从逻辑系统中的防火墙过滤器到非防火墙对象的引用
从防火墙过滤器到非防火墙对象的引用解析
在许多情况下,防火墙配置引用防火墙配置之外的对象。作为一般规则,引用的对象必须在与引用对象相同的逻辑系统下定义。但是,在某些情况下,层次结构级别不支持 引用对象的配置。[edit logical-systems logical-system-name]
对逻辑系统外部非防火墙对象的有效引用
此示例配置说明了一般规则的例外情况,即逻辑系统中 防火墙过滤器 引用的对象必须在与引用对象相同的逻辑系统下定义。
在以下场景中,服务过滤器将应用于与自适应服务接口上的逻辑接口上的服务集关联的 IPv4 流量。inetsf1fredfe-0/3/2.0
服务过滤器 定义在 和引用前缀列表 中。
inetsf1ls-Bprefix1服务集在主服务层次结构级别定义,策略框架软件在层次结构中搜索服务集的定义。
fred[edit services]fred
因为无法在逻辑系统中配置服务规则。允许层次结构中的 防火墙过滤器配置引用逻辑系统层次结构之外 的服务集 。[edit logical-systems logical-system logical-system-name]
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}