以列表形式应用多个防火墙过滤器的准则
用于应用多个防火墙过滤器列表的语句层次结构
要将单个过滤器应用于路由器(或交换机)逻辑接口的输入或输出方向,请在协议家族的节下filter包含 input filter-name or output filter-name 语句。
要将多个过滤器的列表应用于路由器(或交换机)逻辑接口的输入或输出方向,请在协议家族的节下filter包含 input-list [ filter-names ] or output-list [ filter-names ] 语句:
interfaces {
interface-name {
unit logical-unit-number {
family family-name {
filter {
...filter-options...
input-list [ filter-names ];
output-list [ filter-names ];
}
}
}
}
}
您可以在以下层次结构级别之一包含接口配置:
[edit][edit logical-systems logical-system-name]
注:
(PTX10003)路由器不支持 output-list 环路地址 (lo0) 或管理接口上的过滤器绑定。
过滤路由器或交换机接口的输入列表和输出列表
将防火墙过滤器列表作为列表应用时,存在以下限制:
您最多可以为过滤器输入列表指定 16 个防火墙过滤器。
您最多可以为过滤器输出列表指定 16 个防火墙过滤器。
列表中支持的筛选器类型
应用于路由器(或交换机)接口的多个防火墙过滤器列表仅支持标准无状态防火墙过滤器。不能将包含服务过滤器或简单过滤器的列表应用于路由器(或交换机)接口。
对 MPLS 或第 2 层 CCC 流量应用过滤器列表的限制
注:
这些限制不适用于PTX10003路由器。路由器仅支持对 IPv4 (inet) 或 IPv6 (inet6) 流量应用过滤器列表。
应用防火墙过滤器来评估 MPLS 流量 (family mpls) 或第 2 层电路交叉连接流量 (family ccc) 时,您可以对所有接口使用 and output-list [ filter-names ]input-list [ filter-names ] 语句,但以下接口除外:
管理和内部以太网 (
fxp) 接口环路 (
lo0) 接口USB 调制解调器 (
umd) 接口