Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtre de pare-feu : conditions de correspondance, actions et modification des actions pour les commutateurs EX Series

Lorsque vous définissez un filtre de pare-feu pour un commutateur EX Series, vous définissez des critères de filtrage (termes, avec conditions de correspondance) pour les paquets et une action (et, éventuellement, un modifier d’action) pour le commutateur si les paquets correspondent aux critères de filtrage. Vous pouvez définir un filtre de pare-feu pour surveiller le trafic IPv4, IPv6 ou non IP.

Cette rubrique décrit en détail les différentes conditions de correspondance, les actions et les modificateurs d’actions que vous pouvez définir dans un filtre de pare-feu. Pour plus d’informations sur la prise en charge des conditions de correspondance sur divers commutateurs EX Series, reportez-vous à la prise en charge de la plate-forme pour les conditions de correspondance des filtres de pare-feu, les actions et les modificateurs d’action sur les commutateurs EX Series.

Éléments de filtre de pare-feu

La configuration d’un filtre de pare-feu contient un terme, une condition de correspondance, une action et, éventuellement, un modificateur d’action. Tableau 1 décrit chaque élément d’une configuration de filtre de pare-feu.

Tableau 1 : Éléments d’une configuration de filtre de pare-feu

Element Name

Description

Terme

Définit les critères de filtrage des paquets. Chaque terme du filtre de pare-feu se compose de conditions de correspondance et d’une action. Vous pouvez définir un ou plusieurs termes dans le filtre de pare-feu. Si vous définissez plusieurs termes, chaque terme doit avoir un nom unique.

Condition de correspondance

Consiste en une chaîne (appelée déclaration de correspondance) qui définit la condition de correspondance. Les conditions de correspondance sont les valeurs ou les champs qu’un paquet doit contenir. Vous pouvez définir une seule condition de correspondance ou plusieurs conditions de correspondance pour un terme. Vous pouvez également choisir de ne pas définir de condition de correspondance. Si aucune condition de correspondance n’est spécifiée pour un terme, tous les paquets sont assortis par défaut.

Action

Spécifie l’action prise par le commutateur si un paquet correspond à tous les critères spécifiés dans les conditions de correspondance.

Modifier l’action

Spécifie une ou plusieurs actions prises par le commutateur si un paquet correspond aux conditions de correspondance pour le terme spécifique.

Conditions de correspondance prises en charge sur les commutateurs

En fonction du type de trafic que vous souhaitez surveiller, vous pouvez configurer un filtre de pare-feu pour surveiller le trafic IPv4, IPv6 ou non IP. Lorsque vous configurez un filtre de pare-feu pour surveiller un type de trafic particulier, assurez-vous de spécifier les conditions de correspondance prises en charge pour ce type de trafic. Pour plus d’informations sur les conditions de correspondance prises en charge pour un type spécifique de trafic et de commutateurs sur lesquels ils sont pris en charge, consultez La prise en charge de la plate-forme pour les conditions de correspondance des filtres de pare-feu, les actions et les modificateurs d’action sur les commutateurs EX Series.

Tableau 2 décrit toutes les conditions de correspondance prises en charge pour les filtres de pare-feu des commutateurs EX Series.

Tableau 2 : Conditions de correspondance des filtres de pare-feu prises en charge sur les commutateurs EX Series

Condition de correspondance

Description

destination-address ip-address

Champ d’adresse IP de destination, qui est l’adresse du nœud de destination final.

ip-destination-address ip-address

Champ d’adresse IP de destination, qui est l’adresse du nœud de destination final.

ip6-destination-address ip-address

Champ d’adresse IP de destination, qui est l’adresse du nœud de destination final.

destination-mac-address mac-address

Adresse MAC (Destination Media Access Control) du paquet.

Vous pouvez définir une adresse MAC de destination avec un préfixe, tel que destination-mac-address 00:01:02:03:04:05/24. Si aucun préfixe n’est spécifié, la valeur par défaut 48 est utilisée.

destination-port number

Champ de port de destination TCP ou UDP. En règle générale, vous spécifiez cette condition de correspondance conjointement avec la condition ou ip-protocol la protocol condition de correspondance pour déterminer le protocole utilisé sur le port. Pour numéro, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) :

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

Champ liste de préfixes de destination IP.

Vous pouvez définir une liste de préfixes d’adresse IP sous un alias de liste de préfixes pour une utilisation fréquente. Vous définissez cette condition de correspondance au niveau de la [edit policy-options] hiérarchie.

dot1q-tag number

Champ de balise dans l’en-tête Ethernet. Les valeurs des balises vont de 1 à 4 095. La dot1q-tag condition de correspondance et la condition de vlan correspondance sont mutuellement exclusives.

user-vlan-id number

Champ de balise dans l’en-tête Ethernet. Les valeurs des balises vont de 1 à 4 095. La user-vlan-id condition de correspondance et la condition de learn-vlan-id correspondance sont mutuellement exclusives.

dot1q-user-priority number

Champ « priorité utilisateur » du paquet Ethernet balisé. Les valeurs de priorité utilisateur peuvent varier de 0 à 7.

Pour numéro, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

  • background (1)— Arrière-plan

  • best-effort (0)— Effort sans effort

  • controlled-load (4)— Charge contrôlée

  • excellent-load (3)— Charge de travail excellente

  • network-control (7)— Contrôle du réseau réservé au trafic

  • standard (2)— standard ou de rechange

  • video (5)— Vidéo

  • voice (6)— Voix

user-vlan-1p-priority number

Champ « priorité utilisateur » du paquet Ethernet balisé. Les valeurs de priorité utilisateur peuvent varier de 0 à 7.

Pour numéro, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

  • background (1)— Arrière-plan

  • best-effort (0)— Effort sans effort

  • controlled-load (4)— Charge contrôlée

  • excellent-load (3)— Charge de travail excellente

  • network-control (7)— Contrôle du réseau réservé au trafic

  • standard (2)— standard ou de rechange

  • video (5)— Vidéo

  • voice (6)— Voix

dscp number

Spécifie le point de code de services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les six bits les plus importants de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

Pour numéro, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

  • ef (46)— telle que définie dans la norme RFC 2598, un PHB de transfert accéléré.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Ces quatre classes, avec trois préséances d’abandon dans chaque classe, sont définies pour 12 points de code dans le groupe PHB RFC 2597, Transfert assuré.

ether-type value

Champ de type Ethernet d’un paquet. La valeur spécifie le protocole transporté dans la trame Ethernet. Pour valeur, vous pouvez spécifier l’un des synonymes de texte suivants :

  • aarp—Valeur AARP de l’etherType (0x80F3)

  • appletalk— Valeur EtherType d’AppleTalk (0x809B)

  • arp— ARP de valeur EtherType (0x0806)

  • ipv4—Valeur IPv4 de l’EtherType (0x0800)

  • ipv6— Valeur IPv6 de l’EtherType (0x08DD)

  • mpls multicast— Multicast MPLS de valeur EtherType (0x8848)

  • mpls unicast— Unicast MPLS de valeur EtherType (0x8847)

  • oam— OAM de valeur etherType (0x88A8)

  • ppp— Ppp de valeur EtherType (0x880B)

  • pppoe-discovery—Valeur EtherType Étape de découverte PPPoE (0x8863)

  • pppoe-session—Valeur EtherType Étape de session PPPoE (0x8864)

  • sna— SNA de valeur EtherType (0x80D5)

Remarque :

Les conditions de correspondance suivantes ne sont pas prises en charge lorsqu’elles ether-type sont définies sur ipv6:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

fragment-flags fragment-flags

Flags de fragmentation IP, spécifiés dans des formats symboliques ou hexadécimaux. Vous pouvez spécifier l’une des options suivantes :

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbits/s Correspondez à la balise de destination, pour une utilisation avec la micro-segmentation sur un VXLAN, comme décrit ici : Exemple : Segmentation de micro et macro à l’aide d’une stratégie basée sur les groupes dans un VXLAN
gbits/src-tag Associez la balise source à la micro-segmentation d’un VXLAN, comme décrit ici : Exemple : Segmentation de micro et macro à l’aide d’une stratégie basée sur les groupes dans un VXLAN

icmp-code number

Champ code ICMP. Cette valeur ou cette option fournit des informations plus spécifiques que icmp-type. Comme la signification de la valeur dépend de l’associé icmp-type, vous devez préciser icmp-type avec icmp-code. Pour numéro, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées). Les options sont groupées par type ICMP auquel elles sont associées :

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirectredirect-for-host (1), , redirect-for-network (0), redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13), , destination-host-prohibited (10), destination-network-prohibited (9)destination-host-unknown (7), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

Champ de type de paquet ICMP. En règle générale, vous spécifiez cette condition de correspondance conjointement avec la condition ou ip-protocol la protocol condition de correspondance pour déterminer le protocole utilisé sur le port. Pour numéro, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Interface sur laquelle le paquet est reçu. Vous pouvez spécifier le caractère générique (*) dans un nom d’interface.

Remarque :

La interface condition de correspondance n’est pas prise en charge pour le trafic sortant sur un châssis virtuel EX8200.

ip-options

Présence du champ options dans l’en-tête IP.

ip-version version match_condition(s)

Version du protocole IP pour les filtres de port et de pare-feu VLAN. La valeur de la version peut être ipv4 ou ipv6.

Pour match_condition,vous pouvez spécifier une ou plusieurs des conditions de correspondance suivantes :

  • destination-address, ip-destination-addressou ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

  • source-address Ou ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Si le paquet est un fragment de traînée, cette condition de correspondance ne correspond pas au premier fragment d’un paquet fragmenté. Utilisez deux termes pour correspondre à la première et aux fragments de suivi.

Remarque :

En raison de la limitation des commutateurs EX2300, EX3400 et EX4300, cette condition de correspondance ne correspond pas au dernier fragment d’un paquet fragmenté lorsqu’elle est appliquée à la « commutation Ethernet familiale ».

l2-encap-type llc-non-snap

Correspondez aux paquets de couche de contrôle de liaison logique (LLC) pour le type d’encapsulation Ethernet SNAP (Non-Subnet Access Protocol).

next-header bytes

Champ de protocole 8 bits qui identifie le type d’en-tête immédiatement après l’en-tête IPv6. En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

Longueur du paquet reçu, en octets.

La longueur se réfère uniquement au paquet IP, y compris l’en-tête du paquet, et n’inclut aucun frais d’encapsulation de couche 2.

precedence precedence

Priorité IP. Pour préséance, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

Priorité IP. Pour préséance, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

Valeur du protocole IPv4. Pour les protocoles, vous pouvez spécifier l’un des synonymes de texte suivants :

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

Valeur du protocole IPv4. Pour les protocoles, vous pouvez spécifier l’un des synonymes de texte suivants :

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

Champ d’adresse source IP, c’est-à-dire l’adresse du nœud source qui envoie le paquet. Pour IPv6, le champ d’adresse source est de 128 bits. La syntaxe de description des filtres prend en charge les représentations de texte pour les adresses IPv6 décrites dans RFC 2373, Architecture d’adressage IP version 6.

ip-source-address (ip-address | ip6-address)

Champ d’adresse source IP, c’est-à-dire l’adresse du nœud source qui envoie le paquet. Vous pouvez spécifier une adresse IPv4 (ip-address) ou une adresse IPv6 (ip6-address). Pour IPv6, le champ d’adresse source-ip est de 128 bits. La syntaxe de description des filtres prend en charge les représentations de texte pour les adresses IPv6 décrites dans RFC 2373, Architecture d’adressage IP version 6.

source-mac-address mac-address

Adresse MAC source.

Vous pouvez définir une adresse MAC source avec un préfixe, tel que source-mac-address 00:01:02:03:04:05/24. Si aucun préfixe n’est spécifié, la valeur par défaut 48 est utilisée.

source-port number

Champ TCP ou UDP source-port . En règle générale, vous spécifiez cette correspondance conjointement avec la condition ou ip-protocol la protocol condition de correspondance pour déterminer le protocole utilisé sur le port. Pour numéro, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

source-prefix-list prefix-list

Champ liste de préfixes source IP.

Vous pouvez définir une liste de préfixes d’adresse IP sous un alias de liste de préfixes pour une utilisation fréquente. Vous définissez cette condition de correspondance au niveau de la [edit policy-options] hiérarchie.

tcp-established

Paquets TCP d’une connexion TCP établie. Cette condition correspond à des paquets autres que le premier paquet d’une connexion. tcp-established est synonyme des noms "(ack | rst)"de bit .

tcp-established ne vérifie pas implicitement si le protocole est TCP. Pour ce faire, spécifiez la condition de next-header tcp correspondance.

tcp-flags (flags tcp-initial)

Un ou plusieurs indicateurs TCP :

  • bit-name :fin , , rstsyn, pushackurgent

  • opérateurs logiques :& (logique ET), | (LOGIQUE OR), ! (négation)

  • valeur numérique: 0x01 à 0x20

  • synonyme de texte :tcp-initial

Pour spécifier plusieurs indicateurs, utilisez des opérateurs logiques.

tcp-initial

Correspond au premier paquet TCP d’une connexion. tcp-initial est synonyme des noms "(syn&!ack)"de bit .

tcp-initial ne vérifie pas implicitement si le protocole est TCP. Pour ce faire, spécifiez la protocol tcp condition ou ip-protocol tcp la correspondance.

traffic-class number

Spécifie le point de code DSCP pour un paquet.

ttl value

Type TTL correspondant. La valeur varie de 1 à 255.

vlan (vlan-name | vlan-id)

VLAN associé au paquet. Pour vlan-id, vous pouvez spécifier l’ID VLAN ou une plage de VLAN. La vlan condition de correspondance et la condition de dot1q-tag correspondance sont mutuellement exclusives.

learn-vlan-id (vlan-name | vlan-id)

VLAN associé au paquet. Pour vlan-id, vous pouvez spécifier l’ID VLAN ou une plage de VLAN. La vlan condition de correspondance et la condition de user-vlan-id correspondance sont mutuellement exclusives.

Actions pour les filtres de pare-feu

Vous pouvez définir une action à entreprendre pour le commutateur si un paquet correspond aux critères de filtrage définis dans une condition de correspondance. Tableau 3 décrit les actions prises en charge dans une configuration de filtre de pare-feu.

Tableau 3 : Actions pour les filtres de pare-feu

Action

Description

accept

Acceptez un paquet.

discard

Rejetez un paquet silencieusement sans envoyer de message ICMP (Internet Control Message Protocol).

reject message-type

Rejetez un paquet et envoyez le message ICMPv4 (type 3). destination unreachable Vous pouvez consigner les paquets rejetés si vous configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des codes de message suivants : administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Si vous spécifiez tcp-reset, une réinitialisation TCP est renvoyée si le paquet est un paquet TCP. Sinon, rien n’est retourné.

Si vous ne spécifiez pas de type de message, la notification destination unreachable ICMP est envoyée avec le message communication administratively filteredpar défaut .

routing-instance routing-instance-name

Transfèrez les paquets correspondant à une instance de routage virtuelle.

Remarque :

Les commutateurs EX4200 ne prennent pas en charge la redirection basée sur des filtres de pare-feu vers l’instance de routage par défaut.

vlan vlan-name

Transfèrez les paquets correspondant à un VLAN spécifique. Assurez-vous de spécifier le nom du VLAN ou l’ID VLAN et non une plage de VLAN, car l’action vlan ne prend pas en charge l’option plage de vlan .

Remarque :

Si vous avez défini un VLAN activé pour la tunnelisation dot1q, ce VLAN particulier n’est pas pris en charge en tant qu’action (à l’aide de l’action vlan vlan-name ) pour un filtre de pare-feu VLAN entrant.

Modification des actions pour les filtres de pare-feu

Outre les actions décrites dans le document Tableau 3, vous pouvez définir des modificateurs d’action dans une configuration de filtre de pare-feu pour un commutateur si les paquets correspondent aux critères de filtrage définis dans la condition de correspondance. Tableau 4 Décrit les modificateurs d’action pris en charge dans une configuration de filtre de pare-feu.

Tableau 4 : Modification des actions pour les filtres de pare-feu

Modifier l’action

Description

analyzer analyzer-name

Trafic de port en miroir vers un port de destination ou un VLAN spécifié connecté à une application d’analyse de protocole. La mise en miroir copie tous les paquets vus sur un port de commutateur à une connexion de surveillance réseau sur un autre port de commutateur. Le nom de l’analyseur doit être configuré sous [edit ethernet-switching-options analyzer].

Remarque :

analyzer n’est pas un modificateur d’action pris en charge pour une interface de gestion.

Remarque :

Sur les commutateurs EX4500, vous ne pouvez configurer qu’un seul outil d’analyse et l’inclure dans un filtre de pare-feu. Si vous configurez plusieurs analyseurs, vous ne pouvez pas inclure l’un de ces analyseurs dans un filtre de pare-feu.

dscp number

Modifiez la valeur DSCP pour les paquets correspondant à la valeur DSCP spécifiée avec ce modificateur d’action. numéro spécifie le point de code de services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les six bits les plus importants de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

Pour numéro, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

  • ef (46)— telle que définie dans la norme RFC 2598, un PHB de transfert accéléré.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Ces quatre classes, avec trois préséances d’abandon dans chaque classe, sont définies pour 12 points de code dans le groupe PHB RFC 2597, Transfert assuré.

count counter-name

Comptez le nombre de paquets qui passent ce filtre, ce terme ou ce mécanismes de contrôle. Un mécanismes de contrôle vous permet de spécifier des limites de débit pour le trafic entrant dans une interface d’un commutateur.

Remarque :

Sur les commutateurs EX4300, vous pouvez configurer le même nombre de compteurs et de mécanismes de contrôle que le nombre de termes dans la mémoire Adressage de contenu externe (TCAM).

forwarding-class class

Classez le paquet dans l’une des classes de transfert suivantes :

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbits/src-tag (EX4400 et EX4650 uniquement) Définissez la balise source de stratégie de groupe (0..65535) à utiliser avec la micro-segmentation sur VXLAN, comme décrit ici : Exemple : Segmentation de micro et macro à l’aide d’une stratégie basée sur les groupes dans un VXLAN

interface interface-name

Transfèrez le trafic vers l’interface spécifiée pour contourner la recherche de commutation.

log

Consigner les informations d’en-tête du paquet dans le moteur de routage. Pour afficher ces informations, émettez la show firewall log commande dans l’interface de ligne de commande.

Remarque :

Si le log modificateur d’action ou le syslog modificateur d’action est configuré avec une vlan action ou un modificateur d’action interface , les événements peuvent ne pas être enregistrés. Cependant, la fonctionnalité d’interface de redirection fonctionne comme prévu.

loss-priority (high | low)

Définissez la priorité de perte de paquets (PLP).

policer policer-name

Appliquez des limites de débit au trafic.

Vous pouvez spécifier un mécanismes de contrôle dans un filtre de pare-feu uniquement pour le trafic entrant sur un port, un VLAN et un routeur.

Remarque :

Un compteur pour un mécanismes de contrôle n’est pas pris en charge sur les commutateurs EX8200.

Remarque :

Sur les commutateurs EX4300, vous pouvez configurer le même nombre de compteurs et de mécanismes de contrôle que le nombre de termes dans la TCAM.

port-mirror

Mettre en miroir les paquets vers l’interface définie dans la [edit forwarding-options analyzer] hiérarchie.

port-mirror-instance instance-name

Mettre en miroir les paquets vers l’instance définie dans la [edit forwarding-options analyzer] hiérarchie.

syslog

Enregistrez une alerte pour ce paquet. Vous pouvez spécifier que le journal doit être envoyé à un serveur pour stockage et analyse.

Remarque :

Si le log modificateur d’action ou le syslog modificateur d’action est configuré avec une vlan action ou un modificateur d’action interface , les événements peuvent ne pas être enregistrés. Cependant, la fonctionnalité d’interface de redirection fonctionne comme prévu.

three-color-policer

Appliquez un mécanismes de contrôle à trois couleurs.