論理システムのファイアウォールフィルターから非ファイアウォールオブジェクトへの参照
ファイアウォールフィルターからファイアウォール以外のオブジェクトへの参照の解決
多くの場合、ファイアウォール設定はファイアウォール設定外のオブジェクトを参照します。一般的な規則として、参照されるオブジェクトは、参照元オブジェクトと同じ論理システムの下で定義する必要があります。ただし、参照されるオブジェクトの構成が階層レベルでサポートされていない 場合があります。[edit logical-systems logical-system-name]
論理システム外の非ファイアウォール オブジェクトへの有効な参照
この構成例では、論理システム内の ファイアウォールフィルター によって参照されるオブジェクトは、参照元オブジェクトと同じ論理システムの下で定義されなければならないという一般的な規則の例外を示しています。
次のシナリオでは、サービスフィルタは、適応サービスインターフェイス上にある論理インターフェイスで設定されたサービスに関連付けられたIPv4トラフィックに適用されます。inetsf1fredfe-0/3/2.0
サービスフィルター は、 で定義され、プレフィックスリストを参照します 。
inetsf1ls-Bprefix1サービス セットはメイン サービス階層レベルで定義され、ポリシー フレームワーク ソフトウェアは階層でサービス セットの定義を検索します。
fred[edit services]fred
サービス・ルールは論理システムで構成できないためです。階層内の ファイアウォールフィルター設定は、論理システム階層外の サービスセット を参照できます。[edit logical-systems logical-system logical-system-name]
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}