从逻辑系统中的非防火墙对象到防火墙过滤器的引用
解析从非防火墙对象到防火墙过滤器的引用
如果逻辑系统中的非防火墙过滤器对象引用逻辑系统中配置的 防火墙过滤器 中的对象,则使用以下逻辑解析引用:
如果在包含防火墙过滤器配置语句的逻辑系统中配置了非防火墙过滤器对象,那么策略框架软件将搜索 层次结构级别。
[edit logical-systems logical-system-name firewall]
不搜索属于 其他 逻辑系统或主 层次结构级别的防火墙过滤器配置。[edit firewall]
如果在不包含任何防火墙过滤器配置语句的逻辑系统中配置了非防火墙过滤器对象,那么策略框架软件将搜索在层次结构级别定义的 防火墙配置。
[edit firewall]
对逻辑系统外部防火墙过滤器的引用无效
此示例配置说明了从逻辑系统中的非防火墙对象到防火墙过滤器的不可解析引用。
在以下场景中,无状态防火墙将过滤并应用于逻辑系统中的逻辑接口。filter1
fred
fe-0/3/2.0
ls-C
过滤器 在 中 定义。
filter1
ls-C
过滤器 在主防火墙配置中定义。
fred
由于包含防火墙过滤器语句 (for ),因此策略框架软件通过搜索层次结构级别来解析与防火墙过滤器之间的引用。ls-C
filter1
[edit logical systems ls-C firewall]
因此,无法解析从逻辑系统中到主防火墙配置中的引用。fe-0/3/2.0
fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
对逻辑系统中防火墙过滤器的有效引用
此示例配置说明了从逻辑系统中的非防火墙对象到两个防火墙过滤器的可解析引用。
在以下场景中,无状态防火墙将过滤并应用于逻辑系统中的逻辑接口。filter1
fred
fe-0/3/2.0
ls-C
过滤器 在 中 定义。
filter1
ls-C
过滤器 在主防火墙配置中和中 定义。
fred
ls-C
由于包含防火墙过滤器语句,因此 策略框架软件通过搜索 层次结构级别来解析与防火墙过滤器之间的引用。ls-C
[edit logical systems ls-C firewall]
因此,从逻辑系统中引用并使用中配置的无状态防火墙过滤器。fe-0/3/2.0
filter1
fred
ls-C
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
对逻辑系统外部防火墙过滤器的有效引用
此示例配置说明了从逻辑系统中的非防火墙对象到两个防火墙过滤器的可解析引用。
在以下场景中,无状态防火墙将过滤并应用于逻辑系统中的逻辑接口。filter1
fred
fe-0/3/2.0
ls-C
过滤器 在主防火墙配置中定义。
filter1
过滤器 在主防火墙配置中定义。
fred
由于不包含任何防火墙过滤器语句,因此 策略框架软件通过搜索 层次结构级别来解析与防火墙过滤器之间的引用。ls-C
[edit firewall]
因此,从逻辑系统中引用并使用在主防火墙配置中配置的无状态防火墙过滤器。fe-0/3/2.0
filter1
fred
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1
{
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.