Richtlinien für die Konfiguration und Anwendung von Firewallfiltern in logischen Systemen
Anweisungshierarchie für die Konfiguration von Firewall-Filtern in logischen Systemen
Um einen Firewallfilter in einem logischen System zu konfigurieren, schließen Sie die Anweisung , oder auf Hierarchieebene ein.filter
service-filter
simple-filter
[edit logical-systems logical-system-name firewall family family-name]
[edit] logical systems { logical-system-name { firewall { family family-name { filter filter-name { interface-specific; physical-interface-filter; term term-name { filter filter-name; from { match-conditions; } then { actions; } } } service-filter filter-name { # For ’family inet’ or ’family inet6’ only. term term-name { from { match-conditions; } then { actions; } } } simple-filter filter-name { # For ’family inet’ only. term term-name { from { match-conditions; } then { actions; } } } } } } }
Filtertypen in logischen Systemen
Es gibt keine besonderen Einschränkungen für die Typen von zustandslosen Firewallfiltertypen, die Sie in logischen Systemen konfigurieren können.
In einem logischen System können Sie die gleichen Typen von zustandslosen Firewall-Filtern verwenden, die auf einem physischen Router oder Switch verfügbar sind:
Standardmäßige zustandslose Firewall-Filter
Service-Filter
Einfache Filter
Firewall-Filterprotokollfamilien in logischen Systemen
Es gibt keine besonderen Einschränkungen für die Protokollfamilien, die mit zustandslosen Firewallfiltern in logischen Systemen unterstützt werden.
In einem logischen System können Sie dieselben Protokollfamilien filtern wie bei einem physischen Router oder Switch.
Standardmäßige zustandslose Firewall-Filter: In logischen Systemen können Sie die folgenden Datenverkehrstypen filtern: Protokollunabhängig, IPv4, IPv6, MPLS, MPLS-Tagged IPv4 oder IPv6, VPLS, Layer 2 Circuit Cross-Connection und Layer 2 Bridging.
Dienstfilter: In logischen Systemen können Sie IPv4- und IPv6-Datenverkehr filtern.
Einfache Filter: In logischen Systemen können Sie nur IPv4-Datenverkehr filtern.
Übereinstimmungsbedingungen für Firewallfilter in logischen Systemen
Es gibt keine besonderen Einschränkungen für die Übereinstimmungsbedingungen, die mit zustandslosen Firewallfiltern in logischen Systemen unterstützt werden.
Firewall-Filteraktionen in logischen Systemen
Es gibt keine besonderen Einschränkungen für die Aktionen, die mit zustandslosen Firewallfiltern in logischen Systemen unterstützt werden.
Anweisungshierarchie für das Anwenden von Firewall-Filtern in logischen Systemen
Um einen Firewallfilter in einem logischen System anzuwenden, schließen Sie die Anweisung , oder in eine logische Schnittstelle im logischen System ein.filter filter-name
service-filter service-filter-name
simple-filter simple-filter-name
Die folgende Konfiguration zeigt die Hierarchieebenen, auf denen Sie die Anweisungen anwenden können:
[edit] logical-systems logical-system-name { interfaces { interface-name { unit logical-unit-number { family family-name { filter { group group-name; input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ] } rpf-check { # For ’family inet’ or ’family inet6’ only. fail-filter filter-name; mode loose; } service { # For ’family inet’ or ’family inet6’ only. input { service-set service-set-name <service-filter service-filter-name>; post-service-filter service-filter-name; } output { service-set service-set-name <service-filter service-filter-name>; } } simple-filter { # For ’family inet’ only. input simple-filter-name; } } } } } }