从逻辑系统中的防火墙过滤器到非防火墙对象的引用
从防火墙过滤器到非防火墙对象的引用解析
在许多情况下,防火墙配置引用防火墙配置之外的对象。作为一般规则,引用的对象必须在与引用对象相同的逻辑系统下定义。但是,在某些情况下,层次结构级别不支持 [edit logical-systems logical-system-name] 引用对象的配置。
对逻辑系统外部非防火墙对象的有效引用
此示例配置说明了一般规则的例外情况,即逻辑系统中 防火墙过滤器 引用的对象必须在与引用对象相同的逻辑系统下定义。
在以下场景中,服务过滤器inetsf1将应用于与逻辑接口 fe-0/3/2.0(自适应服务接口上)上的服务集fred关联的 IPv4 流量。
服务过滤器
inetsf1定义在ls-B和引用前缀列表prefix1中。服务集
fred在主服务层次结构级别定义,策略框架软件在层次结构中[edit services]搜索服务集的定义fred。
因为无法在逻辑系统中配置服务规则。允许层次结构中的 [edit logical-systems logical-system logical-system-name] 防火墙过滤器配置引用逻辑系统层次结构之外 的服务集 。
[edit]
logical-systems {
ls-B {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
service {
input {
service-set fred service-filter inetsf1;
}
}
}
}
}
}
policy-options {
prefix-list prefix1 {
1.1.0.0/16;
1.2.0.0/16;
1.3.0.0/16;
}
}
firewall { # Under logical-system ’ls-B’.
family inet {
filter filter1 {
term one {
from {
source-address {
12.1.0.0/16;
}
}
then {
reject host-unknown;
}
}
term two {
from {
source-address {
12.2.0.0/16;
}
}
then policer pol1;
}
}
service-filter inetsf1 {
term term1 {
from {
source-prefix-list {
prefix1;
}
}
then count prefix1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configuration.
services { # Main services hierarchy level.
service-set fred {
max-flows 100;
interface-service {
service-interface sp-1/2/0.0;
}
}
}