論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの参照
非ファイアウォールオブジェクトからファイアウォールフィルターへの参照の解決
論理システム内の非ファイアウォール フィルター オブジェクトが、論理システムに設定された ファイアウォール フィルター 内のオブジェクトを参照する場合、参照は次のロジックを使用して解決されます。
非ファイアウォール フィルター オブジェクトが、ファイアウォール フィルター設定ステートメントを含む論理システムに設定されている場合、ポリシー フレームワーク ソフトウェアは
[edit logical-systems logical-system-name firewall]
階層レベルを検索します。他の論理システムまたはメインの[edit firewall]
階層レベルに属するファイアウォールフィルター設定は検索されません。ファイアウォール フィルター以外のオブジェクトが、ファイアウォール フィルターの設定ステートメント を含まない論理システムに設定されている場合、ポリシー フレームワーク ソフトウェアは、
[edit firewall]
階層レベルで定義されたファイアウォールの設定を検索します。
論理システム外のファイアウォールフィルターへの無効な参照
この設定例では、論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの解決不能な参照を示しています。
以下のシナリオでは、ステートレス ファイアウォール フィルター filter1
と fred
が論理システム ls-C
の論理インターフェイス fe-0/3/2.0
に適用されます。
フィルター
filter1
はls-C
で定義されています。フィルター
fred
は、メインのファイアウォール構成で定義されます。
ls-C
にはファイアウォールフィルターステートメント(filter1
用)が含まれているため、ポリシーフレームワークソフトウェアは、[edit logical systems ls-C firewall]
階層レベルを検索して、ファイアウォールフィルターとの間の参照を解決します。その結果、論理システム内の fe-0/3/2.0
からメイン ファイアウォール構成の fred
への参照は解決できません。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
論理システム内のファイアウォールフィルターへの有効な参照
この構成例では、論理システム内の非ファイアウォール オブジェクトから 2 つのファイアウォール フィルターへの解決可能な参照を示しています。
以下のシナリオでは、ステートレス ファイアウォール フィルター filter1
と fred
が論理システム ls-C
の論理インターフェイス fe-0/3/2.0
に適用されます。
フィルター
filter1
はls-C
で定義されています。フィルター
fred
は、ls-C
およびメインのファイアウォール構成で定義されています。
ls-C
にはファイアウォールフィルターステートメントが含まれているため、ポリシーフレームワークソフトウェアは、[edit logical systems ls-C firewall]
階層レベルを検索することによって、ファイアウォールフィルターとの間の参照を解決します。その結果、論理システム内のfe-0/3/2.0
からfilter1
への参照と、ls-C
で設定されたステートレスファイアウォールフィルターfred
使用されます。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
論理システム外のファイアウォールフィルターへの有効な参照
この構成例では、論理システム内の非ファイアウォール オブジェクトから 2 つのファイアウォール フィルターへの解決可能な参照を示しています。
以下のシナリオでは、ステートレス ファイアウォール フィルター filter1
と fred
が論理システム ls-C
の論理インターフェイス fe-0/3/2.0
に適用されます。
フィルター
filter1
は、メインのファイアウォール構成で定義されます。フィルター
fred
は、メインのファイアウォール構成で定義されます。
ls-C
にはファイアウォール フィルター ステートメントが含まれていないため、ポリシー フレームワーク ソフトウェアは、[edit firewall]
階層レベルを検索して、ファイアウォール フィルターとの間の参照を解決します。その結果、論理システムの fe-0/3/2.0
から filter1
への参照と、メインのファイアウォール構成で構成されたステートレス ファイアウォール フィルター fred
が使用されます。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.