ポリシーセットを定義する。新しいコネクションが発生するたびに、先頭から順に一致するか否かを評価する。
階層的な構造になっている場合には、上位のポリシーフィルタから順に評価し、より深い階層のポリシーフィルタを採用する。
階層を表現するためには「[」と「]」の記号を用いる。「[」は 1 つ下の階層への移動、「]」は 1 つ上の階層への移動を意味する。
「[」は番号の前に記述し「]」は番号の直後に記述する。
ポリシーフィルタの番号の直後に「-」を付け加えることで、そのポリシーフィルタを無効にすることができる。
なお、同じポリシーフィルタを重複して設定することはできない。
LAN から PP へは WEB サイトの閲覧のみを許可する
#ip policy filter 1 reject-nolog lan1 pp1 * * * #ip policy filter 2 pass-nolog * * * * www #ip policy filter set 1 name="WWW Access" 1 [2] #ip policy filter set enable 1