Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 시리즈 스위치에 대한 방화벽 필터 일치 조건, 작업 및 작업 수정자

EX 시리즈 스위치를 위한 방화벽 필터를 정의할 때 패킷에 대한 필터링 기준과 패킷이 필터링 기준termsmatch conditionsactionaction modifier일치하는 경우 스위치가 취할 수 있는 필터링 기준을 정의합니다. 방화벽 필터를 정의하여 IPv4, IPv6 또는 비 IP 트래픽을 모니터링할 수 있습니다.

이 주제는 방화벽 필터에서 정의할 수 있는 다양한 일치 조건, 작업 및 작업 수정자를 자세히 설명합니다. 다양한 EX 시리즈 스위치의 일치 조건에 대한 지원에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 액션 Modifiers에 대한 플랫폼 지원을 참조하십시오.

방화벽 필터 요소

방화벽 필터 구성에는 용어, 일치 조건, 작업 및 작업 수정자가 포함되어 있습니다. 표 1 방화벽 필터 구성의 각 요소를 설명합니다.

표 1: 방화벽 필터 구성 요소

요소 이름

설명

용어

패킷에 대한 필터링 기준을 정의합니다. 방화벽 필터의 각 용어는 일치 조건과 작업으로 구성됩니다. 방화벽 필터에서 단일 용어 또는 여러 용어를 정의할 수 있습니다. 여러 용어를 정의하는 경우 각 용어에 고유한 이름이 있어야 합니다.

매치 조건

일치 조건을 정의하는 문자열(a match statement라고 함)으로 구성됩니다. 일치 조건은 패킷에 포함되어야 하는 값 또는 필드입니다. 단일 일치 조건 또는 용어에 대한 여러 일치 조건을 정의할 수 있습니다. 일치 조건을 정의하지 않도록 선택할 수도 있습니다. 용어에 대해 일치 조건이 지정되지 않으면 모든 패킷이 기본적으로 일치합니다.

실행

패킷이 일치 조건에 지정된 모든 기준과 일치하는 경우 스위치가 취하는 조치를 지정합니다.

작업 수정자

패킷이 특정 기간에 대한 일치 조건과 일치하는 경우 스위치가 취하는 하나 이상의 작업을 지정합니다.

스위치에서 지원되는 일치 조건

모니터링하려는 트래픽 유형에 따라 방화벽 필터를 구성하여 IPv4, IPv6 또는 비 IP 트래픽을 모니터링할 수 있습니다. 특정 유형의 트래픽을 모니터링하도록 방화벽 필터를 구성할 때 해당 트래픽 유형에 대해 지원되는 일치 조건을 지정해야 합니다. 특정 유형의 트래픽 및 지원 스위치에 대해 지원되는 일치 조건에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 액션 Modifiers용 플랫폼 지원을 참조하십시오.

표 2 EX 시리즈 스위치의 방화벽 필터를 위해 지원되는 모든 일치 조건을 설명합니다.

표 2: EX 시리즈 스위치에서 지원되는 방화벽 필터 일치 조건

매치 조건

설명

destination-address ip-address

IP 대상 주소 필드( 최종 대상 노드의 주소)

ip-destination-address ip-address

IP 대상 주소 필드( 최종 대상 노드의 주소)

ip6-destination-address ip-address

IP 대상 주소 필드( 최종 대상 노드의 주소)

destination-mac-address mac-address

패킷의 대상 MAC(Media Access Control) 주소

Prefix destination-mac-address 00:01:02:03:04:05/24를 사용하여 대상 MAC 주소를 정의할 수 있습니다. 접두사에 지정되지 않으면 기본값 48이 사용됩니다.

destination-port number

TCP 또는 UDP 대상 포트 필드 일반적으로 포트에서 사용되는 프로토콜을 결정하기 위해 이 일치 조건을 또는 ip-protocol 일치 조건과 protocol 함께 지정합니다. 예를 number들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열됨).

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

IP 대상 접두사 목록 필드.

자주 사용하는 Prefix-list 별칭에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 [edit policy-options] 정의합니다.

dot1q-tag number

이더넷 헤더의 태그 필드 태그 값은 1에서 4095까지입니다. dot1q-tag 경기 조건과 vlan 경기 조건은 상호 배타적입니다.

user-vlan-id number

이더넷 헤더의 태그 필드 태그 값은 1에서 4095까지입니다. user-vlan-id 경기 조건과 learn-vlan-id 경기 조건은 상호 배타적입니다.

dot1q-user-priority number

태그가 지정된 Ethernet 패킷의 사용자 우선 순위 필드 사용자 우선 순위 값은 0에서 7까지 다양합니다.

예를 number들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • background (1)—배경

  • best-effort (0)—Best effort

  • controlled-load (4)—제어 로드

  • excellent-load (3)—우수한 로드

  • network-control (7)—네트워크 제어 예약 트래픽

  • standard (2)—표준 또는 예비용

  • video (5)—비디오

  • voice (6)— 음성

user-vlan-1p-priority number

태그가 지정된 Ethernet 패킷의 사용자 우선 순위 필드 사용자 우선 순위 값은 0에서 7까지 다양합니다.

예를 number들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • background (1)—배경

  • best-effort (0)—Best effort

  • controlled-load (4)—제어 로드

  • excellent-load (3)—우수한 로드

  • network-control (7)—네트워크 제어 예약 트래픽

  • standard (2)—표준 또는 예비용

  • video (5)—비디오

  • voice (6)— 음성

dscp number

DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더에서 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트는 DSCP를 형성합니다.

DSCP를 1진수, 바이너리 또는 10진수 형식으로 지정할 수 있습니다.

예를 number들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • ef (46)RFC 2598에서 정의한 바와 같이 , 신속한 포워딩 PHB.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    각 클래스에서 3개의 드롭 우선 순위가 있는 이들 4개 클래스는 RFC 2597, Assured Forwarding PHB Group의 12개 코드 포인트에 대해 정의됩니다.

ether-type value

패킷의 이더넷 유형 필드. 은 Ethernet 프레임에서 전송되는 프로토콜을 지정합니다. 예를 value들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

  • aarp—EtherType 값 AARP(0x80F3)

  • appletalk—EtherType 값 AppleTalk(0x809B)

  • arp—EtherType 값 ARP(0x0806)

  • ipv4—EtherType 값 IPv4(0x0800)

  • ipv6—EtherType 값 IPv6(0x08DD)

  • mpls multicast—EtherType value MPLS 멀티캐스트(0x8848)

  • mpls unicast—EtherType value MPLS 유니캐스트(0x8847)

  • oam—EtherType 값 OAM(0x88A8)

  • ppp—EtherType 값 PPP(0x880B)

  • pppoe-discovery—EtherType 값 PPPoE 검색 단계(0x8863)

  • pppoe-session—EtherType 값 PPPoE 세션 단계(0x8864)

  • sna—EtherType 값 SNA(0x80D5)

주:

다음과 같은 일치 조건은 다음과 같이 설정ipv6되면 지원 ether-type 되지 않습니다.

  • dscp

  • fragment-flags

  • is-fragment

  • precedence 또는 ip-precedence

  • protocol 또는 ip-protocol

fragment-flags fragment-flags

IP 단편화 플래그( 기호 또는 16진수 형식으로 지정됨) 다음 옵션 중 하나를 지정할 수 있습니다.

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag VXLAN에서 마이크로세그먼테이션과 함께 사용할 대상 태그를 여기에 설명합니다. 예를 들면 다음과 같습니다. VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션
gbp-src 태그 여기에 설명된 대로 VXLAN에서 마이크로세그먼테이션과 함께 사용할 소스 태그를 일치시킬 수 있습니다. 예를 들면 다음과 같습니다. VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

icmp-code number

ICMP 코드 필드. 이 값 또는 옵션은 에지보다 icmp-type더 구체적인 정보를 제공합니다. 값의 의미는 관련 icmp-type값에 따라 달라지므로 을 함께 icmp-code지정 icmp-type 해야 합니다. 예를 number들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). 이 옵션은 연관된 ICMP 유형으로 그룹화됩니다.

  • parameter-problemip-header-bad (0), required-option-missing (1)

  • redirectredirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13), destination-host-prohibited (10), , destination-host-unknown (7), destination-network-unknown (6), host-unreachable (1)port-unreachable (3)network-unreachable-for-TOS (11)source-host-isolated (8)host-precedence-violation (14)protocol-unreachable (2)host-unreachable-for-TOS (12)precedence-cutoff-in-effect (15)network-unreachable (0)destination-network-prohibited (9)fragmentation-needed (4)source-route-failed (5)

icmp-type number

ICMP 패킷 유형 필드. 일반적으로 포트에서 사용 중인 프로토콜을 확인하기 위해 이 일치 조건을 또는 ip-protocol 일치 조건과 protocol 함께 지정합니다. 예를 number들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

패킷이 수신되는 인터페이스입니다. 인터페이스 이름의 일부로 와일드카드 문자(*)를 지정할 수 있습니다.

주:

interface EX8200 Virtual Chassis의 송신 트래픽은 일치 조건이 지원되지 않습니다.

ip-options

IP 헤더에 옵션 필드 존재.

ip-version version match_condition(s)

포트 및 VLAN 방화벽 필터를 위한 IP 프로토콜 버전 에 대한 version 값은 또는 ipv6ipv4 수 있습니다.

예를 match_condition(s)들어, 다음 중 하나 이상의 일치 조건을 지정할 수 있습니다.

  • destination-address, ip-destination-address또는 ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence 또는 ip-precedence

  • protocol 또는 ip-protocol

  • source-address 또는 ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

패킷이 후행 패킷인 경우 이 일치 조건은 단편화된 패킷의 첫 번째 패킷 조각과 일치하지 않습니다. 두 용어를 사용하여 첫 번째 및 후행 패킷 조각 모두에 일치합니다.

주:

EX2300, EX3400 및 EX4300 스위치의 제한으로 인해 이 일치 조건은 "패밀리 이더넷 스위칭"에 적용할 때 단편화된 패킷의 마지막 패킷 조각과 일치하지 않습니다.

l2-encap-type llc-non-snap

SNAP(Non-Subnet Access Protocol) 이더넷 캡슐화 유형에 대한 논리적 링크 제어(LLC) 레이어 패킷과 일치합니다.

next-header bytes

IPv6 헤더 직후 헤더 유형을 식별하는 8비트 프로토콜 필드 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

수신 패킷의 길이(바이트 단위)

길이는 패킷 헤더를 포함한 IP 패킷만을 의미하며 Layer 2 캡슐화 오버헤드는 포함하지 않습니다.

precedence precedence

IP 우선 순위. 예를 precedence들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

IP 우선 순위. 예를 precedence들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

IPv4 프로토콜 가치. 예를 protocols들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

IPv4 프로토콜 가치. 예를 protocols들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

IP 소스 주소 필드( 패킷을 전송하는 소스 노드의 주소) IPv6의 경우 소스 주소 필드는 길이가 128비트입니다. 필터 설명 구문은 RFC 2373, IP Version 6 Addressing Architecture에 설명된 IPv6 주소에 대한 텍스트 표현을 지원합니다.

ip-source-address (ip-address | ip6-address)

IP 소스 주소 필드( 패킷을 전송하는 소스 노드의 주소) IPv4 주소() 또는 IPv6 주소(ip-addressip6-address)를 지정할 수 있습니다. IPv6의 경우 IP 소스 주소 필드는 길이가 128비트입니다. 필터 설명 구문은 RFC 2373, IP Version 6 Addressing Architecture에 설명된 IPv6 주소에 대한 텍스트 표현을 지원합니다.

source-mac-address mac-address

소스 MAC 주소.

Prefix source-mac-address 00:01:02:03:04:05/24를 사용하여 소스 MAC 주소를 정의할 수 있습니다. 접두사에 지정되지 않으면 기본값 48이 사용됩니다.

source-port number

TCP 또는 UDP source-port 필드. 일반적으로 포트에서 사용 중인 프로토콜을 결정하기 위해 이 일치를 또는 ip-protocol 일치 조건과 protocol 함께 지정합니다. 에 대해 number, 아래에 나열된 destination-port텍스트 동의어 중 하나를 지정할 수 있습니다.

source-prefix-list prefix-list

IP 소스 접두사 목록 필드.

자주 사용하는 Prefix-list 별칭에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 [edit policy-options] 정의합니다.

tcp-established

설정된 TCP 연결의 TCP 패킷. 이 조건은 연결의 첫 번째 패킷 이외의 패킷과 일치합니다. tcp-established 비트 이름의 "(ack | rst)"대명사입니다.

tcp-established 프로토콜이 TCP인지 여부를 암시적으로 검사하지 않습니다. 이를 위해 일치 조건을 지정합니다 next-header tcp .

tcp-flags (flags tcp-initial)

하나 이상의 TCP 플래그:

  • 비트 네임—fin, syn, rst, pushackurgent

  • 논리적 오퍼레이터—& (논리적 AND), | (논리적 OR), ! (부정)

  • 숫자 값—0x20 통해 0x01

  • 텍스트 동의어—tcp-initial

여러 플래그를 지정하려면 논리적 연산자를 사용합니다.

tcp-initial

연결의 첫 번째 TCP 패킷과 일치합니다. tcp-initial 비트 이름의 "(syn&!ack)"대명사입니다.

tcp-initial 프로토콜이 TCP인지 여부를 암시적으로 검사하지 않습니다. 이를 위해서는 조건 또는 ip-protocol tcp 일치 조건을 protocol tcp 지정합니다.

traffic-class number

패킷에 대한 DSCP 코드 포인트를 지정합니다.

ttl value

일치하는 TTL 유형. 값은 1에서 255까지 다양합니다.

vlan (vlan-name | vlan-id)

패킷과 연결된 VLAN. VLAN vlan-idID 또는 VLAN 범위를 지정할 수 있습니다. vlan 경기 조건과 dot1q-tag 경기 조건은 상호 배타적입니다.

learn-vlan-id (vlan-name | vlan-id)

패킷과 연결된 VLAN. VLAN vlan-idID 또는 VLAN 범위를 지정할 수 있습니다. vlan 경기 조건과 user-vlan-id 경기 조건은 상호 배타적입니다.

방화벽 필터에 대한 조치

패킷이 일치 조건에서 정의된 필터링 기준과 일치하는 경우 스위치에 대한 조치를 정의할 수 있습니다. 표 3 방화벽 필터 구성에서 지원되는 작업을 설명합니다.

표 3: 방화벽 필터에 대한 조치

실행

설명

accept

패킷을 허용합니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 전송하지 않고 패킷을 자동으로 폐기합니다.

reject message-type

패킷을 폐기하고 ICMPv4 메시지(유형 3) destination unreachable를 보냅니다. 작업 수정자를 구성하면 거부된 패킷을 로그할 syslog 수 있습니다.

다음 메시지 코드 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

지정 tcp-reset하는 경우 패킷이 TCP 패킷인 경우 TCP 리셋이 반환됩니다. 그렇지 않으면 아무것도 반환하지 않습니다.

메시지 유형을 지정하지 않으면 ICMP 알림 destination unreachable 이 기본 메시지 communication administratively filtered와 함께 전송됩니다.

routing-instance routing-instance-name

일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다.

주:

EX4200 스위치는 방화벽 필터 기반의 기본 라우팅 인스턴스로의 리디렉션을 지원하지 않습니다.

vlan vlan-name

일치하는 패킷을 특정 VLAN으로 전달합니다. 작업이 해당 옵션을 지원하지 않기 때문에 VLAN 범위가 아닌 VLAN 이름 또는 VLAN ID를 vlanvlan-range 지정해야 합니다.

주:

dot1q 터널링에 사용할 수 있는 VLAN을 정의한 경우 특정 VLAN은 수신 VLAN 방화벽 필터를 위한 작업(작업 사용 vlan vlan-name )으로 지원되지 않습니다.

방화벽 필터에 대한 Action Modifiers

설명된 표 3작업 외에도, 패킷이 일치 조건에 정의된 필터링 기준과 일치할 경우 스위치의 방화벽 필터 구성에서 작업 수정자를 정의할 수 있습니다. 표 4 방화벽 필터 구성에서 지원되는 작업 수정자를 설명합니다.

표 4: 방화벽 필터에 대한 Action Modifiers

Action Modifier

설명

analyzer analyzer-name

프로토콜 분석기 애플리케이션에 연결된 지정된 대상 포트 또는 VLAN에 포트 트래픽을 미러레이션합니다. 미러링으로 한 스위치 포트에서 볼 수 있는 모든 패킷을 다른 스위치 포트의 네트워크 모니터링 연결로 복사합니다. 분석기 이름은 에서 구성 [edit ethernet-switching-options analyzer]해야 합니다.

주:

analyzer 관리 인터페이스에 대한 지원되는 작업 수정자가 아닙니다.

주:

EX4500 스위치에서는 하나의 분석기만 구성하고 방화벽 필터에 포함할 수 있습니다. 여러 분석기를 구성하면 방화벽 필터에 해당 분석기 중 하나를 포함할 수 없습니다.

dscp number

매치된 패킷에 대한 DSCP 값을 이 작업 수정어로 지정된 DSCP 값으로 변경합니다. number DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더에서 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트는 DSCP를 형성합니다.

DSCP를 1진수, 바이너리 또는 10진수 형식으로 지정할 수 있습니다.

예를 number들어, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • ef (46)RFC 2598에서 정의한 바와 같이 , 신속한 포워딩 PHB.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    각 클래스에서 3개의 드롭 우선 순위가 있는 이들 4개 클래스는 RFC 2597, Assured Forwarding PHB Group의 12개 코드 포인트에 대해 정의됩니다.

count counter-name

이 필터, 용어 또는 폴리서(policer)를 통과하는 패킷의 수를 계산합니다. 폴리서(policer)를 사용하면 스위치에서 인터페이스를 입력하는 트래픽에 대한 속도 제한을 지정할 수 있습니다.

주:

EX4300 스위치에서 TCAM(Ternary Content Addressable Memory)의 용어 개수와 동일한 카운터 및 폴리서 수를 구성할 수 있습니다.

forwarding-class class

다음 포워딩 클래스 중 하나에서 패킷을 분류합니다.

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag(EX4400 및 EX4650에만 해당) 여기에 설명된 대로 VXLAN에서 마이크로세그먼테이션과 함께 사용할 그룹 기반 정책 소스 태그(0.65535)를 설정합니다. 예를 들면 다음과 같습니다. VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

interface interface-name

스위칭 룩업을 우회하여 트래픽을 지정된 인터페이스로 전달합니다.

log

라우팅 엔진에서 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 CLI에서 명령을 실행 show firewall log 합니다.

주:

log 작업 또는 interface 작업 수정어와 함께 vlan 구성 syslog 되거나 작업 수정자가 구성된 경우 이벤트가 로깅되지 않을 수 있습니다. 그러나 리다이렉션 인터페이스 기능은 예상대로 작동합니다.

loss-priority (high | low)

PLP(Packet Loss Priority)를 설정합니다.

policer policer-name

트래픽에 속도 제한을 적용합니다.

방화벽 필터에서 포트, VLAN 및 라우터의 수신 트래픽에 대해서만 폴리서(policer)를 지정할 수 있습니다.

주:

EX8200 스위치에서 폴리서 카운터가 지원되지 않습니다.

주:

EX4300 스위치에서 TCAM의 용어 개수와 동일한 카운터 및 폴리서 수를 구성할 수 있습니다.

port-mirror

계층 구조에 정의된 인터페이스로 패킷 미러 [edit forwarding-options analyzer]

port-mirror-instance instance-name

계층 구조에 정의된 인스턴스로 패킷 미러 [edit forwarding-options analyzer]

syslog

이 패킷에 대한 경고를 기록합니다. 저장 및 분석을 위해 로그를 서버로 전송할 것을 지정할 수 있습니다.

주:

log 작업 또는 interface 작업 수정어와 함께 vlan 구성 syslog 되거나 작업 수정자가 구성된 경우 이벤트가 로깅되지 않을 수 있습니다. 그러나 리다이렉션 인터페이스 기능은 예상대로 작동합니다.

three-color-policer

3색 폴리서(policer)를 적용합니다.