Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Acciones no admitidas para filtros de firewall en sistemas lógicos

Tabla 1 Describe las acciones de filtro de firewall que se admiten en el nivel de jerarquía, pero que no se admiten en el nivel de jerarquía.[edit firewall][edit logical-systems logical-system-name firewall]

Tabla 1: Acciones no admitidas para filtros de firewall en sistemas lógicos

Acción de filtro de firewall

Ejemplo

Description
Terminar acciones no admitidas en un sistema lógico

logical-system

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            logical-system fred;
                        }
                    }
                }
            }
        }
    }
}

Dado que la acción hace referencia a —un sistema lógico definido fuera del sistema lógico local—, esta acción no se admite.logical-systemfred
Acciones de no terminación no admitidas en un sistema lógico

ipsec-sa

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            ipsec-sa barney;
                        }
                    }
                }
            }
        }
    }
}

Dado que el modificador de acción hace referencia a una asociación de seguridad definida fuera del sistema lógico local, esta acción no es compatible.ipsec-sabarney

next-hop-group

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            next-hop-group fred;
                        }
                    }
                }
            }
        }
    }
}

Dado que la acción hace referencia a —un objeto definido en el nivel de jerarquía—, esta acción no es compatible.next-hop-groupfred[edit forwarding-options next-hop-group]

port-mirror

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            port-mirror;
                        }
                    }
                }
            }
        }
    }
}

Dado que la acción se basa en una configuración definida en el nivel de jerarquía, esta acción no es compatible.port-mirror[edit forwarding-options port-mirroring]

sample

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            sample;
                        }
                    }
                }
            }
        }
    }
}

En este ejemplo, la acción depende de la configuración de muestreo definida en la jerarquía.sample[edit forwarding-options] Por lo tanto, no se admite la acción.sample

syslog

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter icmp-syslog {
                    term icmp-match {
                        from {
                            address {
                                192.168.207.222/32;
                            }
                            protocol icmp;
                        }
                        then {
                            count packets;
                            syslog;
                            accept;
                        }
                    }
                    term default {
                        then accept;
                    }
                }
            }
        }
    }
}

En este ejemplo, debe haber al menos un registro del sistema ( con la función habilitada para que se almacenen los registros del filtro.system syslog file filename)firewallicmp-syslog

Dado que esta configuración de firewall se basa en una configuración externa al sistema lógico, no se admite el modificador de acción.syslog

Temas relacionados