論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの参照
非ファイアウォールオブジェクトからファイアウォールフィルターへの参照の解決
論理システム内の非ファイアウォール フィルター オブジェクトが、論理システムに設定された ファイアウォール フィルター 内のオブジェクトを参照する場合、参照は次のロジックを使用して解決されます。
非ファイアウォール フィルター オブジェクトが、ファイアウォール フィルター設定ステートメントを含む論理システムに設定されている場合、ポリシー フレームワーク ソフトウェアはその 階層レベルを検索します。
[edit logical-systems logical-system-name firewall]
他の論理システムまたはメイン階層レベルに属するファイアウォールフィルター設定は検索されません。[edit firewall]
ファイアウォール以外のフィルター オブジェクトが、ファイアウォール フィルターの設定ステートメントを含まない論理システムで構成されている場合、ポリシー フレームワーク ソフトウェアは、 階層レベルで定義されたファイアウォールの設定を検索します。
[edit firewall]
論理システム外のファイアウォールフィルターへの無効な参照
この設定例では、論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの解決不能な参照を示しています。
次のシナリオでは、ステートレスファイアウォールがフィルタリングされ、論理システムの論理インターフェイスに適用されます。filter1
fred
fe-0/3/2.0
ls-C
フィルター は で定義されています 。
filter1
ls-C
フィルター は、メインのファイアウォール構成で定義されます。
fred
にはファイアウォールフィルターステートメント(の場合)が含まれているため、ポリシーフレームワークソフトウェアは、階層レベルを検索することによって、ファイアウォールフィルターとの間の参照を解決します。ls-C
filter1
[edit logical systems ls-C firewall]
その結果、論理システム内から メインファイアウォール構成内への 参照は解決できません。fe-0/3/2.0
fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
論理システム内のファイアウォールフィルターへの有効な参照
この構成例では、論理システム内の非ファイアウォール オブジェクトから 2 つのファイアウォール フィルターへの解決可能な参照を示しています。
次のシナリオでは、ステートレスファイアウォールがフィルタリングされ、論理システムの論理インターフェイスに適用されます。filter1
fred
fe-0/3/2.0
ls-C
フィルター は で定義されています 。
filter1
ls-C
フィルター は、メインのファイアウォール構成で 定義され、 でも定義されます。
fred
ls-C
にはファイアウォールフィルターステートメントが含まれているため 、ポリシーフレームワークソフトウェアは、 階層レベルを検索することで、ファイアウォールフィルターとの間の参照を 解決します。ls-C
[edit logical systems ls-C firewall]
したがって、論理システム から への参照は、 で設定されたステートレス ファイアウォール フィルターを使用し、 を使用します。fe-0/3/2.0
filter1
fred
ls-C
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
論理システム外のファイアウォールフィルターへの有効な参照
この構成例では、論理システム内の非ファイアウォール オブジェクトから 2 つのファイアウォール フィルターへの解決可能な参照を示しています。
次のシナリオでは、ステートレスファイアウォールがフィルタリングされ、論理システムの論理インターフェイスに適用されます。filter1
fred
fe-0/3/2.0
ls-C
フィルター は、メインのファイアウォール構成で定義されます。
filter1
フィルター は、メインのファイアウォール構成で定義されます。
fred
にはファイアウォールフィルターステートメントが含まれていないため 、ポリシーフレームワークソフトウェアは、 階層レベルを検索する ことで、ファイアウォールフィルターとの間の参照を解決します。ls-C
[edit firewall]
その結果、論理システムからメインのファイアウォール設定で構成されたステートレス ファイアウォール フィルター への参照 および は使用されます。fe-0/3/2.0
filter1
fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.