Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 시리즈 스위치의 방화벽 필터 매치 조건, 동작 및 동작 수정

EX 시리즈 스위치에 대한 방화벽 필터를 정의할 때, 패킷에 대한 필터링 기준(terms, 와 함께 match conditions)을 정의하고 action 패킷이 필터링 기준과 일치할 경우 스위치가 취할 필터링 기준(및 선택적으로 ) action modifier을 정의합니다. 방화벽 필터를 정의하여 IPv4, IPv6 또는 비 IP 트래픽을 모니터링할 수 있습니다.

이 주제에서는 방화벽 필터에서 정의할 수 있는 다양한 일치 조건, 작업 및 작업 수정자에 대해 자세히 설명합니다. 다양한 EX 시리즈 스위치의 일치 조건 지원에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자에 대한 플랫폼 지원을 참조하십시오.

방화벽 필터 엘리먼트

방화벽 필터 구성에는 용어, 일치 조건, 작업 및 작업 수정자(선택 사항)가 포함됩니다. 표 1 은(는) 방화벽 필터 구성의 각 요소를 설명합니다.

표 1: 방화벽 필터 구성의 요소

요소 이름

설명

용어

패킷에 대한 필터링 기준을 정의합니다. 방화벽 필터의 각 용어는 일치 조건과 작업으로 구성됩니다. 방화벽 필터에서 단일 용어 또는 여러 용어를 정의할 수 있습니다. 여러 용어를 정의하는 경우 각 용어에는 고유한 이름이 있어야 합니다.

일치 조건

일치 조건을 정의하는 문자열( 라고 함 match statement)로 구성됩니다. 일치 조건은 패킷에 포함되어야 하는 값 또는 필드입니다. 용어에 대해 단일 일치 조건 또는 여러 일치 조건을 정의할 수 있습니다. 일치 조건을 정의하지 않도록 선택할 수도 있습니다. 용어에 대해 일치 조건이 지정되지 않은 경우, 기본적으로 모든 패킷이 일치합니다.

작업

패킷이 일치 조건에 지정된 모든 기준과 일치할 경우 스위치가 수행하는 작업을 지정합니다.

작업 수정자

패킷이 특정 용어의 일치 조건과 일치하는 경우 스위치가 수행하는 하나 이상의 작업을 지정합니다.

스위치에서 지원되는 일치 조건

모니터링하려는 트래픽 유형에 따라 IPv4, IPv6 또는 비 IP 트래픽을 모니터링하도록 방화벽 필터를 구성할 수 있습니다. 특정 유형의 트래픽을 모니터링하도록 방화벽 필터를 구성할 때는 해당 유형의 트래픽에 대해 지원되는 일치 조건을 지정해야 합니다. 특정 유형의 트래픽에 대해 지원되는 일치 조건 및 지원되는 스위치에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자에 대한 플랫폼 지원을 참조하십시오.

표 2 은(는) EX 시리즈 스위치의 방화벽 필터에 대해 지원되는 모든 일치 조건을 설명합니다.

표 2: EX 시리즈 스위치에서 지원되는 방화벽 필터 일치 조건

일치 조건

설명

destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

ip-destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

ip6-destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

destination-mac-address mac-address

패킷의 대상 미디어 액세스 제어(MAC) 주소입니다.

와 같은 destination-mac-address 00:01:02:03:04:05/24접두사를 사용하여 대상 MAC 주소를 정의할 수 있습니다. 접두사를 지정하지 않으면 기본값 48이 사용됩니다.

destination-port number

TCP 또는 UDP 대상 필드. 일반적으로 이 일치 조건을 또는 ip-protocol 일치 조건과 함께 protocol 지정하여 포트에서 어떤 프로토콜이 사용되는지 결정합니다. 의 경우 number, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있음).

afs (1483), bgp (179), biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

IP 대상 접두사 목록 필드입니다.

자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 [edit policy-options] 정의합니다.

dot1q-tag number

이더넷 헤더의 태그 필드. 태그 값의 범위는 1에서 4095 사이입니다. dot1q-tag 일치 조건과 vlan 일치 조건은 상호 배타적입니다.

user-vlan-id number

이더넷 헤더의 태그 필드. 태그 값의 범위는 1에서 4095 사이입니다. user-vlan-id 일치 조건과 learn-vlan-id 일치 조건은 상호 배타적입니다.

dot1q-user-priority number

태그가 지정된 이더넷 패킷의 사용자 우선 순위 필드입니다. 사용자 우선 순위 값의 범위는 0에서 7까지입니다.

의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • background (1)- 배경

  • best-effort (0)—최선의 노력

  • controlled-load (4)- 제어된 하중

  • excellent-load (3)- 우수한 하중

  • network-control (7)- 네트워크 제어 예약된 트래픽

  • standard (2)- 표준 또는 예비 부품

  • video (5)—비디오

  • voice (6)—목소리

user-vlan-1p-priority number

태그가 지정된 이더넷 패킷의 사용자 우선 순위 필드입니다. 사용자 우선 순위 값의 범위는 0에서 7까지입니다.

의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • background (1)- 배경

  • best-effort (0)—최선의 노력

  • controlled-load (4)- 제어된 하중

  • excellent-load (3)- 우수한 하중

  • network-control (7)- 네트워크 제어 예약된 트래픽

  • standard (2)- 표준 또는 예비 부품

  • video (5)—비디오

  • voice (6)—목소리

dscp number

DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • ef (46)- RFC 2598, 신속한 포워딩 PHB에 정의되어 있습니다.

  • af11 (10), af12 (12), , af21 (18)af13 (14), af22 (20), , af23 (22)

    af31 (26), af32 (28), , af33 (30), af41 (34), af42 (36)af43 (38)

    각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB Group의 12개 코드 포인트에 대해 정의됩니다.

ether-type value

패킷의 이더넷 유형 필드입니다. 이 값은 이더넷 프레임에서 전송되는 프로토콜을 지정합니다. 의 경우 value다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

  • aarp- EtherType 값 AARP(0x80F3)

  • appletalk—EtherType 값 AppleTalk(0x809B)

  • arp- EtherType 값 ARP(0x0806)

  • ipv4—EtherType 값 IPv4(0x0800)

  • ipv6- EtherType 값 IPv6(0x08DD)

  • mpls multicast- EtherType 값 MPLS 멀티캐스트(0x8848)

  • mpls unicast—EtherType 값 MPLS 유니캐스트(0x8847)

  • oam- EtherType 값 OAM(0x88A8)

  • ppp—EtherType 값 PPP(0x880B)

  • pppoe-discovery—EtherType 값 PPPoE 0x8863(Discovery Stage)

  • pppoe-session—EtherType 값 PPPoE 세션 스테이지(0x8864)

  • sna- EtherType 값 SNA(0x80D5)

주:

다음 일치 조건은 이(가) 로 설정된 경우 ether-type 지원되지 않습니다.ipv6

  • dscp

  • fragment-flags

  • is-fragment

  • precedence 또는 ip-precedence

  • protocol 또는 ip-protocol

fragment-flags fragment-flags

IP 단편화 플래그로, 기호 형식 또는 16진수 형식으로 지정됩니다. 다음 옵션 중 하나를 지정할 수 있습니다.

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

GBP-DST 태그 여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션과 함께 사용하려면 대상 태그를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션
gbp-src-태그 여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션과 함께 사용하려면 소스 태그를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

icmp-code number

ICMP 코드 필드입니다. 이 값 또는 옵션은 보다 icmp-type더 구체적인 정보를 제공합니다. 값의 의미는 연결된 icmp-type에 따라 달라지므로 와 icmp-code함께 지정해야 icmp-type 합니다. 의 경우 number, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 옵션은 연결된 ICMP 유형별로 그룹화됩니다.

  • parameter-problemip-header-bad (0), required-option-missing (1)

  • redirectredirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP 패킷 유형 필드입니다. 일반적으로 이 일치 조건을 또는 ip-protocol 일치 조건과 함께 protocol 지정하여 포트에서 사용 중인 프로토콜을 결정합니다. 의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

echo-reply (0), echo-request (8), info-reply (16), , info-request (15)mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), , source-quench (4) time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

패킷이 수신되는 인터페이스입니다. 와일드카드 문자(*)를 인터페이스 이름의 일부로 지정할 수 있습니다.

주:

EX8200 Virtual Chassis의 interface 송신 트래픽에는 일치 조건이 지원되지 않습니다.

ip-options

IP 헤더에 옵션 필드가 있는지 확인합니다.

ip-version version match_condition(s)

포트 및 VLAN 방화벽 필터에 대한 IP 프로토콜의 버전입니다. 에 대한 version 값은 또는 ipv6일 수 있습니다ipv4.

의 경우 match_condition(s), 다음 일치 조건 중 하나 이상을 지정할 수 있습니다.

  • destination-address, ip-destination-address또는 ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence 또는 ip-precedence

  • protocol 또는 ip-protocol

  • source-address 또는 ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

패킷이 후행 조각인 경우 이 일치 조건은 조각화된 패킷의 첫 번째 조각과 일치하지 않습니다. 두 용어를 사용하여 첫 번째 부분과 마지막 부분을 일치시킵니다.

주:

EX2300, EX3400 및 EX4300 스위치의 제한으로 인해 이 일치 조건은 "제품군 이더넷 스위칭"에 적용될 때 단편화된 패킷의 마지막 부분과 일치하지 않습니다.

l2-encap-type llc-non-snap

비서브넷 액세스 프로토콜(SNAP) 이더넷 캡슐화 유형에 대한 LLC(논리적 링크 제어) 계층 패킷에서 일치합니다.

next-header bytes

IPv6 헤더 바로 뒤에 오는 헤더 유형을 식별하는 8비트 프로토콜 필드입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

ah (51), dstops (60), egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

수신된 패킷의 길이(바이트)입니다.

길이는 패킷 헤더를 포함한 IP 패킷만 참조하며, 레이어 2 캡슐화 오버헤드는 포함하지 않습니다.

precedence precedence

IP 우선 순위. 의 경우 precedence다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

critical-ecp (5), , flash (3), immediate (2)flash-override (4), internet-control (6), net-control (7), , priority (1)routine (0)

ip-precedence precedence

IP 우선 순위. 의 경우 precedence다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

critical-ecp (5), , flash (3), immediate (2)flash-override (4), internet-control (6), net-control (7), , priority (1)routine (0)

protocol list of protocol

IPv4 프로토콜 값. 의 경우 protocols다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

egp (8), esp (50), , icmp (1)gre (47), igmp (2), , ipip (4) ospf (89), pim (103), rsvp (46), , tcp (6)udp (17)

ip-protocol list of protocol

IPv4 프로토콜 값. 의 경우 protocols다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

egp (8), esp (50), , icmp (1)gre (47), igmp (2), , ipip (4) ospf (89), pim (103), rsvp (46), , tcp (6)udp (17)

source-address ip-address

IP 소스 주소 필드로, 패킷을 전송하는 소스 노드의 주소입니다. IPv6의 경우, source-address 필드의 길이는 128비트입니다. 필터 설명 구문은 RFC 2373, IP 버전 6 주소 지정 아키텍처에 설명된 IPv6 주소에 대한 텍스트 표현을 지원합니다.

ip-source-address (ip-address | ip6-address)

IP 소스 주소 필드로, 패킷을 전송하는 소스 노드의 주소입니다. IPv4 주소(ip-address) 또는 IPv6 주소(ip6-address)를 지정할 수 있습니다. IPv6의 경우 ip-source-address 필드의 길이는 128비트입니다. 필터 설명 구문은 RFC 2373, IP 버전 6 주소 지정 아키텍처에 설명된 IPv6 주소에 대한 텍스트 표현을 지원합니다.

source-mac-address mac-address

소스 MAC 주소입니다.

소스 MAC 주소를 다음과 같은 source-mac-address 00:01:02:03:04:05/24접두사로 정의할 수 있습니다. 접두사를 지정하지 않으면 기본값 48이 사용됩니다.

source-port number

TCP 또는 UDP source-port 필드. 일반적으로 또는 일치 조건과 함께 protocolip-protocol 이 일치를 지정하여 포트에서 사용 중인 프로토콜을 결정합니다. 의 경우 number, 아래에 destination-port나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

source-prefix-list prefix-list

IP 소스 접두사 목록 필드입니다.

자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 [edit policy-options] 정의합니다.

tcp-established

설정된 TCP 연결의 TCP 패킷입니다. 이 조건은 연결의 첫 번째 패킷 이외의 패킷과 일치합니다. tcp-established 는 비트 이름의 "(ack | rst)"동의어입니다.

tcp-established 프로토콜이 TCP인지 여부를 암시적으로 확인하지 않습니다. 이렇게 하려면 일치 조건을 지정합니다 next-header tcp .

tcp-flags (flags tcp-initial)

하나 이상의 TCP 플래그:

  • 비트 이름—fin, syn, rst, push, ackurgent

  • 논리 연산자 -& (논리형 AND), | (논리형 OR), ! (부정)

  • 숫자 값 - 0x01 - 0x20

  • 텍스트 동의어—tcp-initial

여러 플래그를 지정하려면 논리 연산자를 사용합니다.

tcp-initial

연결의 첫 번째 TCP 패킷과 일치합니다. tcp-initial 는 비트 이름의 "(syn&!ack)"동의어입니다.

tcp-initial 프로토콜이 TCP인지 여부를 암시적으로 확인하지 않습니다. 이렇게 하려면 또는 ip-protocol tcp 일치 조건을 지정합니다protocol tcp.

traffic-class number

패킷에 대한 DSCP 코드 포인트를 지정합니다.

ttl value

일치시킬 TTL 유형입니다. 값의 범위는 1에서 255 사이입니다.

vlan (vlan-name | vlan-id)

패킷과 연결된 VLAN입니다. 의 경우 vlan-idVLAN ID 또는 VLAN 범위를 지정할 수 있습니다. vlan 일치 조건과 dot1q-tag 일치 조건은 상호 배타적입니다.

learn-vlan-id (vlan-name | vlan-id)

패킷과 연결된 VLAN입니다. 의 경우 vlan-idVLAN ID 또는 VLAN 범위를 지정할 수 있습니다. vlan 일치 조건과 user-vlan-id 일치 조건은 상호 배타적입니다.

방화벽 필터에 대한 작업

패킷이 일치 조건에 정의된 필터링 기준과 일치할 경우 스위치가 수행할 작업을 정의할 수 있습니다. 표 3 에서는 방화벽 필터 구성에서 지원되는 작업을 설명합니다.

표 3: 방화벽 필터에 대한 작업

작업

설명

accept

패킷을 수락합니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다.

reject message-type

패킷을 버리고 ICMPv4 메시지(유형 3) destination unreachable를 보냅니다. 작업 수정자를 구성 syslog 하면 거부된 패킷을 기록할 수 있습니다.

다음 메시지 코드 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

를 지정하면 tcp-reset패킷이 TCP 패킷인 경우 TCP 재설정이 반환됩니다. 그렇지 않으면 아무 것도 반환되지 않습니다.

메시지 유형을 지정하지 않으면 ICMP 알림 destination unreachable 이 기본 메시지 communication administratively filtered와 함께 전송됩니다.

routing-instance routing-instance-name

일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다.

주:

EX4200 스위치는 기본 라우팅 인스턴스로의 방화벽 필터 기반 리디렉션을 지원하지 않습니다.

vlan vlan-name

일치하는 패킷을 특정 VLAN으로 전달합니다. 작업이 옵션을 지원하지 않으므로 vlan VLAN 이름 또는 VLAN ID를 vlan-range 지정하고 VLAN 범위를 지정하지 않아야 합니다.

주:

dot1q 터널링에 사용할 수 있는 VLAN을 정의한 경우 해당 특정 VLAN은 수신 VLAN 방화벽 필터에 대한 작업(작업 사용 vlan vlan-name )으로 지원되지 않습니다.

방화벽 필터에 대한 작업 수정자

표 3설명된 작업 외에도, 패킷이 일치 조건에 정의된 필터링 기준과 일치하는 경우 스위치에 대한 방화벽 필터 구성에서 작업 수정자를 정의할 수 있습니다. 표 4 에서는 방화벽 필터 구성에서 지원되는 작업 수정자를 설명합니다.

표 4: 방화벽 필터에 대한 작업 수정자

작업 수정자

설명

analyzer analyzer-name

프로토콜 분석기 애플리케이션에 연결된 지정된 대상 포트 또는 VLAN에 대한 포트 트래픽 미러링 미러링은 한 스위치 포트에서 보이는 모든 패킷을 다른 스위치 포트의 네트워크 모니터링 연결로 복사합니다. 분석기 이름은 에서 [edit ethernet-switching-options analyzer]구성해야 합니다.

주:

analyzer 은(는) 관리 인터페이스에 대해 지원되는 작업 수정자가 아닙니다.

주:

EX4500 스위치에서는 분석기를 하나만 구성하여 방화벽 필터에 포함할 수 있습니다. 분석기를 여러 개 구성하는 경우 이러한 분석기 중 어느 하나도 방화벽 필터에 포함할 수 없습니다.

dscp number

일치하는 패킷의 DSCP 값을 이 작업 수정자로 지정된 DSCP 값으로 변경합니다. number DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • ef (46)- RFC 2598, 신속한 포워딩 PHB에 정의되어 있습니다.

  • af11 (10), af12 (12), , af21 (18)af13 (14), af22 (20), , af23 (22)

    af31 (26), af32 (28), , af33 (30), af41 (34), af42 (36)af43 (38)

    각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB Group의 12개 코드 포인트에 대해 정의됩니다.

count counter-name

이 필터, 용어 또는 폴리서를 통과하는 패킷 수를 카운트합니다. 폴리서를 사용하면 스위치의 인터페이스로 들어오는 트래픽에 대한 속도 제한을 지정할 수 있습니다.

주:

EX4300 스위치에서는 TCAM(Ternary Content Addressable Memory)의 용어 수와 동일한 수의 카운터 및 폴리서를 구성할 수 있습니다.

forwarding-class class

다음 포워딩 클래스 중 하나에서 패킷을 분류합니다.

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag(EX4400 및 EX4650만 해당) 여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션에 사용할 그룹 기반 정책 소스 태그(0..65535)를 설정합니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

interface interface-name

스위칭 조회를 우회하여 트래픽을 지정된 인터페이스로 전달합니다.

log

라우팅 엔진에 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 CLI에서 명령을 실행합니다 show firewall log .

주:

log 또는 syslog 작업 수정자가 작업 또는 interface 작업 수정자와 함께 vlan 구성된 경우 이벤트가 기록되지 않을 수 있습니다. 그러나 리디렉션 인터페이스 기능은 예상대로 작동합니다.

loss-priority (high | low)

패킷 손실 우선순위(PLP)를 설정합니다.

policer policer-name

트래픽에 속도 제한을 적용합니다.

포트, VLAN, 라우터의 수신 트래픽에 대해서만 방화벽 필터에서 폴리서를 지정할 수 있습니다.

주:

폴리서에 대한 카운터는 EX8200 스위치에서 지원되지 않습니다.

주:

EX4300 스위치에서는 TCAM의 용어 수와 동일한 수의 카운터 및 폴리서를 구성할 수 있습니다.

port-mirror

계층에 정의된 인터페이스에 패킷을 미러링합니다 [edit forwarding-options analyzer] .

port-mirror-instance instance-name

계층에 정의된 인스턴스로 패킷을 미러링합니다 [edit forwarding-options analyzer] .

syslog

이 패킷에 대한 경고를 기록합니다. 저장 및 분석을 위해 로그를 서버로 보내도록 지정할 수 있습니다.

주:

log 또는 syslog 작업 수정자가 작업 또는 interface 작업 수정자와 함께 vlan 구성된 경우 이벤트가 기록되지 않을 수 있습니다. 그러나 리디렉션 인터페이스 기능은 예상대로 작동합니다.

three-color-policer

3색 폴리서를 적용합니다.