Referências de um objeto nonfirewall em um sistema lógico para um filtro de firewall
Resolução de referências de um objeto nonfirewall a um filtro de firewall
Se um objeto filtrado sem fogo em um sistema lógico fizer referência a um objeto em um filtro de firewall configurado em um sistema lógico, a referência será resolvida usando a seguinte lógica:
Se o objeto do filtro não-fogo estiver configurado em um sistema lógico que inclua declarações de configuração de filtro de firewall, o software da estrutura de políticas pesquisa o nível hierárquico .
[edit logical-systems logical-system-name firewall]As configurações de filtro de firewall que pertencem a outros sistemas lógicos ou ao nível de hierarquia principal não são pesquisadas.[edit firewall]Se o objeto do filtro não-fogo estiver configurado em um sistema lógico que não inclua nenhuma declaração de configuração de filtro de firewall, o software da estrutura de políticas pesquisa as configurações de firewall definidas no nível de hierarquia.
[edit firewall]
Referência inválida a um filtro de firewall fora do sistema lógico
Esta configuração de exemplo ilustra uma referência insolvível de um objeto nãofirewall em um sistema lógico a um filtro de firewall.
No cenário a seguir, o firewall stateless filtra e é aplicado à interface lógica no sistema lógico.filter1fredfe-0/3/2.0ls-C
O filtro é definido em .
filter1ls-CO filtro é definido na configuração principal do firewall.
fred
Como contém declarações de filtro de firewall (para ), o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de hierarquia.ls-Cfilter1[edit logical systems ls-C firewall] Consequentemente, a referência do sistema lógico para a configuração principal do firewall não pode ser resolvida.fe-0/3/2.0fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referência válida a um filtro de firewall dentro do sistema lógico
Esta configuração de exemplo ilustra referências resolvíveis de um objeto não-firewall em um sistema lógico a dois filtros de firewall.
No cenário a seguir, o firewall stateless filtra e é aplicado à interface lógica no sistema lógico.filter1fredfe-0/3/2.0ls-C
O filtro é definido em .
filter1ls-CO filtro é definido e também na configuração principal do firewall.
fredls-C
Como contém declarações de filtro de firewall, o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de hierarquia.ls-C[edit logical systems ls-C firewall] Consequentemente, as referências do sistema lógico para usar os filtros de firewall stateless configurados em .fe-0/3/2.0filter1fredls-C
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referência válida a um filtro de firewall fora do sistema lógico
Esta configuração de exemplo ilustra referências resolvíveis de um objeto não-firewall em um sistema lógico a dois filtros de firewall.
No cenário a seguir, o firewall stateless filtra e é aplicado à interface lógica no sistema lógico.filter1fredfe-0/3/2.0ls-C
O filtro é definido na configuração principal do firewall.
filter1O filtro é definido na configuração principal do firewall.
fred
Como não contém nenhuma declaração de filtro de firewall, o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de hierarquia.ls-C[edit firewall] Consequentemente, as referências do sistema lógico para usar os filtros de firewall stateless configurados na configuração principal do firewall.fe-0/3/2.0filter1fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.