Referencias de un filtro de firewall en un sistema lógico a objetos nofirewall
Resolución de referencias desde un filtro de firewall a objetos nofirewall
En muchos casos, una configuración de firewall hace referencia a objetos fuera de la configuración del firewall. Como regla general, el objeto al que se hace referencia debe definirse bajo el mismo sistema lógico que el objeto de referencia. Sin embargo, hay casos en los que la configuración del objeto al que se hace referencia no se admite en el [edit logical-systems logical-system-name] nivel jerárquico.
Referencia válida a un objeto nofirewall fuera del sistema lógico
En este ejemplo de configuración se muestra una excepción a la regla general de que los objetos a los que hace referencia un filtro de firewall en un sistema lógico deben definirse en el mismo sistema lógico que el objeto de referencia.
En la siguiente situación, el filtro inetsf1 de servicio se aplica al tráfico IPv4 asociado con el conjunto fred de servicios en la interfaz lógica fe-0/3/2.0, que se encuentra en una interfaz de servicios adaptable.
El filtro
inetsf1de servicio se define enls-Bla listaprefix1de prefijos y referencias.El conjunto
fredde servicios se define en el nivel de jerarquía de servicios principales, y el software del marco de políticas busca en la[edit services]jerarquía la definición del conjunto defredservicios.
Porque las reglas de servicio no se pueden configurar en los sistemas lógicos. las configuraciones de filtro de firewall en la [edit logical-systems logical-system logical-system-name] jerarquía pueden hacer referencia a conjuntos de servicios fuera de la jerarquía del sistema lógico.
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}