Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

逻辑系统中防火墙过滤器的不支持操作

表 1 介绍了层次 [edit firewall] 结构级别上支持的但层次结构级别不支持的 [edit logical-systems logical-system-name firewall] 防火墙过滤器操作。

表 1: 逻辑系统中防火墙过滤器的不支持操作

防火墙过滤器操作

例子

说明

逻辑系统中不支持的终止操作

logical-system

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            logical-system fred;
                        }
                    }
                }
            }
        }
    }
}

由于该 logical-system 操作指的是 fred在本地逻辑系统之外定义的逻辑系统,因此不支持此操作。

逻辑系统中不支持的非端点操作

ipsec-sa

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            ipsec-sa barney;
                        }
                    }
                }
            }
        }
    }
}

由于操作 ipsec-sa 修改器参考 barney— 本地逻辑系统外部定义的安全关联 — 因此不支持此操作。

next-hop-group

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            next-hop-group fred;
                        }
                    }
                }
            }
        }
    }
}

由于该 next-hop-group 操作指的是 fred在层次结构级别中定义的 [edit forwarding-options next-hop-group] 对象,因此不支持此操作。

port-mirror

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            port-mirror;
                        }
                    }
                }
            }
        }
    }
}

由于该 port-mirror 操作依赖于层级定义的 [edit forwarding-options port-mirroring] 配置,因此不支持此操作。

sample

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            sample;
                        }
                    }
                }
            }
        }
    }
}

在此示例中 sample ,该操作取决于在层次结构下定义的 [edit forwarding-options] 抽样配置。因此, sample 不支持该操作。

syslog

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter icmp-syslog {
                    term icmp-match {
                        from {
                            address {
                                192.168.207.222/32;
                            }
                            protocol icmp;
                        }
                        then {
                            count packets;
                            syslog;
                            accept;
                        }
                    }
                    term default {
                        then accept;
                    }
                }
            }
        }
    }
}

在此示例中,必须至少有一个系统日志(system syslog file filename)firewall启用该设备以用于icmp-syslog存储过滤器的日志)。

由于此防火墙配置依赖于逻辑系统外部的配置, syslog 因此不支持操作修改器。