从逻辑系统中的非防火墙对象到防火墙过滤器的引用
解析从非防火墙对象到防火墙过滤器的引用
如果逻辑系统中的非防火墙过滤器对象引用逻辑系统中配置的 防火墙过滤器 中的对象,则使用以下逻辑解析引用:
如果在包含防火墙过滤器配置语句的逻辑系统中配置了非防火墙过滤器对象,那么策略框架软件将搜索
[edit logical-systems logical-system-name firewall]层次结构级别。不搜索属于 其他 逻辑系统或主[edit firewall]层次结构级别的防火墙过滤器配置。如果在不包含任何防火墙过滤器配置语句的逻辑系统中配置了非防火墙过滤器对象,那么策略框架软件将搜索在层次结构级别定义的
[edit firewall]防火墙配置。
对逻辑系统外部防火墙过滤器的引用无效
此示例配置说明了从逻辑系统中的非防火墙对象到防火墙过滤器的不可解析引用。
在以下场景中,无状态防火墙将过滤filter1并fred应用于逻辑系统中ls-C的逻辑接口 fe-0/3/2.0。
过滤器
filter1在 中ls-C定义。过滤器
fred在主防火墙配置中定义。
由于包含防火墙过滤器语句 (for filter1),因此ls-C策略框架软件通过搜索[edit logical systems ls-C firewall]层次结构级别来解析与防火墙过滤器之间的引用。因此,无法解析从逻辑系统中到fe-0/3/2.0fred主防火墙配置中的引用。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
对逻辑系统中防火墙过滤器的有效引用
此示例配置说明了从逻辑系统中的非防火墙对象到两个防火墙过滤器的可解析引用。
在以下场景中,无状态防火墙将过滤filter1并fred应用于逻辑系统中ls-C的逻辑接口fe-0/3/2.0。
过滤器
filter1在 中ls-C定义。过滤器
fred在主防火墙配置中ls-C和中定义。
由于包含防火墙过滤器语句,因此 ls-C 策略框架软件通过搜索 [edit logical systems ls-C firewall] 层次结构级别来解析与防火墙过滤器之间的引用。因此,从逻辑系统中filter1引用fe-0/3/2.0并使用fred中ls-C配置的无状态防火墙过滤器。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
对逻辑系统外部防火墙过滤器的有效引用
此示例配置说明了从逻辑系统中的非防火墙对象到两个防火墙过滤器的可解析引用。
在以下场景中,无状态防火墙将过滤filter1并fred应用于逻辑系统中ls-C的逻辑接口fe-0/3/2.0。
过滤器
filter1在主防火墙配置中定义。过滤器
fred在主防火墙配置中定义。
由于不包含任何防火墙过滤器语句,因此 ls-C 策略框架软件通过搜索 [edit firewall] 层次结构级别来解析与防火墙过滤器之间的引用。因此,从逻辑系统中filter1引用fe-0/3/2.0并使用fred在主防火墙配置中配置的无状态防火墙过滤器。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.