逻辑系统中防火墙过滤器不支持的操作
表 1 介绍在层次结构级别受 支持但在层次结构级别不支持的 防火墙过滤器操作。[edit firewall][edit logical-systems logical-system-name firewall]
防火墙过滤器操作 |
示例 |
Description |
|---|---|---|
| 逻辑系统中不支持的终止操作 | ||
|
[edit]
logical-systems {
ls1 {
firewall {
family inet {
filter foo {
term one {
from {
source-address 10.1.0.0/16;
}
then {
logical-system fred;
}
}
}
}
}
}
}
|
由于操作引用(在本地逻辑系统外部定义的逻辑系统),因此不支持此操作。 |
| 逻辑系统中不支持的非终止操作 | ||
|
[edit]
logical-systems {
ls1 {
firewall {
family inet {
filter foo {
term one {
from {
source-address 10.1.0.0/16;
}
then {
ipsec-sa barney;
}
}
}
}
}
}
}
|
由于操作修饰符引用(在本地逻辑系统外部定义的安全关联),因此不支持此操作。 |
|
[edit]
logical-systems {
ls1 {
firewall {
family inet {
filter foo {
term one {
from {
source-address 10.1.0.0/16;
}
then {
next-hop-group fred;
}
}
}
}
}
}
}
|
由于操作引用的是在层次结构级别定义的对象,因此不支持此操作。 |
|
[edit]
logical-systems {
ls1 {
firewall {
family inet {
filter foo {
term one {
from {
source-address 10.1.0.0/16;
}
then {
port-mirror;
}
}
}
}
}
}
}
|
由于操作依赖于在层次结构级别定义的配置,因此不支持此操作。 |
|
[edit]
logical-systems {
ls1 {
firewall {
family inet {
filter foo {
term one {
from {
source-address 10.1.0.0/16;
}
then {
sample;
}
}
}
}
}
}
}
|
在此示例中,操作 取决于在层次结构下 定义的采样配置。 |
|
[edit]
logical-systems {
ls1 {
firewall {
family inet {
filter icmp-syslog {
term icmp-match {
from {
address {
192.168.207.222/32;
}
protocol icmp;
}
then {
count packets;
syslog;
accept;
}
}
term default {
then accept;
}
}
}
}
}
}
|
在此示例中,必须至少有一个系统日志(启用了用于存储过滤器日志的工具。 由于此防火墙配置依赖于逻辑系统外部的配置, 因此不支持操作修饰符。 |