Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Nicht unterstützte Aktionen für Firewallfilter in logischen Systemen

Tabelle 1 Beschreibt die Firewallfilteraktionen, die auf Hierarchieebene [edit firewall] unterstützt werden, aber nicht auf der Hierarchieebene [edit logical-systems logical-system-name firewall] .

Tabelle 1: Nicht unterstützte Aktionen für Firewallfilter in logischen Systemen

Firewall-Filteraktion

Beispiel

Beschreibung
Beenden von Aktionen, die in einem logischen System nicht unterstützt werden

logical-system

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            logical-system fred;
                        }
                    }
                }
            }
        }
    }
}

Da sich die logical-system Aktion auf fredein logisches System bezieht, das außerhalb des lokalen logischen Systems definiert ist, wird diese Aktion nicht unterstützt.
Nicht beendende Aktionen, die in einem logischen System nicht unterstützt werden

ipsec-sa

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            ipsec-sa barney;
                        }
                    }
                }
            }
        }
    }
}

Da der ipsec-sa Aktionsmodifizierer auf eine Sicherheitszuordnung verweist barney, die außerhalb des lokalen logischen Systems definiert ist, wird diese Aktion nicht unterstützt.

next-hop-group

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            next-hop-group fred;
                        }
                    }
                }
            }
        }
    }
}

Da sich die next-hop-group Aktion auf fredein auf der Hierarchieebene [edit forwarding-options next-hop-group] definiertes Objekt bezieht, wird diese Aktion nicht unterstützt.

port-mirror

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            port-mirror;
                        }
                    }
                }
            }
        }
    }
}

Da die port-mirror Aktion auf einer Konfiguration basiert, die auf Hierarchieebene [edit forwarding-options port-mirroring] definiert ist, wird diese Aktion nicht unterstützt.

sample

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            sample;
                        }
                    }
                }
            }
        }
    }
}

In diesem Beispiel hängt die sample Aktion von der Samplingkonfiguration ab, die in der Hierarchie [edit forwarding-options] definiert ist. Daher wird die sample Aktion nicht unterstützt.

syslog

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter icmp-syslog {
                    term icmp-match {
                        from {
                            address {
                                192.168.207.222/32;
                            }
                            protocol icmp;
                        }
                        then {
                            count packets;
                            syslog;
                            accept;
                        }
                    }
                    term default {
                        then accept;
                    }
                }
            }
        }
    }
}

In diesem Beispiel muss mindestens ein Systemprotokoll (system syslog file filename) mit aktivierter firewall Funktion zum Speichern der Protokolle des icmp-syslog Filters vorhanden sein.

Da diese Firewallkonfiguration auf einer Konfiguration außerhalb des logischen Systems beruht, wird der syslog Aktionsmodifizierer nicht unterstützt.

Verwandte Themen