Auf dieser Seite
Auflösung von Verweisen von einem Nicht-Firewall-Objekt auf einen Firewall-Filter
Ungültiger Verweis auf einen Firewallfilter außerhalb des logischen Systems
Gültiger Verweis auf einen Firewallfilter innerhalb des logischen Systems
Gültiger Verweis auf einen Firewallfilter außerhalb des logischen Systems
Verweise von einem Nicht-Firewall-Objekt in einem logischen System auf einen Firewallfilter
Auflösung von Verweisen von einem Nicht-Firewall-Objekt auf einen Firewall-Filter
Wenn ein Nicht-Firewall-Filterobjekt in einem logischen System auf ein Objekt in einem Firewallfilter verweist, der in einem logischen System konfiguriert ist, wird der Verweis mit der folgenden Logik aufgelöst:
Wenn das Nicht-Firewall-Filterobjekt in einem logischen System konfiguriert ist, das Konfigurationsanweisungen für Firewallfilter enthält, durchsucht die Richtlinienframeworksoftware die Hierarchieebene.
[edit logical-systems logical-system-name firewall]Firewall-Filterkonfigurationen, die zu anderen logischen Systemen oder zur Haupthierarchieebene gehören, werden nicht durchsucht.[edit firewall]Wenn das Nicht-Firewall-Filterobjekt in einem logischen System konfiguriert ist, das keine Konfigurationsanweisungen für Firewallfilter enthält, durchsucht die Richtlinienframeworksoftware die auf Hierarchieebene definierten Firewallkonfigurationen.
[edit firewall]
Ungültiger Verweis auf einen Firewallfilter außerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht einen nicht auflösbaren Verweis von einem Nicht-Firewall-Objekt in einem logischen System auf einen Firewallfilter.
Im folgenden Szenario filtert die zustandslose Firewall und wird auf die logische Schnittstelle im logischen System angewendet.filter1fredfe-0/3/2.0ls-C
Der Filter ist in definiert.
filter1ls-CDer Filter wird in der Hauptkonfiguration der Firewall definiert.
fred
Da sie Firewallfilteranweisungen (for ) enthält, löst die Richtlinienframeworksoftware Verweise auf und von Firewallfiltern auf, indem sie die Hierarchieebene durchsucht.ls-Cfilter1[edit logical systems ls-C firewall] Folglich kann der Verweis von im logischen System auf in der Haupt-Firewall-Konfiguration nicht aufgelöst werden.fe-0/3/2.0fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Gültiger Verweis auf einen Firewallfilter innerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht auflösbare Verweise von einem Nicht-Firewall-Objekt in einem logischen System auf zwei Firewall-Filter.
Im folgenden Szenario filtert die zustandslose Firewall und wird auf die logische Schnittstelle im logischen System angewendet.filter1fredfe-0/3/2.0ls-C
Der Filter ist in definiert.
filter1ls-CDer Filter wird in und auch in der Hauptkonfiguration der Firewall definiert.
fredls-C
Da sie Firewallfilteranweisungen enthält, löst die Richtlinienframeworksoftware Verweise auf und von Firewallfiltern auf, indem sie die Hierarchieebene durchsucht.ls-C[edit logical systems ls-C firewall] Folglich werden die Verweise von im logischen System auf und verwenden die zustandslosen Firewallfilter, die in konfiguriert sind .fe-0/3/2.0filter1fredls-C
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Gültiger Verweis auf einen Firewallfilter außerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht auflösbare Verweise von einem Nicht-Firewall-Objekt in einem logischen System auf zwei Firewall-Filter.
Im folgenden Szenario filtert die zustandslose Firewall und wird auf die logische Schnittstelle im logischen System angewendet.filter1fredfe-0/3/2.0ls-C
Der Filter wird in der Hauptkonfiguration der Firewall definiert.
filter1Der Filter wird in der Hauptkonfiguration der Firewall definiert.
fred
Da sie keine Firewallfilteranweisungen enthält, löst die Richtlinienframeworksoftware Verweise auf und von Firewallfiltern auf, indem sie die Hierarchieebene durchsucht.ls-C[edit firewall] Folglich werden die Verweise aus im logischen System auf die zustandslosen Firewallfilter verwendet , die in der Hauptkonfiguration der Firewall konfiguriert sind.fe-0/3/2.0filter1fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.