Sur cette page
Références d’un objet autre qu’un pare-feu dans un système logique à un filtre de pare-feu
Résolution des références d’un objet autre qu’un pare-feu à un filtre de pare-feu
Si un objet de filtre autre qu’un pare-feu dans un système logique fait référence à un objet dans un filtre de pare-feu configuré dans un système logique, la référence est résolue à l’aide de la logique suivante :
Si l’objet filtre autre que le pare-feu est configuré dans un système logique qui inclut des instructions de configuration de filtre de pare-feu, le logiciel Policy Framework effectue une recherche au niveau de la
[edit logical-systems logical-system-name firewall]hiérarchie. Les configurations de filtre de pare-feu appartenant à d’autres systèmes logiques ou au niveau hiérarchique principal[edit firewall]ne sont pas recherchées.Si l’objet filtre autre que le pare-feu est configuré dans un système logique qui n’inclut aucune instruction de configuration de filtre de pare-feu, le logiciel d’infrastructure de stratégie recherche les configurations de pare-feu définies au niveau de la
[edit firewall]hiérarchie.
Référence non valide à un filtre de pare-feu en dehors du système logique
Cet exemple de configuration illustre une référence insoluble d’un objet autre qu’un pare-feu dans un système logique à un filtre de pare-feu.
Dans le scénario suivant, les filtres filter1 de pare-feu sans état et fred sont appliqués à l’interface fe-0/3/2.0 logique dans le système ls-Clogique .
Le filtre
filter1est défini dansls-C.Le filtre
fredest défini dans la configuration principale du pare-feu.
Comme il ls-C contient des instructions de filtre de pare-feu (for filter1), le logiciel d’infrastructure de stratégies résout les références aux filtres de pare-feu en effectuant une recherche au [edit logical systems ls-C firewall] niveau hiérarchique. Par conséquent, la référence de dans le système logique à fred dans la configuration principale du fe-0/3/2.0 pare-feu ne peut pas être résolue.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Référence valide à un filtre de pare-feu dans le système logique
Cet exemple de configuration illustre les références résolvables d’un objet autre que le pare-feu dans un système logique à deux filtres de pare-feu.
Dans le scénario suivant, les filtres filter1 de pare-feu sans état et fred sont appliqués à l’interface fe-0/3/2.0 logique dans le système ls-Clogique .
Le filtre
filter1est défini dansls-C.Le filtre
fredest défini dans et également dansls-Cla configuration principale du pare-feu.
Comme ls-C il contient des instructions de filtre de pare-feu, le logiciel Policy Framework résout les références aux filtres de pare-feu en effectuant une recherche au niveau de la [edit logical systems ls-C firewall] hiérarchie. Par conséquent, les références de dans le système logique vers filter1 et fred utilisent les filtres de fe-0/3/2.0 pare-feu sans état configurés dans ls-C.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Référence valide à un filtre de pare-feu en dehors du système logique
Cet exemple de configuration illustre les références résolvables d’un objet autre que le pare-feu dans un système logique à deux filtres de pare-feu.
Dans le scénario suivant, les filtres filter1 de pare-feu sans état et fred sont appliqués à l’interface fe-0/3/2.0 logique dans le système ls-Clogique .
Le filtre
filter1est défini dans la configuration principale du pare-feu.Le filtre
fredest défini dans la configuration principale du pare-feu.
Comme ls-C il ne contient pas d’instructions de filtre de pare-feu, le logiciel Policy Framework résout les références aux filtres de pare-feu en effectuant une recherche au [edit firewall] niveau hiérarchique. Par conséquent, les références de dans le système logique vers filter1 et fred utilisent les filtres de fe-0/3/2.0 pare-feu sans état configurés dans la configuration principale du pare-feu.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.