Referencias de un objeto que no es firewall en un sistema lógico a un filtro de firewall
Resolución de referencias de un objeto que no es firewall a un filtro de firewall
Si un objeto de filtro que no es firewall en un sistema lógico hace referencia a un objeto en un filtro de firewall configurado en un sistema lógico, la referencia se resuelve mediante la siguiente lógica:
Si el objeto de filtro que no es firewall está configurado en un sistema lógico que incluye instrucciones de configuración de filtro de firewall, el software del marco de políticas busca en el nivel de jerarquía.
[edit logical-systems logical-system-name firewall]
No se buscan configuraciones de filtro de firewall que pertenezcan a otros sistemas lógicos o al nivel de jerarquía principal .[edit firewall]
Si el objeto de filtro que no es de firewall está configurado en un sistema lógico que no incluye ninguna instrucción de configuración de filtro de firewall, el software del marco de políticas busca en las configuraciones de firewall definidas en el nivel de jerarquía.
[edit firewall]
Referencia no válida a un filtro de firewall fuera del sistema lógico
Esta configuración de ejemplo ilustra una referencia irresoluble desde un objeto que no es firewall en un sistema lógico a un filtro de firewall.
En el siguiente escenario, el firewall sin estado filtra y se aplica a la interfaz lógica en el sistema lógico.filter1
fred
fe-0/3/2.0
ls-C
El filtro se define en .
filter1
ls-C
El filtro se define en la configuración principal del firewall.
fred
Dado que contiene instrucciones de filtro de firewall (for ), el software del marco de políticas resuelve las referencias hacia y desde los filtros de firewall mediante la búsqueda en el nivel de jerarquía.ls-C
filter1
[edit logical systems ls-C firewall]
En consecuencia, no se puede resolver la referencia desde en el sistema lógico hasta en la configuración principal del firewall.fe-0/3/2.0
fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referencia válida a un filtro de firewall dentro del sistema lógico
En este ejemplo de configuración se ilustran las referencias resolubles de un objeto que no es firewall en un sistema lógico a dos filtros de firewall.
En el siguiente escenario, el firewall sin estado filtra y se aplica a la interfaz lógica en el sistema lógico.filter1
fred
fe-0/3/2.0
ls-C
El filtro se define en .
filter1
ls-C
El filtro se define en y también en la configuración principal del firewall.
fred
ls-C
Dado que contiene instrucciones de filtro de firewall, el software del marco de políticas resuelve las referencias hacia y desde los filtros de firewall mediante la búsqueda en el nivel de jerarquía.ls-C
[edit logical systems ls-C firewall]
Por consiguiente, las referencias desde en el sistema lógico a y utilizan los filtros de firewall sin estado configurados en .fe-0/3/2.0
filter1
fred
ls-C
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referencia válida a un filtro de firewall fuera del sistema lógico
En este ejemplo de configuración se ilustran las referencias resolubles de un objeto que no es firewall en un sistema lógico a dos filtros de firewall.
En el siguiente escenario, el firewall sin estado filtra y se aplica a la interfaz lógica en el sistema lógico.filter1
fred
fe-0/3/2.0
ls-C
El filtro se define en la configuración principal del firewall.
filter1
El filtro se define en la configuración principal del firewall.
fred
Dado que no contiene ninguna instrucción de filtro de firewall, el software del marco de políticas resuelve las referencias hacia y desde los filtros de firewall mediante la búsqueda en el nivel de jerarquía.ls-C
[edit firewall]
En consecuencia, las referencias desde en el sistema lógico a y utilizan los filtros de firewall sin estado configurados en la configuración principal del firewall.fe-0/3/2.0
filter1
fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.