Referencias de un filtro de firewall en un sistema lógico a objetos que no son firewall
Resolución de referencias de un filtro de firewall a objetos que no son firewall
En muchos casos, una configuración de firewall hace referencia a objetos fuera de la configuración del firewall. Como regla general, el objeto al que se hace referencia debe definirse bajo el mismo sistema lógico que el objeto de referencia. Sin embargo, hay casos en los que la configuración del objeto al que se hace referencia no se admite en el nivel de [edit logical-systems logical-system-name] jerarquía.
Referencia válida a un objeto que no es firewall fuera del sistema lógico
Esta configuración de ejemplo ilustra una excepción a la regla general de que los objetos a los que hace referencia un filtro de firewall en un sistema lógico deben definirse en el mismo sistema lógico que el objeto de referencia.
En el siguiente escenario, el filtro inetsf1 de servicio se aplica al tráfico IPv4 asociado con el conjunto fred de servicios en la interfaz lógica fe-0/3/2.0, que se encuentra en una interfaz de servicios adaptables.
El filtro
inetsf1de servicio se define en y hace referencia als-Bla listaprefix1de prefijos .El conjunto
fredde servicios se define en el nivel de jerarquía de servicios principal y el software del marco de políticas busca en la[edit services]jerarquía la definición delfredconjunto de servicios.
Porque las reglas de servicio no se pueden configurar en sistemas lógicos. Las configuraciones de filtro de firewall en la [edit logical-systems logical-system logical-system-name] jerarquía pueden hacer referencia a conjuntos de servicios fuera de la jerarquía del sistema lógico.
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}