Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

enhanced-mode

Syntax

Hierarchy Level

Description

Limitar filtros de serviço estáticos ou filtros de CLIENTE DE API ao formato de filtro baseado em termo apenas para famílias de inet ou inet6 quando o modo de serviços de rede aprimorado estiver configurado em nível [edit chassis network-services] de hierarquia. Você não pode anexar filtros de modo aprimorado a interfaces locais de loopback, gerenciamento ou DPC MS. Essas interfaces são processadas pelos módulos Mecanismo de Roteamento e DPC e só podem aceitar formato de filtro de firewall compilado. Nos casos em que ambos os formatos de filtro são necessários para filtros de serviço dinâmicos, você pode usar a instrução enhanced-mode-override na definição de filtro específica para substituir o formato único baseado em termos de filtro padrão do modo IP aprimorado do serviço de rede do chassi. As enhanced-mode declarações e as declarações são enhanced-mode-override mutuamente exclusivas; você pode definir o filtro com enhanced-modeenhanced-mode-override ou, mas não com ambas.

Nota:

Para roteadores da Série MX com MPCs, você precisa inicializar filtros de combinação somente Trio (ou seja, um filtro que inclui pelo menos uma condição ou ação de combinação que só seja suportado pelo chipset Trio) com a prática do SNMP MIB. Por exemplo, para qualquer filtro configurado ou alterado com relação aos filtros somente Trio, você precisa executar um comando como o seguinte: show snmp mib walk (ascii | decimal) object-id. Isso força o Junos a aprender os contadores de filtro e a garantir que as estatísticas de filtro sejam visualizadas. Essa orientação se aplica a todos os filtros enhanced-mode de firewall. Ele também se aplica a condições de combinação de filtro de firewall para tráfego IPv4 com termos de filtro de combinação flexível para intervalo de deslocamento ou máscara de deslocamento, e condições de combinação de filtro de firewall para gre-key tráfego IPv6 com qualquer uma das seguintes condições de combinação: payload-protocol, extension headers, is_fragment. Ele também se aplica a filtros com as seguintes ações de terminação de filtro de firewall: encapsulate ou, decapsulate ou uma das seguintes ações não-interminadas dofiltro de firewall: policy-mape. clear-policy-map

Quando usado com um dos modos de serviços de rede aprimorados de chassi, os filtros de firewall são gerados em formato baseado em termo para uso com módulos MPC. Não use o modo aprimorado para filtros de firewall destinados ao tráfego de plano de controle. A filtragem de plano de controle é manipulada pelo kernel Mecanismo de Roteamento, que não pode usar o formato baseado em termo dos filtros de modo aprimorado.

Se os serviços de rede aprimorados não estão configurados para o chassi, a declaração é ignorada e quaisquer filtros de firewall do modo aprimorado são gerados no formato compilado e baseado em termos e enhanced-mode padrão. Somente filtros de firewall baseados em termo (aprimorados) serão gerados, independentemente da configuração da instrução no nível da hierarquia [ ] se algum dos seguintes for enhanced-modeedit chassis network-services verdadeiro:

  • As condições de combinação de filtro flexíveis estão configuradas nos níveis [edit firewall family family-name filter filter-name term term-name from] ou [edit firewall filter filter-name term term-name from] na hierarquia.

  • Uma ação push ou pop do cabeamento de túnel, como encapsulamento ou decapsulto DE GRE, está configurada no nível [edit firewall family family-name filter filter-name term term-name then] da hierarquia.

  • As condições de combinação do protocolo de carga estão configuradas nos níveis [edit firewall family family-name filter filter-name term term-name from] ou [edit firewall filter filter-name term term-name from] na hierarquia.

  • Uma combinação de cabeamento de extensão está configurada nos níveis [edit firewall family family-name filter filter-name term term-name from] ou [edit firewall filter filter-name term term-name from] na hierarquia.

  • Configura-se uma condição de combinação que só funciona com placas MPC, como filtros de ponte de firewall para tráfego IPv6.

Para pacotes de origem Mecanismo de Roteamento, a Mecanismo de Roteamento processa pacotes de Camada 3 aplicando filtros de saída aos pacotes e encaminha pacotes de Camada 2 ao Mecanismo de Encaminhamento de Pacotes para transmissão. Ao configurar o filtro de modo aprimorado, você especificará explicitamente que apenas o formato de filtro baseado em termo é usado, o que também implica que a Mecanismo de Roteamento não pode usar esse filtro.

Required Privilege Level

firewall — para exibir essa instrução na configuração.

controle de firewall — para adicionar essa instrução à configuração.

Release Information

Declaração lançada na versão 11.4 do Junos OS.