Referências de um objeto nonfirewall em um sistema lógico para um filtro de firewall
Resolução de referências de um objeto nonfirewall a um filtro de firewall
Se um objeto filtrado sem fogo em um sistema lógico fizer referência a um objeto em um filtro de firewall configurado em um sistema lógico, a referência será resolvida usando a seguinte lógica:
Se o objeto do filtro não-fogo estiver configurado em um sistema lógico que inclua declarações de configuração de filtro de firewall, o software da estrutura de políticas pesquisa o nível hierárquico
[edit logical-systems logical-system-name firewall]. As configurações de filtro de firewall que pertencem a outros sistemas lógicos ou ao nível de hierarquia principal[edit firewall]não são pesquisadas.Se o objeto do filtro não-fogo estiver configurado em um sistema lógico que não inclua nenhuma declaração de configuração de filtro de firewall, o software da estrutura de políticas pesquisa as configurações de firewall definidas no nível de
[edit firewall]hierarquia.
Referência inválida a um filtro de firewall fora do sistema lógico
Esta configuração de exemplo ilustra uma referência insolvível de um objeto nãofirewall em um sistema lógico a um filtro de firewall.
No cenário a seguir, o firewall stateless filtra filter1 e fred é aplicado à interface lógica fe-0/3/2.0 no sistema ls-Clógico.
O filtro
filter1é definido emls-C.O filtro
fredé definido na configuração principal do firewall.
Como ls-C contém declarações de filtro de firewall (para filter1), o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de [edit logical systems ls-C firewall] hierarquia. Consequentemente, a referência do fe-0/3/2.0 sistema lógico para fred a configuração principal do firewall não pode ser resolvida.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referência válida a um filtro de firewall dentro do sistema lógico
Esta configuração de exemplo ilustra referências resolvíveis de um objeto não-firewall em um sistema lógico a dois filtros de firewall.
No cenário a seguir, o firewall stateless filtra filter1 e fred é aplicado à interface fe-0/3/2.0 lógica no sistema ls-Clógico.
O filtro
filter1é definido emls-C.O filtro
fredé definido els-Ctambém na configuração principal do firewall.
Como ls-C contém declarações de filtro de firewall, o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de [edit logical systems ls-C firewall] hierarquia. Consequentemente, as referências do fe-0/3/2.0 sistema lógico para filter1 usar fred os filtros de firewall stateless configurados em ls-C.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referência válida a um filtro de firewall fora do sistema lógico
Esta configuração de exemplo ilustra referências resolvíveis de um objeto não-firewall em um sistema lógico a dois filtros de firewall.
No cenário a seguir, o firewall stateless filtra filter1 e fred é aplicado à interface fe-0/3/2.0 lógica no sistema ls-Clógico.
O filtro
filter1é definido na configuração principal do firewall.O filtro
fredé definido na configuração principal do firewall.
Como ls-C não contém nenhuma declaração de filtro de firewall, o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de [edit firewall] hierarquia. Consequentemente, as referências do fe-0/3/2.0 sistema lógico para filter1 usar os fred filtros de firewall stateless configurados na configuração principal do firewall.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.