論理システムのファイアウォールフィルターから非ファイアウォールオブジェクトへの参照
ファイアウォールフィルターからファイアウォール以外のオブジェクトへの参照の解決
多くの場合、ファイアウォール設定はファイアウォール設定外のオブジェクトを参照します。一般的な規則として、参照されるオブジェクトは、参照元オブジェクトと同じ論理システムの下で定義する必要があります。ただし、参照されるオブジェクトの構成が [edit logical-systems logical-system-name] 階層レベルでサポートされていない場合があります。
論理システム外の非ファイアウォール オブジェクトへの有効な参照
この構成例では、論理システム内の ファイアウォールフィルター によって参照されるオブジェクトは、参照元オブジェクトと同じ論理システムの下で定義されなければならないという一般的な規則の例外を示しています。
次のシナリオでは、サービスフィルターinetsf1は、適応サービスインターフェイス上にある論理インターフェイス fe-0/3/2.0でfredサービスセットに関連付けられたIPv4トラフィックに適用されます。
サービス フィルター
inetsf1はls-Bで定義され、プレフィックス リストprefix1を参照します。サービス セット
fredはメイン サービス階層レベルで定義され、ポリシー フレームワーク ソフトウェアは[edit services]階層でfredサービス セットの定義を検索します。
サービス・ルールは論理システムで構成できないためです。 [edit logical-systems logical-system logical-system-name] 階層内のファイアウォールフィルター設定は、論理システム階層外の サービス セット を参照できます。
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}