Verweise von einem Firewallfilter in einem logischen System auf Nicht-Firewall-Objekte
Auflösung von Verweisen von einem Firewallfilter auf Nicht-Firewall-Objekte
In vielen Fällen verweist eine Firewallkonfiguration auf Objekte außerhalb der Firewallkonfiguration. In der Regel muss das referenzierte Objekt nach demselben logischen System wie das referenzierende Objekt definiert werden. Es gibt jedoch Fälle, in denen die Konfiguration des referenzierten Objekts auf der [edit logical-systems logical-system-name] Hierarchieebene nicht unterstützt wird.
Gültiger Verweis auf ein Nicht-Firewall-Objekt außerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht eine Ausnahme von der allgemeinen Regel, dass die Objekte, auf die von einem Firewallfilter in einem logischen System verwiesen wird, unter demselben logischen System wie das verweisende Objekt definiert werden müssen.
Im folgenden Szenario wird der Dienstfilter inetsf1 auf IPv4-Datenverkehr angewendet, der dem Dienstsatz fred an der logischen Schnittstelle fe-0/3/2.0zugeordnet ist, die sich auf einer adaptiven Dienstschnittstelle befindet.
Der Dienstfilter ist in der Liste der Präfixe
inetsf1definiert und verweist aufls-Bdie Präfixlisteprefix1.Der Dienstsatz
fredwird auf der Ebene der Hauptdiensthierarchie definiert, und die Richtlinienframeworksoftware durchsucht die[edit services]Hierarchie nach der Definition desfredDienstsatzes.
Weil Serviceregeln nicht in logischen Systemen konfiguriert werden können. Firewallfilterkonfigurationen in der [edit logical-systems logical-system logical-system-name] Hierarchie dürfen auf Servicegruppen außerhalb der logischen Systemhierarchie verweisen.
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}