論理インターフェイスごとのファイアウォール
構文
per-logical-interface-firewall
階層レベル
[edit chassis]
説明
イングレス方向の論理インターフェイスごとのファイアウォールフィルタリングを有効にします。有効にすると、ポートファイアウォールフィルターに使用されるのと同じ一致条件とアクションのセットを論理インターフェイスのファイアウォールフィルターに使用できます。次の例は、ファイアウォールフィルターを作成し、その後、 per-logical-interface-firewall 設定を有効にした後に論理インターフェイスに適用される様子を示しています。
firewall {
family ethernet-switching {
filter <filter-name> {
term <rule-name> {
from {
source-mac-address {
<mac-address>;
}
}
then {
count <count>;
policer <policer>;
}
}
}
}
policer <policer-name> {
if-exceeding {
bandwidth-limit <bandwidth-limit>;
burst-size-limit <burst-size-limit>;
}
then discard;
}
}
interfaces {
<interface-name> {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
unit <interface-unit-number> {
vlan-id <vlan-id>;
family ethernet-switching {
filter {
input <filter-name>;
}
}
}
}
注意 事項
-
per-logical-interface-firewallは、エンタープライズスタイルの論理インターフェイスではサポートされていません。 -
サービスプロバイダとエンタープライズの論理インターフェイスが混在する論理インターフェイスごとのファイアウォールフィルタリングはサポートされていません。
-
per-logical-interface-firewallスコープは非 VxLAN インターフェイスに限定されます。 -
per-logical-interface-firewallでは、ifd の ifl にまたがるフィルターの IPv6 アドレスは排他的である必要があります。 -
インターフェイス固有のノブは、IPv6アドレスの一致では推奨されません。
-
IFLが異なるVLANに属している場合、IPv6アドレスが一致する同じフィルターを持つことはできません。
必要な権限レベル
インターフェイス
リリース情報
Junos OSリリース22.2R1(QFX5110、QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5120-48YM、QFX5200、およびQFX5210)で導入されたステートメント