Referências de um objeto nonfirewall em um sistema lógico para um filtro de firewall
Resolução de referências de um objeto nonfirewall a um filtro de firewall
Se um objeto filtrado sem fogo em um sistema lógico fizer referência a um objeto em um filtro de firewall configurado em um sistema lógico, a referência será resolvida usando a seguinte lógica:
Se o objeto do filtro não-fogo estiver configurado em um sistema lógico que inclua declarações de configuração de filtro de firewall, o software da estrutura de políticas pesquisa o nível hierárquico
[edit logical-systems logical-system-name firewall]
. As configurações de filtro de firewall que pertencem a outros sistemas lógicos ou ao nível de hierarquia principal[edit firewall]
não são pesquisadas.Se o objeto do filtro não-fogo estiver configurado em um sistema lógico que não inclua nenhuma declaração de configuração de filtro de firewall, o software da estrutura de políticas pesquisa as configurações de firewall definidas no nível de
[edit firewall]
hierarquia.
Referência inválida a um filtro de firewall fora do sistema lógico
Esta configuração de exemplo ilustra uma referência insolvível de um objeto nãofirewall em um sistema lógico a um filtro de firewall.
No cenário a seguir, o firewall stateless filtra filter1
e fred
é aplicado à interface lógica fe-0/3/2.0
no sistema ls-C
lógico.
O filtro
filter1
é definido emls-C
.O filtro
fred
é definido na configuração principal do firewall.
Como ls-C
contém declarações de filtro de firewall (para filter1
), o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de [edit logical systems ls-C firewall]
hierarquia. Consequentemente, a referência do fe-0/3/2.0
sistema lógico para fred
a configuração principal do firewall não pode ser resolvida.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referência válida a um filtro de firewall dentro do sistema lógico
Esta configuração de exemplo ilustra referências resolvíveis de um objeto não-firewall em um sistema lógico a dois filtros de firewall.
No cenário a seguir, o firewall stateless filtra filter1
e fred
é aplicado à interface fe-0/3/2.0
lógica no sistema ls-C
lógico.
O filtro
filter1
é definido emls-C
.O filtro
fred
é definido els-C
também na configuração principal do firewall.
Como ls-C
contém declarações de filtro de firewall, o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de [edit logical systems ls-C firewall]
hierarquia. Consequentemente, as referências do fe-0/3/2.0
sistema lógico para filter1
usar fred
os filtros de firewall stateless configurados em ls-C
.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referência válida a um filtro de firewall fora do sistema lógico
Esta configuração de exemplo ilustra referências resolvíveis de um objeto não-firewall em um sistema lógico a dois filtros de firewall.
No cenário a seguir, o firewall stateless filtra filter1
e fred
é aplicado à interface fe-0/3/2.0
lógica no sistema ls-C
lógico.
O filtro
filter1
é definido na configuração principal do firewall.O filtro
fred
é definido na configuração principal do firewall.
Como ls-C
não contém nenhuma declaração de filtro de firewall, o software de estrutura de políticas resolve referências de e para filtros de firewall pesquisando o nível de [edit firewall]
hierarquia. Consequentemente, as referências do fe-0/3/2.0
sistema lógico para filter1
usar os fred
filtros de firewall stateless configurados na configuração principal do firewall.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.