Richtlinien für die Konfiguration und Anwendung von Firewall-Filtern in logischen Systemen
Anweisungshierarchie für die Konfiguration von Firewall-Filtern in logischen Systemen
Um einen Firewall-Filter in einem logischen System zu konfigurieren, schließen Sie den filter, service-filteroder simple-filter die Anweisung auf Hierarchieebene [edit logical-systems logical-system-name firewall family family-name] ein.
[edit]
logical systems {
logical-system-name {
firewall {
family family-name {
filter filter-name {
interface-specific;
physical-interface-filter;
term term-name {
filter filter-name;
from {
match-conditions;
}
then {
actions;
}
}
}
service-filter filter-name { # For ’family inet’ or ’family inet6’ only.
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
simple-filter filter-name { # For ’family inet’ only.
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
}
}
}
}
Filtertypen in logischen Systemen
Es gibt keine besonderen Einschränkungen für die Arten zustandsloser Firewall-Filtertypen, die Sie in logischen Systemen konfigurieren können.
In einem logischen System können Sie die gleichen Arten von zustandslosen Firewall-Filtern verwenden, die auch auf einem physischen Router oder Switch verfügbar sind:
Standardmäßige zustandslose Firewall-Filter
Servicefilter
Einfache Filter
Firewall-Filterprotokollfamilien in logischen Systemen
Es gibt keine besonderen Einschränkungen für die Protokollfamilien, die mit zustandslosen Firewall-Filtern in logischen Systemen unterstützt werden.
In einem logischen System können Sie die gleichen Protokollfamilien wie auf einem physischen Router oder Switch filtern.
Standardmäßige, zustandslose Firewall-Filter– In logischen Systemen können Sie die folgenden Datenverkehrstypen filtern: protokollunabhängig, IPv4, IPv6, MPLS, MPLS-getaggt IPv4 oder IPv6, VPLS, Layer 2 Circuit Cross-Connection und Layer 2 Bridging.
Servicefilter: In logischen Systemen können Sie IPv4- und IPv6-Datenverkehr filtern.
Einfache Filter: In logischen Systemen können Sie nur IPv4-Datenverkehr filtern.
Firewall-Filter stimmen bedingungen in logischen Systemen ab
Es gibt keine besonderen Einschränkungen für die Übereinstimmungsbedingungen, die von zustandslosen Firewall-Filtern in logischen Systemen unterstützt werden.
Firewall-Filteraktionen in logischen Systemen
Es gibt keine besonderen Einschränkungen für die Aktionen, die mit zustandslosen Firewall-Filtern in logischen Systemen unterstützt werden.
Anweisungshierarchie für die Anwendung von Firewall-Filtern in logischen Systemen
Wenn Sie einen Firewallfilter in einem logischen System anwenden möchten, fügen Sie den oder service-filter service-filter-namesimple-filter simple-filter-name die filter filter-nameAnweisung auf eine logische Schnittstelle im logischen System ein.
Die folgende Konfiguration zeigt die Hierarchieebenen, auf denen Sie die Anweisungen anwenden können:
[edit]
logical-systems logical-system-name {
interfaces {
interface-name {
unit logical-unit-number {
family family-name {
filter {
group group-name;
input filter-name;
input-list [ filter-names ];
output filter-name;
output-list [ filter-names ]
}
rpf-check { # For ’family inet’ or ’family inet6’ only.
fail-filter filter-name;
mode loose;
}
service { # For ’family inet’ or ’family inet6’ only.
input {
service-set service-set-name <service-filter service-filter-name>;
post-service-filter service-filter-name;
}
output {
service-set service-set-name <service-filter service-filter-name>;
}
}
simple-filter { # For ’family inet’ only.
input simple-filter-name;
}
}
}
}
}
}