur une VXLAN, telle que décrite ici: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
gbp-src-tag Correspondez à la balise source, pour une utilisation avec la micro-segmentation sur une VXLAN, telle que décrite ici: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

icmp-code number

Champ de code ICMP. Cette valeur ou cette option fournit des informations plus spécifiques que icmp-type . Parce que la signification de la valeur dépend de l’associé, icmp-type vous devez spécifier avec icmp-typeicmp-code . Pour le nombre,vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées). Les options sont groupées selon le type d’ICMP auquel elles sont associées:

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirectredirect-for-host (1)redirect-for-network (0) , redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13) , , , , , , , destination-host-prohibited (10) , , destination-host-unknown (7) , , , destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4) , host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8) , source-route-failed (5)

icmp-type number

Champ de type paquet ICMP. Vous spécifiez généralement cette condition de correspondance en conjonction avec la condition de correspondance ou de correspondance pour déterminer le protocole protocolip-protocol utilisé sur le port. Pour le nombre,vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Interface sur laquelle le paquet est reçu. Vous pouvez spécifier le caractère générique ( * ) dans un nom d’interface.

Remarque :

La interface condition de correspondance n’est pas prise en charge pour le trafic de sortie sur EX8200 Virtual Chassis.

ip-options

Présence du champ des options dans l’en-tête IP.

ip-version version match_condition(s)

Version du protocole IP pour les filtres de pare-feu VLAN et de ports. La valeur de la version peut être ipv4 ou ipv6 .

Pour match_condition,vouspouvez spécifier une ou plusieurs des conditions de correspondance suivantes:

  • destination-address, ip-destination-address ou ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence ou ip-precedence

  • protocol ou ip-protocol

  • source-address ou ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Si le paquet est un fragment de mémoire, cette condition de correspondance ne correspond pas au premier fragment d’un paquet fragmenté. Utilisez deux termes pour correspondre aux fragments du premier et du deuxième.

Remarque :

En raison d’une limitation des commutateurs EX2300, EX3400 et EX4300, cette condition de correspondance ne correspond pas au dernier fragment d’un paquet fragmenté lorsqu’elle est appliquée à la « commutation Ethernet de la famille ».

l2-encap-type llc-non-snap

Associer les paquets de couche de contrôle de liaison logique (LLC) pour le type d’encapsulation Ethernet en protocole d’accès non sous-réseau (SNAP).

next-header bytes

Champ de protocole à 8 bits qui identifie le type d’en-tête qui suit immédiatement l’en-tête IPv6. Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

Longueur du paquet reçu, en octets.

Cette longueur fait uniquement référence au paquet IP, y compris l’en-tête de paquet, et n’inclut pas de coûts d’encapsulation de couche 2.

precedence precedence

Priorité IP. Pour la priorité,vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

Priorité IP. Pour la priorité,vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

Valeur du protocole IPv4. Pour les protocoles,vous pouvez spécifier l’une des synonymes de texte suivantes:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

Valeur du protocole IPv4. Pour les protocoles,vous pouvez spécifier l’une des synonymes de texte suivantes:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

Champ d’adresse source IP, qui est l’adresse du nœud source qui envoie le paquet. Pour IPv6, le champ d’adresse source est de 128 bits. La syntaxe de description du filtre prend en charge les représentations texte des adresses IPv6 décrites dans le RFC 2373, IP Version 6 Addressing Architecture.

ip-source-address (ip-address | ip6-address)

Champ d’adresse source IP, qui est l’adresse du nœud source qui envoie le paquet. Vous pouvez spécifier une adresse IPv4 ( ip-address ) ou une adresse IPv6 ( ip6-address ). Pour IPv6, le champ d’adresse ip-source fait 128 bits. La syntaxe de description du filtre prend en charge les représentations texte des adresses IPv6 décrites dans le RFC 2373, IP Version 6 Addressing Architecture.

source-mac-address mac-address

Adresse MAC source.

Vous pouvez définir une adresse MAC source avec un préfixe, par source-mac-address 00:01:02:03:04:05/24 exemple. Si aucun préfixe n’est spécifié, la valeur par défaut 48 est utilisée.

source-port number

TCP ou source-port UDP. En général, vous spécifiez cette correspondance en conjonction avec la condition ou la condition de correspondance pour déterminer le protocole protocolip-protocol utilisé sur le port. Pour le nombre,vous pouvez spécifier l’une des synonymes de texte répertoriées ci-dessous. destination-port

source-prefix-list prefix-list

Champ de liste des préfixes source IP.

Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixe pour une utilisation fréquente. Vous définissez cette condition de correspondance au niveau [edit policy-options] hiérarchique.

tcp-established

paquets TCP d’une connexion TCP établie. Cette condition correspond aux paquets autres que le premier paquet d’une connexion. synonyme de noms tcp-established de "(ack | rst)" bits.

tcp-established ne vérifie pas implicitement si le protocole est TCP. Pour ce faire, spécifiez la next-header tcp condition de correspondance.

tcp-flags (flags tcp-initial)

Un ou plusieurs indicateurs TCP:

  • bit-name— finsyn , , , rstpushack , urgent

  • opérateurs logiques: & (LOGIQUE ET), | (OR logique), ! (ngation)

  • valeur de la valeur de l'0x01 à 0x20

  • synonyme texte:tcp-initial

Pour spécifier plusieurs indicateurs, utilisez des opérateurs logiques.

tcp-initial

Correspondance du premier paquet TCP d’une connexion. synonyme de noms tcp-initial de "(syn&!ack)" bits.

tcp-initial ne vérifie pas implicitement si le protocole est TCP. Pour ce faire, spécifiez la protocol tcp condition ou ip-protocol tcp la correspondance.

traffic-class number

Spécifie le point de code DSCP d’un paquet.

ttl value

Type TTL pour correspondre. La valeur varie de 1 à 255.

vlan (vlan-name | vlan-id)

Le VLAN associé au paquet. Pour vlan-id,vous pouvez spécifier l’ID VLAN ou une plage VLAN. La vlan condition de correspondance et la condition de correspondance sont dot1q-tag mutuellement exclusives.

learn-vlan-id (vlan-name | vlan-id)

Le VLAN associé au paquet. Pour vlan-id,vous pouvez spécifier l’ID VLAN ou une plage VLAN. La vlan condition de correspondance et la condition de correspondance sont user-vlan-id mutuellement exclusives.

Actions pour les filtres de pare-feu

Vous pouvez définir une action à prendre par le commutateur si un paquet correspond aux critères de filtrage définis dans une condition de correspondance. Tableau 3 décrit les actions prises en charge dans une configuration de filtre de pare-feu.

Tableau 3 : Actions pour les filtres de pare-feu

Action

Description

accept

Acceptez un paquet.

discard

Discard a packet silently without sending an Internet Control Message Protocol (ICMP).

reject message-type

Discard a packet, and send the ICMPv4 message (type destination unreachable 3). Vous pouvez enregistrer les paquets rejetés si vous configurez le syslog modifier l’action.

Vous pouvez spécifier l’un des codes de message suivants: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Si vous tcp-reset spécifiez, une réinitialisation TCP est renvoyée si le paquet est un paquet TCP. Sinon, rien n’est renvoyé.

Si vous ne spécifiez pas le type de message, la notification ICMP destination unreachable est envoyée avec le message par communication administratively filtered défaut.

routing-instance routing-instance-name

Routez des paquets assortis vers une instance de routage virtuelle.

Remarque :

EX4200 ne peuvent pas prendre en charge la redirection basée sur des filtres de pare-feu vers l’instance de routage par défaut.

vlan vlan-name

Forwarder les paquets assortis vers un VLAN spécifique. Assurez-vous de spécifier le nom du VLAN ou l’ID VLAN et non une plage de VLAN, car l’action ne prend pas en charge l’option de plage vlanvlan.

Remarque :

Si vous avez défini un VLAN activé pour la tunnelisation dot1q, alors ce VLAN particulier n’est pas pris en charge en tant qu’action (en utilisant l’action) pour un filtre de pare-feu vlan vlan-name VLAN d’entrée.

Modifier les mesures pour les filtres de pare-feu

Outre les actions décrites dans , vous pouvez définir des changements d’action dans une configuration de filtre de pare-feu pour un commutateur si les paquets correspondent aux critères de filtrage définis dans la condition de correspondance. décrit les modifiers d’action pris en charge dans une configuration de filtre de pare-feu. Tableau 3Tableau 4

Tableau 4 : Modifier les mesures pour les filtres de pare-feu

Modifier l’action

Description

analyzer analyzer-name

Miroir du trafic de port vers un port de destination ou un VLAN connecté à une application d’analyse de protocole. La mise en miroir de tous les paquets vus sur un port de commutation vers une connexion de surveillance du réseau sur un autre port de commutation. Le nom de l’analyseur doit être configuré dans [edit ethernet-switching-options analyzer] .

Remarque :

analyzer n’est pas un modifier d’action pris en charge pour une interface de gestion.

Remarque :

Sur EX4500 commutateurs, vous pouvez configurer un seul analyseur et l’inclure dans un filtre de pare-feu. Si vous configurez plusieurs analyseurs, vous ne pouvez pas inclure l’un de ces analyseurs dans un filtre de pare-feu.

dscp number

Modifiez la valeur DSCP des paquets assortis sur la valeur DSCP spécifiée avec cette modification d’action. spécifie le point de code differentiated services (DSCP). Le protocole DiffServ utilise le type de service (ToS) dans l’en-tête IP. Les six bits les plus importants de cet investissement constituent le DSCP.

Vous pouvez spécifier DSCP dans une forme hexadécimale, binaire ou décimale.

Pour le nombre,vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • ef (46)— tel qu’indiqué dans le RFC 2598, An Expedited Forwarding PHB ( An Expedited Forwarding PHB).

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Ces quatre classes, avec trois priorités d’abandon dans chaque classe, sont définies pour 12 points de code dans le RFC 2597, groupe PHB de forwarding assuré.

count counter-name

Comptez le nombre de paquets qui passent ce filtre, terme ou policer. Un policer vous permet de spécifier des limites de vitesse sur le trafic entrant dans une interface d’un commutateur.

Remarque :

Sur EX4300, vous pouvez configurer le même nombre de compteurs et de policers que le nombre de termes dans la mémoire TCAM (ternary content addressable memory).

forwarding-class class

Classez le paquet dans l’une des classes de forwarding suivantes:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (EX4400 uniquement) Définissez la balise source de stratégie basée sur le groupe (0.65535) pour une utilisation avec la micro-segmentation sur VXLAN, comme décrit ici: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

interface interface-name

Transfert du trafic vers l’interface spécifiée qui contourne la recherche de commutation.

log

Connectez les informations d’en-tête du paquet dans l’moteur de routage. Pour afficher ces informations, émettre show firewall log la commande dans l’CLI.

Remarque :

Si l’action modifier l’action est configurée en même temps qu’une action ou un logsyslog modifier l’action, les événements peuvent ne vlan pas être interface enregistrés. Toutefois, la fonctionnalité d’interface de redirection fonctionne comme prévu.

loss-priority (high | low)

Définissez la priorité de perte de paquets (PLP).

policer policer-name

Appliquez des limites de vitesse au trafic.

Vous pouvez spécifier un policer dans un filtre de pare-feu uniquement pour le trafic d’entrée sur un port, un VLAN et un routeur.

Remarque :

Un compteur pour un policer n’est pas pris en charge EX8200 commutateurs.

Remarque :

Sur EX4300, vous pouvez configurer le même nombre de compteurs et de policers que le nombre de termes dans la TCAM.

port-mirror

Mettre en miroir les paquets sur l’interface définie dans [edit forwarding-options analyzer] la hiérarchie.

port-mirror-instance instance-name

Mettre en miroir les paquets à l’instance définie dans [edit forwarding-options analyzer] la hiérarchie.

syslog

Connectez une alerte pour ce paquet. Vous pouvez spécifier que le journal doit être envoyé à un serveur à des raisons de stockage et d’analyse.

Remarque :

Si l’action modifier l’action est configurée en même temps qu’une action ou un logsyslog modifier l’action, les événements peuvent ne vlan pas être interface enregistrés. Toutefois, la fonctionnalité d’interface de redirection fonctionne comme prévu.

three-color-policer

Appliquez un policer en trois couleurs.