Referencias de un objeto que no es firewall en un sistema lógico a un filtro de firewall
Resolución de referencias de un objeto que no es firewall a un filtro de firewall
Si un objeto de filtro que no es firewall en un sistema lógico hace referencia a un objeto en un filtro de firewall configurado en un sistema lógico, la referencia se resuelve mediante la siguiente lógica:
Si el objeto de filtro que no es firewall está configurado en un sistema lógico que incluye instrucciones de configuración de filtro de firewall, el software del marco de políticas busca en el nivel de
[edit logical-systems logical-system-name firewall]jerarquía. No se buscan configuraciones de filtro de firewall que pertenezcan a otros sistemas lógicos o al nivel de jerarquía principal[edit firewall].Si el objeto de filtro que no es de firewall está configurado en un sistema lógico que no incluye ninguna instrucción de configuración de filtro de firewall, el software del marco de políticas busca en las configuraciones de firewall definidas en el nivel de
[edit firewall]jerarquía.
Referencia no válida a un filtro de firewall fuera del sistema lógico
Esta configuración de ejemplo ilustra una referencia irresoluble desde un objeto que no es firewall en un sistema lógico a un filtro de firewall.
En el siguiente escenario, el firewall sin estado filtra filter1 y fred se aplica a la interfaz lógica fe-0/3/2.0 en el sistema ls-Clógico.
El filtro
filter1se define enls-C.El filtro
fredse define en la configuración principal del firewall.
Dado que ls-C contiene instrucciones de filtro de firewall (for filter1), el software del marco de políticas resuelve las referencias hacia y desde los filtros de firewall mediante la búsqueda en el [edit logical systems ls-C firewall] nivel de jerarquía. En consecuencia, no se puede resolver la referencia desde en el sistema lógico hasta fred en la configuración principal del fe-0/3/2.0 firewall.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referencia válida a un filtro de firewall dentro del sistema lógico
En este ejemplo de configuración se ilustran las referencias resolubles de un objeto que no es firewall en un sistema lógico a dos filtros de firewall.
En el siguiente escenario, el firewall sin estado filtra filter1 y fred se aplica a la interfaz fe-0/3/2.0 lógica en el sistema ls-Clógico.
El filtro
filter1se define enls-C.El filtro
fredse define enls-Cy también en la configuración principal del firewall.
Dado que ls-C contiene instrucciones de filtro de firewall, el software del marco de políticas resuelve las referencias hacia y desde los filtros de firewall mediante la búsqueda en el [edit logical systems ls-C firewall] nivel de jerarquía. Por consiguiente, las referencias desde en el sistema lógico a filter1 y utilizan los filtros de fe-0/3/2.0 firewall sin estado configurados en ls-Cfred .
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referencia válida a un filtro de firewall fuera del sistema lógico
En este ejemplo de configuración se ilustran las referencias resolubles de un objeto que no es firewall en un sistema lógico a dos filtros de firewall.
En el siguiente escenario, el firewall sin estado filtra filter1 y fred se aplica a la interfaz fe-0/3/2.0 lógica en el sistema ls-Clógico.
El filtro
filter1se define en la configuración principal del firewall.El filtro
fredse define en la configuración principal del firewall.
Dado que ls-C no contiene ninguna instrucción de filtro de firewall, el software del marco de políticas resuelve las referencias hacia y desde los filtros de firewall mediante la búsqueda en el [edit firewall] nivel de jerarquía. En consecuencia, las referencias desde en el sistema lógico a filter1 y fred utilizan los filtros de fe-0/3/2.0 firewall sin estado configurados en la configuración principal del firewall.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.