对接口应用防火墙过滤器
要使防火墙过滤器正常工作,您必须将其应用于至少一个接口。为此,请在层次结构级别配置[edit interfaces]逻辑接口时包含该filter语句:
[edit interfaces] user@switch# set interface-name unit logical-unit-number family family-name filter (input | output) filter-name
在语 input 句中,指定接口上收到数据包时要评估的防火墙过滤器。应用于环路接口的输入过滤器仅影响发往路由引擎的流量。
在语 output 句中,指定数据包退出接口时要评估的过滤器。
注意:
创建环路接口时,必须对其应用入口过滤器,以便保护路由引擎。建议在将过滤器应用于环路接口 lo0时,将该语句包含在 apply-groups 内。这样做可确保过滤器在每个环路接口上自动继承,包括 lo0 和其他环路接口。