enhanced-mode

语法

层次结构级别

描述

在层次结构级别配置[edit chassis network-services]增强型网络服务模式时，将静态服务过滤器或 API 客户端过滤器限制为基于术语的过滤器格式，仅适用于 inet 或 inet6 系列。不能将增强型模式筛选器附加到本地环路、管理或 MS-DPC 接口。这些接口由路由引擎和 DPC 模块处理，只能接受编译的防火墙过滤器格式。如果动态服务过滤器需要这两种过滤器格式，您可以对特定过滤器定义使用增强模式覆盖语句来覆盖机箱网络服务增强型 IP 模式的默认过滤器仅术语格式。和enhanced-mode语句enhanced-mode-override是互斥的;您可以使用 或 enhanced-mode-override定义过滤器enhanced-mode，但不能同时使用两者。

注意：

对于带有 MPC 的 MX 系列路由器，您需要通过执行相应的 SNMP MIB 来初始化仅 Trio 匹配过滤器（即，包含至少一个仅 Trio 芯片组支持的匹配条件或操作的过滤器）。例如，对于相对于其仅 Trio 筛选器配置或更改的任何筛选器，需要运行如下命令： show snmp mib walk (ascii | decimal) object-id。这将强制 Junos 学习过滤器计数器并确保显示过滤器统计信息。本指南适用于所有 enhanced-mode 防火墙筛选器。它还适用于具有偏移范围或偏移掩码的灵活匹配过滤器术语的 IPv4 流量的防火墙过滤器匹配条件 ， gre-key以及具有以下任何匹配条件的 IPv6 流量的防火墙过滤器匹配条件 ： payload-protocol、 extension headers、 is_fragment。它也适用于具有以下 防火墙过滤器终止操作之一的过滤器： encapsulate 或 decapsulate，或以下 防火墙过滤器非终止操作之一： policy-map、 和 clear-policy-map。

与机箱增强型网络服务模式之一一起使用时，防火墙过滤器会以基于术语的格式生成，以便与 MPC 模块配合使用。不要对用于控制平面流量的防火墙过滤器使用增强模式。控制平面过滤由路由引擎内核处理，该内核无法使用增强型模式过滤器的基于术语的格式。

如果未为机箱配置增强型网络服务，则会忽略该 enhanced-mode 语句，并以基于术语和默认编译格式生成任何增强型模式防火墙过滤器。如果满足以下任一条件，则只会生成基于术语的（增强型）防火墙过滤器，无论语句在 enhanced-mode [edit chassis network-services] 层级的设置如何：

• 灵活的过滤器匹配条件在或[edit firewall filter filter-name term term-name from]层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]。

• 隧道标头推送或弹出操作（如 GRE 封装或解封装）在层次结构级别进行配置 [edit firewall family family-name filter filter-name term term-name then] 。

• 有效负载协议匹配条件在或[edit firewall filter filter-name term term-name from]层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]。

• 扩展标头匹配是在 或 [edit firewall filter filter-name term term-name from] 层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]的。

• 配置的匹配条件仅适用于 MPC 卡，例如 IPv6 流量的防火墙网桥过滤器。

对于来自路由引擎的数据包，路由引擎通过对数据包应用输出过滤器来处理第 3 层数据包，并将第 2 层数据包转发到数据包转发引擎进行传输。通过配置增强型模式过滤器，您可以明确指定仅使用基于术语的过滤器格式，这也意味着路由引擎不能使用此过滤器。

所需权限级别

防火墙 - 在配置中查看此语句。

防火墙控制 — 将此语句添加到配置中。

发布信息

Junos OS 11.4 版 中引入的语句。