Références d’un filtre de pare-feu dans un système logique à des objets sans pare-feu
Résolution des références d’un filtre de pare-feu à des objets sans pare-feu
Dans de nombreux cas, une configuration de pare-feu fait référence à des objets extérieurs à la configuration du pare-feu. En règle générale, l’objet référencé doit être défini selon le même système logique que l’objet référençant. Toutefois, il existe des cas où la configuration de l’objet référencé n’est pas prise en charge au niveau de la [edit logical-systems logical-system-name]
hiérarchie.
Référence valide à un objet autre que le pare-feu en dehors du système logique
Cet exemple de configuration illustre une exception à la règle générale selon laquelle les objets référencés par un filtre de pare-feu dans un système logique doivent être définis sous le même système logique que l’objet de référencement.
Dans le scénario suivant, le filtre inetsf1
de service est appliqué au trafic IPv4 associé à l’ensemble fe-0/3/2.0
fred
de services au niveau de l’interface logique, qui se trouve sur une interface de services adaptatifs.
Le filtre
inetsf1
de service est défini dansls-B
la listeprefix1
des préfixes et y fait référence.L’ensemble
fred
de services est défini au niveau de la hiérarchie des services principaux, et le logiciel Policy Framework recherche dans la[edit services]
hiérarchie la définition de l’ensemblefred
de services.
En effet, les règles de service ne peuvent pas être configurées dans les systèmes logiques. Les configurations de filtres de pare-feu dans la hiérarchie sont autorisées à référencer des ensembles de services en dehors de la [edit logical-systems logical-system logical-system-name]
hiérarchie du système logique.
[edit] logical-systems { ls-B { interfaces { fe-0/3/2 { unit 0 { family inet { service { input { service-set fred service-filterinetsf1
; } } } } } } policy-options { prefix-listprefix1
{ 1.1.0.0/16; 1.2.0.0/16; 1.3.0.0/16; } } firewall { # Under logical-system ’ls-B’. family inet { filterfilter1
{ term one { from { source-address { 12.1.0.0/16; } } then { reject host-unknown; } } term two { from { source-address { 12.2.0.0/16; } } then policerpol1
; } } service-filter inetsf1 { term term1 { from { source-prefix-list { prefix1; } } then count prefix1; } } } policerpol1
{ if-exceeding { bandwidth-limit 401k; burst-size-limit 50k; } then discard; } } } } # End of logical systems configuration. services { # Main services hierarchy level. service-setfred
{ max-flows 100; interface-service { service-interface sp-1/2/0.0; } } }