Verweise von einem Firewallfilter in einem logischen System auf Nicht-Firewall-Objekte
Auflösung von Verweisen von einem Firewallfilter auf Nicht-Firewall-Objekte
In vielen Fällen verweist eine Firewallkonfiguration auf Objekte außerhalb der Firewallkonfiguration. In der Regel muss das referenzierte Objekt nach demselben logischen System wie das referenzierende Objekt definiert werden. Es gibt jedoch Fälle, in denen die Konfiguration des referenzierten Objekts auf der Hierarchieebene nicht unterstützt wird.[edit logical-systems logical-system-name]
Gültiger Verweis auf ein Nicht-Firewall-Objekt außerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht eine Ausnahme von der allgemeinen Regel, dass die Objekte, auf die von einem Firewallfilter in einem logischen System verwiesen wird, unter demselben logischen System wie das verweisende Objekt definiert werden müssen.
Im folgenden Szenario wird der Dienstfilter auf IPv4-Datenverkehr angewendet, der dem Dienstsatz an der logischen Schnittstellezugeordnet ist, die sich auf einer Schnittstelle für adaptive Dienste befindet.inetsf1
fred
fe-0/3/2.0
Der Dienstfilter ist in der Liste der Präfixe definiert und verweist auf die Präfixliste .
inetsf1
ls-B
prefix1
Der Dienstsatz wird auf der Ebene der Hauptdiensthierarchie definiert, und die Richtlinienframeworksoftware durchsucht die Hierarchie nach der Definition des Dienstsatzes.
fred
[edit services]
fred
Weil Serviceregeln nicht in logischen Systemen konfiguriert werden können. Firewallfilterkonfigurationen in der Hierarchie dürfen auf Servicegruppen außerhalb der logischen Systemhierarchie verweisen.[edit logical-systems logical-system logical-system-name]
[edit] logical-systems { ls-B { interfaces { fe-0/3/2 { unit 0 { family inet { service { input { service-set fred service-filterinetsf1
; } } } } } } policy-options { prefix-listprefix1
{ 1.1.0.0/16; 1.2.0.0/16; 1.3.0.0/16; } } firewall { # Under logical-system ’ls-B’. family inet { filterfilter1
{ term one { from { source-address { 12.1.0.0/16; } } then { reject host-unknown; } } term two { from { source-address { 12.2.0.0/16; } } then policerpol1
; } } service-filter inetsf1 { term term1 { from { source-prefix-list { prefix1; } } then count prefix1; } } } policerpol1
{ if-exceeding { bandwidth-limit 401k; burst-size-limit 50k; } then discard; } } } } # End of logical systems configuration. services { # Main services hierarchy level. service-setfred
{ max-flows 100; interface-service { service-interface sp-1/2/0.0; } } }