从逻辑系统中的防火墙过滤器到 Nonfirewall 对象的引用
从防火墙过滤器到 Nonfirewall 对象的引用解析
在许多情况下,防火墙配置会引用防火墙配置外部的对象。作为通用规则,所引用的对象必须在与引用对象相同的逻辑系统下定义。但是,在某些情况下,在[edit logical-systems logical-system-name]层次结构级别不支持所引用对象的配置。
逻辑系统外部的 Nonfirewall 对象的有效参考
此配置示例说明了逻辑系统中的防火墙过滤器所引用的对象必须在与引用对象相同的逻辑系统下定义的通用规则例外。
在以下情况下,服务inetsf1过滤器将应用于与fred 逻辑接口 fe-0/3/2.0上的服务集相关联的 IPv4 流量,这在自适应服务接口上。
服务过滤器inetsf1在和引用ls-B前缀列表prefix1中定义。
服务集fred在主要服务层次结构级别上定义,而策略框架软件则会搜索[edit services]层次结构,以了解fred服务集的定义。
因为不能在逻辑系统中配置服务规则。层次结构中的[edit logical-systems logical-system logical-system-name]防火墙过滤器配置允许引用逻辑系统层次结构外部的服务 集。
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}