Referências de um filtro de firewall em um sistema lógico para objetos nonfirewall
Resolução de referências de um filtro de firewall para objetos sem fogo
Em muitos casos, uma configuração de firewall faz referência a objetos fora da configuração do firewall. Como regra geral, o objeto referenciado deve ser definido sob o mesmo sistema lógico que o objeto de referência. No entanto, existem casos em que a configuração do objeto mencionado não é suportada no nível hierárquicos .[edit logical-systems logical-system-name]
Referência válida a um objeto nonfirewall fora do sistema lógico
Esta configuração de exemplo ilustra uma exceção à regra geral de que os objetos referenciados por um filtro de firewall em um sistema lógico devem ser definidos sob o mesmo sistema lógico que o objeto de referência.
No cenário a seguir, o filtro de serviço é aplicado ao tráfego IPv4 associado ao conjunto de serviços na interfacelógica, que está em uma interface de serviços adaptativa.inetsf1
fred
fe-0/3/2.0
O filtro de serviço é definido e faz referências à lista de prefixo.
inetsf1
ls-B
prefix1
O conjunto de serviços é definido no nível de hierarquia de serviços principal, e o software de estrutura de políticas pesquisa a hierarquia para a definição do conjunto de serviços.
fred
[edit services]
fred
Como as regras de serviço não podem ser configuradas em sistemas lógicos. as configurações de filtro de firewall na hierarquia podem fazer referência a conjuntos de serviços fora da hierarquia lógica do sistema.[edit logical-systems logical-system logical-system-name]
[edit] logical-systems { ls-B { interfaces { fe-0/3/2 { unit 0 { family inet { service { input { service-set fred service-filterinetsf1
; } } } } } } policy-options { prefix-listprefix1
{ 1.1.0.0/16; 1.2.0.0/16; 1.3.0.0/16; } } firewall { # Under logical-system ’ls-B’. family inet { filterfilter1
{ term one { from { source-address { 12.1.0.0/16; } } then { reject host-unknown; } } term two { from { source-address { 12.2.0.0/16; } } then policerpol1
; } } service-filter inetsf1 { term term1 { from { source-prefix-list { prefix1; } } then count prefix1; } } } policerpol1
{ if-exceeding { bandwidth-limit 401k; burst-size-limit 50k; } then discard; } } } } # End of logical systems configuration. services { # Main services hierarchy level. service-setfred
{ max-flows 100; interface-service { service-interface sp-1/2/0.0; } } }