Auf dieser Seite
Auflösung von Verweisen von einem Nicht-Firewall-Objekt auf einen Firewall-Filter
Ungültiger Verweis auf einen Firewallfilter außerhalb des logischen Systems
Gültiger Verweis auf einen Firewallfilter innerhalb des logischen Systems
Gültiger Verweis auf einen Firewallfilter außerhalb des logischen Systems
Verweise von einem Nicht-Firewall-Objekt in einem logischen System auf einen Firewallfilter
Auflösung von Verweisen von einem Nicht-Firewall-Objekt auf einen Firewall-Filter
Wenn ein Nicht-Firewall-Filterobjekt in einem logischen System auf ein Objekt in einem Firewallfilter verweist, der in einem logischen System konfiguriert ist, wird der Verweis mit der folgenden Logik aufgelöst:
Wenn das Nicht-Firewall-Filterobjekt in einem logischen System konfiguriert ist, das Konfigurationsanweisungen für Firewallfilter enthält, durchsucht die Richtlinienframeworksoftware die
[edit logical-systems logical-system-name firewall]Hierarchieebene. Firewall-Filterkonfigurationen, die zu anderen logischen Systemen oder zur Haupthierarchieebene[edit firewall]gehören, werden nicht durchsucht.Wenn das Nicht-Firewall-Filterobjekt in einem logischen System konfiguriert ist, das keine Konfigurationsanweisungen für Firewallfilter enthält, durchsucht die Richtlinienframeworksoftware die auf Hierarchieebene
[edit firewall]definierten Firewallkonfigurationen.
Ungültiger Verweis auf einen Firewallfilter außerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht einen nicht auflösbaren Verweis von einem Nicht-Firewall-Objekt in einem logischen System auf einen Firewallfilter.
Im folgenden Szenario filtert filter1 die zustandslose Firewall und fred wird auf die logische Schnittstelle fe-0/3/2.0 im logischen System ls-Cangewendet.
Der Filter
filter1ist inls-Cdefiniert.Der Filter
fredwird in der Hauptkonfiguration der Firewall definiert.
Da ls-C sie Firewallfilteranweisungen (for filter1) enthält, löst die Richtlinienframeworksoftware Verweise auf und von Firewallfiltern auf, indem sie die Hierarchieebene [edit logical systems ls-C firewall] durchsucht. Folglich kann der Verweis von fe-0/3/2.0 im logischen System auf fred in der Haupt-Firewall-Konfiguration nicht aufgelöst werden.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Gültiger Verweis auf einen Firewallfilter innerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht auflösbare Verweise von einem Nicht-Firewall-Objekt in einem logischen System auf zwei Firewall-Filter.
Im folgenden Szenario filtert filter1 die zustandslose Firewall und fred wird auf die logische Schnittstelle fe-0/3/2.0 im logischen System ls-Cangewendet.
Der Filter
filter1ist inls-Cdefiniert.Der Filter
fredwird inls-Cund auch in der Hauptkonfiguration der Firewall definiert.
Da ls-C sie Firewallfilteranweisungen enthält, löst die Richtlinienframeworksoftware Verweise auf und von Firewallfiltern auf, indem sie die Hierarchieebene [edit logical systems ls-C firewall] durchsucht. Folglich werden die Verweise von fe-0/3/2.0 im logischen System auf filter1 und fred verwenden die zustandslosen Firewallfilter, die in konfiguriert sind ls-C.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Gültiger Verweis auf einen Firewallfilter außerhalb des logischen Systems
Diese Beispielkonfiguration veranschaulicht auflösbare Verweise von einem Nicht-Firewall-Objekt in einem logischen System auf zwei Firewall-Filter.
Im folgenden Szenario filtert filter1 die zustandslose Firewall und fred wird auf die logische Schnittstelle fe-0/3/2.0 im logischen System ls-Cangewendet.
Der Filter
filter1wird in der Hauptkonfiguration der Firewall definiert.Der Filter
fredwird in der Hauptkonfiguration der Firewall definiert.
Da ls-C sie keine Firewallfilteranweisungen enthält, löst die Richtlinienframeworksoftware Verweise auf und von Firewallfiltern auf, indem sie die Hierarchieebene [edit firewall] durchsucht. Folglich werden die Verweise aus fe-0/3/2.0 im logischen System auf die fred zustandslosen Firewallfilter verwendetfilter1, die in der Hauptkonfiguration der Firewall konfiguriert sind.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.