Referencias de un objeto nonfirewall en un sistema lógico a un filtro de firewall
Resolución de referencias desde un objeto nofirewall a un filtro de firewall
Si un objeto de filtro nofirewall en un sistema lógico hace referencia a un objeto en un filtro de firewall configurado en un sistema lógico, la referencia se resuelve mediante la siguiente lógica:
Si el objeto de filtro nofirewall está configurado en un sistema lógico que incluya instrucciones de configuración de filtro de firewall, el software de marco de políticas buscará en el
[edit logical-systems logical-system-name firewall]nivel de jerarquía. No se buscan configuraciones de filtro de firewall que pertenecen a otros sistemas lógicos o al nivel de jerarquía principal[edit firewall].Si el objeto de filtro nofirewall está configurado en un sistema lógico que no incluye ninguna instrucción de configuración de filtro de firewall, el software de marco de políticas busca en las configuraciones de firewall definidas en el
[edit firewall]nivel jerárquico.
Referencia no válida a un filtro de firewall fuera del sistema lógico
En esta configuración de ejemplo, se muestra una referencia no relvable desde un objeto que no esfirewall en un sistema lógico a un filtro de firewall.
En la siguiente situación, el firewall sin estado filtra filter1 y fred se aplica a la interfaz lógica fe-0/3/2.0 en el sistema ls-Clógico.
El filtro
filter1se define enls-C.El filtro
fredse define en la configuración del firewall principal.
Dado que ls-C contiene instrucciones de filtro de firewall (para filter1), el software del marco de políticas resuelve las referencias a los filtros de firewall y desde ellos mediante la búsqueda en el [edit logical systems ls-C firewall] nivel de jerarquía. En consecuencia, no se puede resolver la referencia desde fe-0/3/2.0 en el sistema lógico hasta fred en la configuración del firewall principal.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referencia válida a un filtro de firewall dentro del sistema lógico
En este ejemplo de configuración se muestran las referencias resolvibles de un objeto nofirewall en un sistema lógico a dos filtros de firewall.
En la siguiente situación, el firewall sin estado filtra filter1 y fred se aplica a la interfaz fe-0/3/2.0 lógica en el sistema ls-Clógico.
El filtro
filter1se define enls-C.El filtro
fredse define enls-Cy también en la configuración del firewall principal.
Dado que ls-C contiene instrucciones de filtro de firewall, el software de marco de políticas resuelve las referencias hacia y desde los filtros de firewall mediante la búsqueda en el [edit logical systems ls-C firewall] nivel de jerarquía. En consecuencia, las referencias del fe-0/3/2.0 sistema lógico a filter1fred los filtros de firewall sin estado configurados en ls-C.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
Referencia válida a un filtro de firewall fuera del sistema lógico
En este ejemplo de configuración se muestran las referencias resolvibles de un objeto nofirewall en un sistema lógico a dos filtros de firewall.
En la siguiente situación, el firewall sin estado filtra filter1 y fred se aplica a la interfaz fe-0/3/2.0 lógica en el sistema ls-Clógico.
El filtro
filter1se define en la configuración del firewall principal.El filtro
fredse define en la configuración del firewall principal.
Dado que ls-C no contiene instrucciones de filtro de firewall, el software de marco de políticas resuelve las referencias a los filtros de firewall y desde ellos mediante la búsqueda en el [edit firewall] nivel jerárquico. En consecuencia, las referencias del fe-0/3/2.0 sistema lógico a filter1 los filtros de firewall sin estado configurados en la configuración principal del firewall y fred los utilizan.
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.