Referencias de un filtro de firewall en un sistema lógico a objetos que no son firewall
Resolución de referencias de un filtro de firewall a objetos que no son firewall
En muchos casos, una configuración de firewall hace referencia a objetos fuera de la configuración del firewall. Como regla general, el objeto al que se hace referencia debe definirse bajo el mismo sistema lógico que el objeto de referencia. Sin embargo, hay casos en los que la configuración del objeto al que se hace referencia no se admite en el nivel de jerarquía.[edit logical-systems logical-system-name]
Referencia válida a un objeto que no es firewall fuera del sistema lógico
Esta configuración de ejemplo ilustra una excepción a la regla general de que los objetos a los que hace referencia un filtro de firewall en un sistema lógico deben definirse en el mismo sistema lógico que el objeto de referencia.
En el siguiente escenario, el filtro de servicio se aplica al tráfico IPv4 asociado con el conjunto de servicios en la interfaz lógica, que se encuentra en una interfazde servicios adaptables.inetsf1
fred
fe-0/3/2.0
El filtro de servicio se define en y hace referencia a la lista de prefijos .
inetsf1
ls-B
prefix1
El conjunto de servicios se define en el nivel de jerarquía de servicios principal y el software del marco de políticas busca en la jerarquía la definición del conjunto de servicios.
fred
[edit services]
fred
Porque las reglas de servicio no se pueden configurar en sistemas lógicos. Las configuraciones de filtro de firewall en la jerarquía pueden hacer referencia a conjuntos de servicios fuera de la jerarquía del sistema lógico.[edit logical-systems logical-system logical-system-name]
[edit] logical-systems { ls-B { interfaces { fe-0/3/2 { unit 0 { family inet { service { input { service-set fred service-filterinetsf1
; } } } } } } policy-options { prefix-listprefix1
{ 1.1.0.0/16; 1.2.0.0/16; 1.3.0.0/16; } } firewall { # Under logical-system ’ls-B’. family inet { filterfilter1
{ term one { from { source-address { 12.1.0.0/16; } } then { reject host-unknown; } } term two { from { source-address { 12.2.0.0/16; } } then policerpol1
; } } service-filter inetsf1 { term term1 { from { source-prefix-list { prefix1; } } then count prefix1; } } } policerpol1
{ if-exceeding { bandwidth-limit 401k; burst-size-limit 50k; } then discard; } } } } # End of logical systems configuration. services { # Main services hierarchy level. service-setfred
{ max-flows 100; interface-service { service-interface sp-1/2/0.0; } } }