論理システムのファイアウォールフィルターから非ファイアウォールオブジェクトへの参照
ファイアウォールフィルターからファイアウォール以外のオブジェクトへの参照の解決
多くの場合、ファイアウォール設定はファイアウォール設定外のオブジェクトを参照します。一般的な規則として、参照されるオブジェクトは、参照元オブジェクトと同じ論理システムの下で定義する必要があります。ただし、参照されるオブジェクトの構成が [edit logical-systems logical-system-name]
階層レベルでサポートされていない場合があります。
論理システム外の非ファイアウォール オブジェクトへの有効な参照
この構成例では、論理システム内の ファイアウォールフィルター によって参照されるオブジェクトは、参照元オブジェクトと同じ論理システムの下で定義されなければならないという一般的な規則の例外を示しています。
次のシナリオでは、サービスフィルターinetsf1
は、適応サービスインターフェイス上にある論理インターフェイス fe-0/3/2.0
でfred
サービスセットに関連付けられたIPv4トラフィックに適用されます。
サービス フィルター
inetsf1
はls-B
で定義され、プレフィックス リストprefix1
を参照します。サービス セット
fred
はメイン サービス階層レベルで定義され、ポリシー フレームワーク ソフトウェアは[edit services]
階層でfred
サービス セットの定義を検索します。
サービス・ルールは論理システムで構成できないためです。 [edit logical-systems logical-system logical-system-name]
階層内のファイアウォールフィルター設定は、論理システム階層外の サービス セット を参照できます。
[edit] logical-systems { ls-B { interfaces { fe-0/3/2 { unit 0 { family inet { service { input { service-set fred service-filterinetsf1
; } } } } } } policy-options { prefix-listprefix1
{ 1.1.0.0/16; 1.2.0.0/16; 1.3.0.0/16; } } firewall { # Under logical-system ’ls-B’. family inet { filterfilter1
{ term one { from { source-address { 12.1.0.0/16; } } then { reject host-unknown; } } term two { from { source-address { 12.2.0.0/16; } } then policerpol1
; } } service-filter inetsf1 { term term1 { from { source-prefix-list { prefix1; } } then count prefix1; } } } policerpol1
{ if-exceeding { bandwidth-limit 401k; burst-size-limit 50k; } then discard; } } } } # End of logical systems configuration. services { # Main services hierarchy level. service-setfred
{ max-flows 100; interface-service { service-interface sp-1/2/0.0; } } }