Verweise von einem Firewallfilter in einem logischen System auf Nicht-Firewall-Objekte
Auflösung von Verweisen von einem Firewallfilter auf Nicht-Firewall-Objekte
In vielen Fällen verweist eine Firewallkonfiguration auf Objekte außerhalb der Firewallkonfiguration. In der Regel muss das referenzierte Objekt nach demselben logischen System wie das referenzierende Objekt definiert werden. Es gibt jedoch Fälle, in denen die Konfiguration des referenzierten Objekts auf der Hierarchieebene nicht unterstützt wird.[edit logical-systems logical-system-name]
Gültiger Verweis auf ein Nicht-Firewall-Objekt außerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht eine Ausnahme von der allgemeinen Regel, dass die Objekte, auf die von einem Firewallfilter in einem logischen System verwiesen wird, unter demselben logischen System wie das verweisende Objekt definiert werden müssen.
Im folgenden Szenario wird der Dienstfilter auf IPv4-Datenverkehr angewendet, der dem Dienstsatz an der logischen Schnittstellezugeordnet ist, die sich auf einer Schnittstelle für adaptive Dienste befindet.inetsf1fredfe-0/3/2.0
Der Dienstfilter ist in der Liste der Präfixe definiert und verweist auf die Präfixliste .
inetsf1ls-Bprefix1Der Dienstsatz wird auf der Ebene der Hauptdiensthierarchie definiert, und die Richtlinienframeworksoftware durchsucht die Hierarchie nach der Definition des Dienstsatzes.
fred[edit services]fred
Weil Serviceregeln nicht in logischen Systemen konfiguriert werden können. Firewallfilterkonfigurationen in der Hierarchie dürfen auf Servicegruppen außerhalb der logischen Systemhierarchie verweisen.[edit logical-systems logical-system logical-system-name]
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}