Часто бывает необходимо заблокировать определенные «подсети» или наоборот разрешить определенные IP адреса на доступ в некий VLAN. Для этого используем механизм Firewall Filter.
Например, мы хотим разрешить только двум компьютерам доступ в наш VLAN.
Создаем policy, в котором перечисляем разрешенные адреса компьютеров, после чего создаем непосредственно сам фильтр.
policy-options { prefix-list whitelist-ip { 192.168.1.10/32; 192.168.1.10/32; } } firewall { family inet { filter whitelist-ip-allow { interface-specific; term allow { from { destination-prefix-list { whitelist-ip; } } then accept; } term other { then { discard; } } } } }
Firewall filter может включать в себя несколько term, которые выполняются последовательно.
Следующим шагом, мы прикручиваем фильтр, например на наш интерфейс (VLAN)
vlan { unit 30 { family inet { filter { input whitelist-ip-allow; } address 10.1.30.1/24; } } }
Собственно все.