論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの参照
非ファイアウォールオブジェクトからファイアウォールフィルターへの参照の解決
論理システム内の非ファイアウォール フィルター オブジェクトが、論理システムに設定された ファイアウォール フィルター 内のオブジェクトを参照する場合、参照は次のロジックを使用して解決されます。
非ファイアウォール フィルター オブジェクトが、ファイアウォール フィルター設定ステートメントを含む論理システムに設定されている場合、ポリシー フレームワーク ソフトウェアは
[edit logical-systems logical-system-name firewall]階層レベルを検索します。他の論理システムまたはメインの[edit firewall]階層レベルに属するファイアウォールフィルター設定は検索されません。ファイアウォール フィルター以外のオブジェクトが、ファイアウォール フィルターの設定ステートメント を含まない論理システムに設定されている場合、ポリシー フレームワーク ソフトウェアは、
[edit firewall]階層レベルで定義されたファイアウォールの設定を検索します。
論理システム外のファイアウォールフィルターへの無効な参照
この設定例では、論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの解決不能な参照を示しています。
以下のシナリオでは、ステートレス ファイアウォール フィルター filter1 と fred が論理システム ls-Cの論理インターフェイス fe-0/3/2.0に適用されます。
フィルター
filter1はls-Cで定義されています。フィルター
fredは、メインのファイアウォール構成で定義されます。
ls-Cにはファイアウォールフィルターステートメント(filter1用)が含まれているため、ポリシーフレームワークソフトウェアは、[edit logical systems ls-C firewall]階層レベルを検索して、ファイアウォールフィルターとの間の参照を解決します。その結果、論理システム内の fe-0/3/2.0 からメイン ファイアウォール構成の fred への参照は解決できません。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems
firewall { # Under the main firewall hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
論理システム内のファイアウォールフィルターへの有効な参照
この構成例では、論理システム内の非ファイアウォール オブジェクトから 2 つのファイアウォール フィルターへの解決可能な参照を示しています。
以下のシナリオでは、ステートレス ファイアウォール フィルター filter1 と fred が論理システム ls-Cの論理インターフェイス fe-0/3/2.0に適用されます。
フィルター
filter1はls-Cで定義されています。フィルター
fredは、ls-Cおよびメインのファイアウォール構成で定義されています。
ls-Cにはファイアウォールフィルターステートメントが含まれているため、ポリシーフレームワークソフトウェアは、[edit logical systems ls-C firewall]階層レベルを検索することによって、ファイアウォールフィルターとの間の参照を解決します。その結果、論理システム内のfe-0/3/2.0からfilter1への参照と、ls-Cで設定されたステートレスファイアウォールフィルターfred使用されます。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
firewall { # Under logical system ’ls-C’.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred { # This ’fred’ is in ’ls-C’.
term one {
from {
source-address 10.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 401k;
burst-size-limit 50k;
}
then discard;
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall filter hierarchy level
family inet {
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
} # End of main firewall configurations.
論理システム外のファイアウォールフィルターへの有効な参照
この構成例では、論理システム内の非ファイアウォール オブジェクトから 2 つのファイアウォール フィルターへの解決可能な参照を示しています。
以下のシナリオでは、ステートレス ファイアウォール フィルター filter1 と fred が論理システム ls-Cの論理インターフェイス fe-0/3/2.0に適用されます。
フィルター
filter1は、メインのファイアウォール構成で定義されます。フィルター
fredは、メインのファイアウォール構成で定義されます。
ls-C にはファイアウォール フィルター ステートメントが含まれていないため、ポリシー フレームワーク ソフトウェアは、[edit firewall] 階層レベルを検索して、ファイアウォール フィルターとの間の参照を解決します。その結果、論理システムの fe-0/3/2.0 から filter1 への参照と、メインのファイアウォール構成で構成されたステートレス ファイアウォール フィルター fred が使用されます。
[edit]
logical-systems {
ls-C {
interfaces {
fe-0/3/2 {
unit 0 {
family inet {
filter {
input-list [ filter1 fred ];
}
}
}
}
}
}
} # End of logical systems configurations.
firewall { # Main firewall hierarchy level.
family inet {
filter filter1 {
term one {
from {
source-address 12.1.0.0/16;
}
then {
reject host-unknown;
}
}
term two {
from {
source-address 12.2.0.0/16;
}
then policer pol1;
}
}
filter fred {
term one {
from {
source-address 11.1.0.0/16;
}
then {
log;
reject host-unknown;
}
}
}
}
policer pol1 {
if-exceeding {
bandwidth-limit 701k;
burst-size-limit 70k;
}
then discard;
}
} # End of main firewall configurations.