per-logical-interface-firewall
Syntax
per-logical-interface-firewall
Hierarchieebene
[edit chassis]
Beschreibung
Aktiviert die Firewallfilterung pro logischer Schnittstelle in Eingangsrichtung. Wenn diese Option aktiviert ist, können dieselben Übereinstimmungsbedingungen und -aktionen, die für Port-Firewall-Filter verwendet werden, auch für Firewall-Filter auf logischen Schnittstellen verwendet werden. Das folgende Beispiel zeigt, wie ein Firewallfilter erstellt und anschließend auf eine logische Schnittstelle angewendet wird, nachdem die per-logical-interface-firewall Einstellung aktiviert wurde.
firewall {
family ethernet-switching {
filter <filter-name> {
term <rule-name> {
from {
source-mac-address {
<mac-address>;
}
}
then {
count <count>;
policer <policer>;
}
}
}
}
policer <policer-name> {
if-exceeding {
bandwidth-limit <bandwidth-limit>;
burst-size-limit <burst-size-limit>;
}
then discard;
}
}
interfaces {
<interface-name> {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit <interface-unit-number> {
vlan-id <vlan-id>;
family ethernet-switching {
filter {
input <filter-name>;
}
}
}
}
Verwahrungen
-
per-logical-interface-firewallwird auf logischen Schnittstellen im Unternehmensstil nicht unterstützt. -
Die Firewallfilterung pro logischer Schnittstelle mit einer Mischung aus logischen Schnittstellen von Service Providern und Unternehmen wird nicht unterstützt.
-
per-logical-interface-firewallDer Anwendungsbereich ist auf Nicht-VxLAN-Schnittstellen beschränkt. -
Mit
per-logical-interface-firewallsollte die IPv6-Adresse in Filtern über ifls eines ifd exklusiv sein. -
Schnittstellenspezifischer Knopf wird bei IPv6-Adressübereinstimmung nicht empfohlen.
-
IFLs, die zu verschiedenen VLANs gehören, können nicht denselben Filter mit IPv6-Adressübereinstimmung haben.
Erforderliche Berechtigungsstufe
Schnittstelle
Informationen zur Veröffentlichung
Erklärung eingefügt in Junos OS Version 22.2R1 (QFX5110, QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, QFX5200 und QFX5210)