Références d’un filtre de pare-feu dans un système logique à des objets sans pare-feu
Résolution des références d’un filtre de pare-feu à des objets sans pare-feu
Dans de nombreux cas, une configuration de pare-feu fait référence à des objets extérieurs à la configuration du pare-feu. En règle générale, l’objet référencé doit être défini selon le même système logique que l’objet référençant. Toutefois, il existe des cas où la configuration de l’objet référencé n’est pas prise en charge au niveau de la [edit logical-systems logical-system-name] hiérarchie.
Référence valide à un objet autre que le pare-feu en dehors du système logique
Cet exemple de configuration illustre une exception à la règle générale selon laquelle les objets référencés par un filtre de pare-feu dans un système logique doivent être définis sous le même système logique que l’objet de référencement.
Dans le scénario suivant, le filtre inetsf1 de service est appliqué au trafic IPv4 associé à l’ensemble fe-0/3/2.0fred de services au niveau de l’interface logique, qui se trouve sur une interface de services adaptatifs.
Le filtre
inetsf1de service est défini dansls-Bla listeprefix1des préfixes et y fait référence.L’ensemble
fredde services est défini au niveau de la hiérarchie des services principaux, et le logiciel Policy Framework recherche dans la[edit services]hiérarchie la définition de l’ensemblefredde services.
En effet, les règles de service ne peuvent pas être configurées dans les systèmes logiques. Les configurations de filtres de pare-feu dans la hiérarchie sont autorisées à référencer des ensembles de services en dehors de la [edit logical-systems logical-system logical-system-name] hiérarchie du système logique.
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}