Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Неподтверченные действия для фильтров межсетевых экранов в логических системах

Табл. 1 описывает действия фильтра межсетевых экранов, которые поддерживаются на уровне иерархии, но не поддерживаются [edit firewall] на [edit logical-systems logical-system-name firewall] уровне иерархии.

Табл. 1: Неподтверченные действия для фильтров межсетевых экранов в логических системах

Действие фильтра межсетевых экранов

Примере

Описание

Действия, не поддерживаемые в логической системе

logical-system

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            logical-system fred;
                        }
                    }
                }
            }
        }
    }
}

Так как это действие относится к логической системе, определенной вне локальной логической системы, это logical-systemfred действие не поддерживается.

Невыполнение действий, не поддерживаемых в логической системе

ipsec-sa

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            ipsec-sa barney;
                        }
                    }
                }
            }
        }
    }
}

Поскольку ipsec-sa модификаторы действий ссылаются на ассоциации безопасности, определенные вне локальной логической системы, это действие barney не поддерживается.

next-hop-group

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            next-hop-group fred;
                        }
                    }
                }
            }
        }
    }
}

Поскольку это next-hop-group действие относится к fred объекту, определенному на уровне иерархии, данное действие [edit forwarding-options next-hop-group] не поддерживается.

port-mirror

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            port-mirror;
                        }
                    }
                }
            }
        }
    }
}

Так как действие зависит от конфигурации, определенной port-mirror на уровне [edit forwarding-options port-mirroring] иерархии, это действие не поддерживается.

sample

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter foo {
                    term one {
                        from {
                            source-address 10.1.0.0/16;
                        }
                        then {
                            sample;
                        }
                    }
                }
            }
        }
    }
}

В данном примере это sample действие зависит от конфигурации выборки, определенной в [edit forwarding-options] иерархии. Поэтому это sample действие не поддерживается.

syslog

[edit]
logical-systems {
    ls1 {
        firewall {
            family inet {
                filter icmp-syslog {
                    term icmp-match {
                        from {
                            address {
                                192.168.207.222/32;
                            }
                            protocol icmp;
                        }
                        then {
                            count packets;
                            syslog;
                            accept;
                        }
                    }
                    term default {
                        then accept;
                    }
                }
            }
        }
    }
}

В этом примере должен быть как минимум один системный журнал (при этом средство должно быть сохранено для записей system syslog file filename)firewallicmp-syslog фильтра).

Поскольку конфигурация брандмауэра зависит от конфигурации вне логической системы, syslog модификатор действия не поддерживается.