Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Acciones no admitidas para filtros de firewall en sistemas lógicos

Tabla 1 Describe las acciones de filtro de firewall que se admiten en el nivel de [edit firewall] jerarquía, pero que no se admiten en el nivel de [edit logical-systems logical-system-name firewall] jerarquía.

Tabla 1: Acciones no admitidas para filtros de firewall en sistemas lógicos

Acción de filtro de firewall

Ejemplo

Description

Terminar acciones no admitidas en un sistema lógico

logical-system

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            logical-system fred;
                        }
                    }
                }
            }
        }
    }
}

Dado que la logical-system acción hace referencia a fred—un sistema lógico definido fuera del sistema lógico local—, esta acción no se admite.

Acciones de no terminación no admitidas en un sistema lógico

ipsec-sa

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            ipsec-sa barney;
                        }
                    }
                }
            }
        }
    }
}

Dado que el modificador de acción ipsec-sa hace referencia barneya una asociación de seguridad definida fuera del sistema lógico local, esta acción no es compatible.

next-hop-group

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            next-hop-group fred;
                        }
                    }
                }
            }
        }
    }
}

Dado que la next-hop-group acción hace referencia a fred—un objeto definido en el nivel de [edit forwarding-options next-hop-group] jerarquía—, esta acción no es compatible.

port-mirror

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            port-mirror;
                        }
                    }
                }
            }
        }
    }
}

Dado que la port-mirror acción se basa en una configuración definida en el nivel de [edit forwarding-options port-mirroring] jerarquía, esta acción no es compatible.

sample

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            sample;
                        }
                    }
                }
            }
        }
    }
}

En este ejemplo, la sample acción depende de la configuración de muestreo definida en la [edit forwarding-options] jerarquía. Por lo tanto, no se admite la sample acción.

syslog

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter icmp-syslog {
                    term icmp-match {
                        from {
                            address {
                                192.168.207.222/32;
                            }
                            protocol icmp;
                        }
                        then {
                            count packets;
                            syslog;
                            accept;
                        }
                    }
                    term default {
                        then accept;
                    }
                }
            }
        }
    }
}

En este ejemplo, debe haber al menos un registro del sistema (system syslog file filename) con la firewall función habilitada para icmp-syslog que se almacenen los registros del filtro.

Dado que esta configuración de firewall se basa en una configuración externa al sistema lógico, no se admite el modificador de syslog acción.