Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Instrucciones de filtro de cortafuegos no compatibles con sistemas lógicos

Tabla 1muestra las instrucciones que se admiten [edit firewall] en el nivel de jerarquía pero [edit logical-systems logical-system-name firewall] no en el nivel de jerarquía.

Tabla 1: Sentencias Firewall no compatibles con los sistemas lógicos

Afirmación

Ejemplo

Descriptiva

accounting-profile

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter myfilter {
                    accounting-profile fw-profile;
                    ...
                    term accept-all {
                        then {
                            count counter1;
                            accept;
                        }
                    }
                }
            }
        }
    }
}

En este ejemplo, la accounting-profile instrucción no está permitida porque el perfil fw-profile de contabilidad se configura [edit accounting-options] en la jerarquía.

hierarchical-policer

 
[edit]
logical-systems {
    lr1 {
        firewall {
            hierarchical-policer {
                ...
            }
        }
    }
}

En este ejemplo, la hierarchical policer instrucción requiere una configuración de clase de servicio, que no es compatible con los sistemas lógicos.

load-balance-group

 
[edit]
logical-systems {
    ls1 {
        firewall {
            load-balance-group lb-group {
                next-hop-group nh-group;
            }
        }
    }
}

Esta configuración no se permite porque la next-hop-group nh-group instrucción se debe configurar en el nivel de [edit forwarding-options next-hop-group] jerarquía, fuera de la [edit logical-systems logical-system-name firewall] jerarquía.

Actualmente, la forwarding-options dhcp-relay instrucción es la única opción de reenvío admitida por los sistemas lógicos.

virtual-channel

 
[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            virtual-channel sammy;
                        }
                    }
                }
            }
        }
    }
}

Esta configuración no está permitida porque el canal sammy virtual hace referencia a un objeto definido [edit class-of-service] en el nivel de la jerarquía, y la clase de servicio no es compatible con los sistemas lógicos.

Nota:

La instrucción solo se admite para dispositivos de la serie J, siempre que el filtro de firewall esté virtual-channel configurado fuera de un sistema lógico.

Temas relacionados