Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 시리즈 스위치를 위한 방화벽 필터 일치 조건, 작업 및 조치 수정기

EX 시리즈 스위치에 대한 방화벽 필터를 정의할 경우 패킷에 대한 필터링 기준(조건과 일치 조건의 용어) 및 패킷이 필터링 기준과 일치하는 경우 스위치가 취할 조치(선택적으로 작업 수정자)를 정의합니다. 방화벽 필터를 정의하여 IPv4, IPv6 또는 비 IP 트래픽을 모니터링할 수 있습니다.

이 주제는 방화벽 필터에서 정의할 수 있는 다양한 일치 조건, 작업 및 작업 수정자에 대해 자세히 설명하고 있습니다. 다양한 EX 시리즈 스위치의 일치 조건 지원에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 조치 수정기 플랫폼 지원을 참조하십시오.

방화벽 필터 요소

방화벽 필터 구성에는 용어, 일치 조건, 작업 및 옵션으로 작업 수정자를 포함하게 됩니다. 표 1 방화벽 필터 구성의 각 요소를 설명합니다.

표 1: 방화벽 필터 구성 요소

요소 이름

설명

용어

패킷에 대한 필터링 기준을 정의합니다. 방화벽 필터의 각 용어는 일치 조건과 작업으로 구성됩니다. 방화벽 필터에서 단일 용어 또는 여러 용어를 정의할 수 있습니다. 여러 용어를 정의하는 경우 각 용어에 고유한 이름이 있어야 합니다.

일치 조건

일치 조건을 정의하는 문자열(일치명령문이라고도 합니다)으로 구성됩니다. 일치 조건은 패킷이 포함해야 하는 값 또는 필드입니다. 단일 일치 조건 또는 용어에 대한 다중 일치 조건을 정의할 수 있습니다. 또한 일치 조건을 정의하지 않을 수 있습니다. 용어에 대해 일치 조건이 지정되지 않은 경우 모든 패킷은 기본적으로 일치됩니다.

실행

패킷이 일치 조건에 지정된 모든 기준과 일치하는 경우 스위치가 취하는 조치를 지정합니다.

작업 수정자

패킷이 특정 용어에 대한 일치 조건과 일치하는 경우 스위치가 수행하는 하나 이상의 작업을 지정합니다.

스위치에서 지원되는 일치 조건

모니터링하려는 트래픽의 유형에 따라 방화벽 필터를 구성하여 IPv4, IPv6 또는 비 IP 트래픽을 모니터링할 수 있습니다. 특정 트래픽 유형을 모니터링하도록 방화벽 필터를 구성할 때 해당 트래픽 유형에 대해 지원되는 일치 조건을 지정해야 합니다. 지원되는 특정 트래픽 및 스위치 유형에서 지원되는 일치 조건에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 조치 수정기 플랫폼 지원을 참조하십시오.

표 2 EX 시리즈 스위치의 방화벽 필터에서 지원되는 모든 일치 조건을 설명합니다.

표 2: EX 시리즈 스위치에서 지원되는 방화벽 필터 일치 조건

일치 조건

설명

destination-address ip-address

IP 대상 주소 필드는 최종 대상 노드의 주소입니다.

ip-destination-address ip-address

IP 대상 주소 필드는 최종 대상 노드의 주소입니다.

ip6-destination-address ip-address

IP 대상 주소 필드는 최종 대상 노드의 주소입니다.

destination-mac-address mac-address

대상 미디어 액세스 제어(주소)(MAC) 주소

와 같은 prefix로 대상 MAC 주소를 정의할 수 destination-mac-address 00:01:02:03:04:05/24 있습니다. Prefix가 지정되지 않은 경우, 기본 값 48이 사용됩니다.

destination-port number

TCP 또는 UDP 대상 포트 필드. 일반적으로 포트에서 사용되는 프로토콜을 결정하기 위해 또는 일치 조건과 함께 이 일치 조건을 protocolip-protocol 지정합니다. 숫자의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열됨).

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

IP 대상 Prefix list 필드

자주 사용할 수 있는 prefix-list 별칭에서 IP 주소 프리픽스 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 [edit policy-options] 정의합니다.

dot1q-tag number

이더넷 헤더의 태그 필드입니다. 태그 값의 범위는 1에서 4095입니다. 일치 dot1q-tag 조건과 vlan 일치 조건은 서로 배타적입니다.

user-vlan-id number

이더넷 헤더의 태그 필드입니다. 태그 값의 범위는 1에서 4095입니다. 일치 user-vlan-id 조건과 learn-vlan-id 일치 조건은 서로 배타적입니다.

dot1q-user-priority number

태그드 이더넷 패킷의 사용자 우선 순위 필드입니다. 사용자 우선 순위 값은 0에서 7까지 범위가 될 수 있습니다.

숫자의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • background (1)—배경

  • best-effort (0)—Best effort

  • controlled-load (4)—제어 로드

  • excellent-load (3)—우수한 로드

  • network-control (7)—네트워크 제어 예약 트래픽

  • standard (2)—표준 또는 예비

  • video (5)—비디오

  • voice (6)—음성

user-vlan-1p-priority number

태그드 이더넷 패킷의 사용자 우선 순위 필드입니다. 사용자 우선 순위 값은 0에서 7까지 범위가 될 수 있습니다.

숫자의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • background (1)—배경

  • best-effort (0)—Best effort

  • controlled-load (4)—제어 로드

  • excellent-load (3)—우수한 로드

  • network-control (7)—네트워크 제어 예약 트래픽

  • standard (2)—표준 또는 예비

  • video (5)—비디오

  • voice (6)—음성

dscp number

DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더에서 ToS(Type-of-Service) byte를 사용합니다. 이 바이트 중 가장 중요한 6비트는 DSCP를 형성합니다.

DSCP를 hexadecimal, 바이너리 또는 소수의 양식으로 지정할 수 있습니다.

숫자의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • ef (46)—RFC 2598, Expedited Forwarding PHB에 정의되어 있습니다.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    각 클래스에서 3개 드롭 우선 순위를 갖는 이들 4개 클래스는 RFC 2597의12개 코드 지점에 대해 정의되어 있습니다.

ether-type value

패킷의 이더넷 유형 필드. 이더넷 프레임에서 전송되는 프로토콜을 지정합니다. 값을 위해다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

  • aarp—EtherType 가치 AARP(0x80F3)

  • appletalk—EtherType 가치 AppleTalk(0x809B)

  • arp—EtherType 가치 ARP(0x0806)

  • ipv4—EtherType 가치 IPv4(0x0800)

  • ipv6—EtherType 가치 IPv6(0x08DD)

  • mpls multicast—멀티캐스트(MPLS EtherType 0x8848)

  • mpls unicast—유니캐스트(MPLS EtherType 0x8847)

  • oam—EtherType 가치 OAM(0x88A8)

  • ppp—EtherType 가치 PPP(0x880B)

  • pppoe-discovery—EtherType 가치 PPPoE Discovery Stage(0x8863)

  • pppoe-session—EtherType 가치 PPPoE 세션 단계(0x8864)

  • sna—EtherType 가치 SNA(0x80D5)

주:

다음 일치 조건은 다음으로 설정되어 ether-type 있는 경우 지원되지 ipv6 않습니다.

  • dscp

  • fragment-flags

  • is-fragment

  • precedence 또는 ip-precedence

  • protocol 또는 ip-protocol

fragment-flags fragment-flags

기호 또는 사면(hexadecimal) 형식으로 지정된 IP 단편화 플래그 다음 옵션 중 하나를 지정할 수 있습니다.

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst 태그 여기에 설명된 바와 같이 대상 태그를 일치하여 가상 확장형 LAN(VXLAN) 세그먼토일을 사용할 수 있습니다. Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
gbp-src-tag 여기에서 설명한 바와 같이 소스 태그를 일치하여 가상 확장형 LAN(VXLAN) 세그먼토그먼토를 사용할 수 있습니다. Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

icmp-code number

ICMP 코드 필드를 실행합니다. 이 값 또는 옵션은 에 비해 더 구체적인 정보를 icmp-type 제공합니다. 값의 의미는 관련 값에 따라 달라지기 때문에 를 함께 icmp-typeicmp-type 지정해야 icmp-code 합니다. 숫자의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열). 옵션은 연관된 ICMP 유형으로 그룹화됩니다.

  • parameter-problemip-header-bad (0) 을 통해 required-option-missing (1)

  • redirect- redirect-for-host (1)redirect-for-network (0) , redirect-for-tos-and-host (3) 에서 , redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1) 을 통해 ttl-eq-zero-during-transit (0)

  • unreachable- , , , , , 를 , communication-prohibited-by-filtering (13)destination-host-prohibited (10)destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2) , source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP 패킷 유형 필드입니다. 일반적으로 포트에서 어떤 프로토콜이 사용되고 있는지 결정하기 위해 일치 조건과 함께 이 일치 조건을 protocolip-protocol 지정합니다. 숫자의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

패킷이 수신되는 인터페이스 와일드카드 문자()를 인터페이스 이름의 * 일부로 지정할 수 있습니다.

주:

interface에지 네트워크의 egress 트래픽에 대해 일치 조건은 EX8200 Virtual Chassis.

ip-options

IP 헤더의 옵션 필드 존재

ip-version 버전 match_condition)

포트 및 VLAN 방화벽 필터를 위한 IP 프로토콜 버전. 버전에 대한 가치는ipv4ipv6

match_condition 경우,다음 일치 조건을 하나 이상 지정할 수 있습니다.

  • destination-addressip-destination-address, 또는ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence 또는 ip-precedence

  • protocol 또는 ip-protocol

  • source-address 또는 ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

패킷이 후행 패킷인 경우, 이 일치 조건은 단편화된 패킷의 첫 번째 패킷 조각과 일치하지 않습니다. 두 가지 용어를 사용하여 첫 번째 및 후행 단편화와 일치

주:

스위치, EX2300, EX3400 EX4300 제한으로 인해 이 일치 조건은 "family Ethernet 스위칭"에 적용될 때 단편화 패킷의 마지막 패킷 조각과 일치하지 않습니다.

l2-encap-type llc-non-snap

SNAP(Non-Subnet Access Protocol) Ethernet 캡슐화 유형에 대한 논리적 링크 제어(LLC) 레이어 패킷에 일치

next-header bytes

IPv6 헤더 직후에 헤더 유형을 식별하는 8비트 프로토콜 필드입니다. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

수신 패킷의 길이(bytes).

길이는 패킷 헤더를 포함하여 IP 패킷만 참조하며 Layer 2 캡슐화 오버헤드를 포함하지 않습니다.

precedence precedence

IP 우선 순위. 우선 순위에서다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

IP 우선 순위. 우선 순위에서다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

IPv4 프로토콜 값. 프로토콜의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

IPv4 프로토콜 값. 프로토콜의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

IP 소스 주소 필드는 패킷을 전송하는 소스 노드의 주소입니다. IPv6의 경우 소스 주소 필드는 128비트 길이입니다. 필터 설명 구문은 RFC 2373, IP Version 6 주소아키텍처에 설명된 IPv6 주소에 대한 텍스트 표현을 지원

ip-source-address (ip-address | ip6-address)

IP 소스 주소 필드는 패킷을 전송하는 소스 노드의 주소입니다. IPv4 주소() 또는 IPv6 주소()를 지정할 ip-addressip6-address 있습니다. IPv6의 경우 ip-source-address 필드는 128비트 길이입니다. 필터 설명 구문은 RFC 2373, IP Version 6 주소아키텍처에 설명된 IPv6 주소에 대한 텍스트 표현을 지원

source-mac-address mac-address

소스 MAC 주소.

와 같은 prefix로 소스 MAC 주소를 정의할 수 source-mac-address 00:01:02:03:04:05/24 있습니다. Prefix가 지정되지 않은 경우, 기본 값 48이 사용됩니다.

source-port number

TCP 또는 UDP source-port 필드를 사용할 수 있습니다. 일반적으로 포트에서 어떤 프로토콜이 사용되는지 결정하기 위해 이 조건과 일치 여부를 함께 protocolip-protocol 지정합니다. 숫자의경우 에 나열된 텍스트 신소문 중 하나를 지정할 수 destination-port 있습니다.

source-prefix-list prefix-list

IP 소스 Prefix 목록 필드.

자주 사용할 수 있는 prefix-list 별칭에서 IP 주소 프리픽스 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 [edit policy-options] 정의합니다.

tcp-established

설정된 TCP 연결의 TCP 패킷. 이 조건은 첫 번째 연결 패킷이 다른 패킷과 일치합니다. tcp-established 비트 네임의 "(ack | rst)" 동의어입니다.

tcp-established 프로토콜이 TCP인지 여부를 암시적으로 확인할 수 없습니다. 이를 위해 일치 조건을 next-header tcp 지정합니다.

tcp-flags (flags tcp-initial)

하나 이상의 TCP 플래그:

  • bit-name- finsyn , , , rstpushack , urgent

  • 논리적 운영자— & (논리적 및 | 논리적 또는), ! (negation)

  • 수치적 가치—0x01 통해 0x20

  • text synonym—tcp-initial

다중 플래그를 지정하기 위해 논리적 운영자(logical operator)를 사용

tcp-initial

첫 번째 TCP 연결 패킷과 일치 tcp-initial 비트 네임의 "(syn&!ack)" 동의어입니다.

tcp-initial 프로토콜이 TCP인지 여부를 암시적으로 확인할 수 없습니다. 이를 위해, 일치 protocol tcp 조건을 ip-protocol tcp 지정합니다.

traffic-class number

패킷에 대한 DSCP 코드 지점을 지정합니다.

ttl value

일치할 TTL 유형. 가치는 1에서 255까지의 범위가 있습니다.

vlan (vlan-name | vlan-id)

패킷과 연관된 VLAN. vlan-id의경우 VLAN ID 또는 VLAN 범위를 지정할 수 있습니다. 일치 vlan 조건과 dot1q-tag 일치 조건은 서로 배타적입니다.

learn-vlan-id (vlan-name | vlan-id)

패킷과 연관된 VLAN. vlan-id의경우 VLAN ID 또는 VLAN 범위를 지정할 수 있습니다. 일치 vlan 조건과 user-vlan-id 일치 조건은 서로 배타적입니다.

방화벽 필터에 대한 작업

패킷이 일치 조건에 정의된 필터링 기준과 일치하는지 스위치가 취할 조치를 정의할 수 있습니다. 표 3 방화벽 필터 구성에서 지원되는 작업을 설명합니다.

표 3: 방화벽 필터에 대한 작업

실행

설명

accept

패킷을 허용합니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 전송하지 않고도 패킷을 자동으로 폐기합니다.

reject message-type

패킷을 폐기하고 ICMPv4 메시지(유형 3)를 destination unreachable 전송합니다. 작업 수정자를 구성하면 거부된 패킷을 syslog 로그할 수 있습니다.

다음 메시지 코드 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

지정한 tcp-reset 경우, 패킷이 TCP 패킷인 경우 TCP 리셋이 반환됩니다. 그렇지 않은 경우, 그 어떤 것도 반환되지 않습니다.

메시지 유형을 지정하지 않으면 ICMP 알림이 기본 메시지와 destination unreachable 함께 communication administratively filtered 전송됩니다.

routing-instance routing-instance-name

일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다.

주:

EX4200 필터 기반의 기본 라우팅 인스턴스 재지정을 지원하지 않습니다.

vlan vlan-name

일치하는 패킷을 특정 VLAN으로 전달합니다. 해당 조치가 VLAN 범위 옵션을 지원하지 않는다는 점에서 VLAN 이름 또는 VLAN ID를 vlan지정하는지 확인

주:

dot1q 터널링에 사용 가능한 VLAN을 정의한 경우, 해당 특정 VLAN은 ingress VLAN 방화벽 필터에 대한 조치(작업 vlan vlan-name 사용)로 지원되지 않습니다.

방화벽 필터를 위한 조치 수정자

에 설명된 조치 외에도 패킷이 일치 조건에서 정의된 필터링 기준과 일치할 경우 스위치에 대한 방화벽 필터 구성에서 조치 수정자를 정의할 수 있습니다. 방화벽 필터 구성에서 지원되는 조치 수정자를 표 3표 4 설명합니다.

표 4: 방화벽 필터를 위한 조치 수정자

조치 수정자

설명

analyzer analyzer-name

프로토콜 분석기 애플리케이션에 연결된 특정 대상 포트 또는 VLAN에 포트 트래픽을 미러링합니다. 미러링은 한 스위치 포트에서 볼 수 있는 모든 패킷을 다른 스위치 포트의 네트워크 모니터링 연결로 복사합니다. 분석기 이름은 에서 구성해야 [edit ethernet-switching-options analyzer] 합니다.

주:

analyzer 관리 인터페이스에 대한 지원되는 작업 수정자는 아니며,

주:

스위치 EX4500 하나의 분석기를 구성하고 방화벽 필터에 포함할 수 있습니다. 여러 분석기를 구성하는 경우 방화벽 필터에 이러한 분석기를 포함할 수 없습니다.

dscp number

이 작업 수정자에 지정된 DSCP 값에 매치된 패킷에 대한 DSCP 값을 변경합니다. 번호는 DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더에서 ToS(Type-of-Service) byte를 사용합니다. 이 바이트 중 가장 중요한 6비트는 DSCP를 형성합니다.

DSCP를 hexadecimal, 바이너리 또는 소수의 양식으로 지정할 수 있습니다.

숫자의경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • ef (46)—RFC 2598, Expedited Forwarding PHB에 정의되어 있습니다.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    각 클래스에서 3개 드롭 우선 순위를 갖는 이들 4개 클래스는 RFC 2597의12개 코드 지점에 대해 정의되어 있습니다.

count counter-name

이 필터, 용어 또는 Policer를 통과하는 패킷 수를 계산합니다. Policer를 사용하면 스위치의 인터페이스에 들어오는 트래픽에 대한 속도 제한을 지정할 수 있습니다.

주:

스위치에서 EX4300 컨텐츠 주소 가능 메모리(TCAM)의 용어 수와 동일한 수의 카운터 및 경찰관을 구성할 수 있습니다.

forwarding-class class

다음 포링 클래스 중 하나에 패킷을 분류합니다.

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag(EX4400만 해당) 그룹 기반 정책 소스 태그(0.65535)를 마이크로세그먼토의 마이크로세그먼 분류와 함께 사용할 가상 확장형 LAN(VXLAN) 다음과 같습니다. Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

interface interface-name

스위칭 룩업을 우회하여 트래픽을 지정된 인터페이스로 전달합니다.

log

패킷 헤더 정보를 패킷 패킷 라우팅 엔진. 이 정보를 보시다가 명령어를 명령으로 show firewall log CLI.

주:

작업 또는 작업 수정자와 함께 작업 수정자를 구성한 경우 logsyslog 이벤트는 vlan 로깅되지 않을 interface 수 있습니다. 그러나 리디렉션 인터페이스 기능은 예상대로 작동합니다.

loss-priority (high | low)

PLP(Packet Loss Priority)를 설정합니다.

policer policer-name

트래픽에 속도 제한을 적용합니다.

방화벽 필터에서 포트, VLAN 및 라우터의 ingress 트래픽에 대해만 Policer를 지정할 수 있습니다.

주:

다른 스위치에서는 Policer에 대한 카운터가 EX8200 없습니다.

주:

스위치에서 EX4300 TCAM의 용어 수와 동일한 수의 카운터 및 경찰관을 구성할 수 있습니다.

port-mirror

계층에 정의된 인터페이스에 패킷을 [edit forwarding-options analyzer] 미러링합니다.

port-mirror-instance instance-name

계층에 정의된 인스턴스에 패킷을 [edit forwarding-options analyzer] 미러링합니다.

syslog

이 패킷에 대한 경고를 기록합니다. 스토리지 및 분석을 위해 로그가 서버로 전송될지 지정할 수 있습니다.

주:

작업 또는 작업 수정자와 함께 작업 수정자를 구성한 경우 logsyslog 이벤트는 vlan 로깅되지 않을 interface 수 있습니다. 그러나 리디렉션 인터페이스 기능은 예상대로 작동합니다.

three-color-policer

3색 Policer를 적용합니다.