Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

enhanced-mode

Syntax

Hierarchy Level

Description

在层次结构级别配置增强型网络服务模式时,仅将静态服务过滤器或 API 客户端过滤器限制为 [edit chassis network-services] 基于术语的过滤器格式,适用于 inet 或 inet6 系列。您无法将增强型模式过滤器连接到本地回传、管理或 MS-DPC 接口。这些接口由路由引擎和 DPC 模块处理,只能接受编译的防火墙过滤器格式。如果动态服务过滤器需要两种过滤器格式,则可以使用特定过滤器定义上的增强模式替代语句来替代基于默认过滤器术语的机箱网络服务增强型 IP 模式格式。和enhanced-mode语句是相互排斥的enhanced-mode-override;您可以用两者来enhanced-modeenhanced-mode-override定义过滤器,但是不能两者兼而有之。

注:

对于带 MPC 的 MX 系列路由器,您需要通过走相应的 SNMP MIB 来初始化仅 Trio 匹配过滤器(即至少包含一个仅由 Trio 芯片组支持的匹配条件或操作的过滤器)。例如,对于仅针对 Trio 过滤器配置或更改的任何过滤器,您需要运行命令,例如:show snmp mib walk (ascii | decimal) object-id. 这迫使 Junos 学习过滤器计数器,并确保显示过滤器统计信息。本指南适用于所有 enhanced-mode 防火墙过滤器。它还适用于 IPv4 流量的防火墙过滤器匹配条件 以及用于偏移范围或偏移掩码 gre-key的灵活匹配过滤器条款,以及具有以下任何匹配条件的 IPv6 流量的防火墙过滤器匹配条件payload-protocol, extension headers, is_fragment. 它还适用于使用以下 防火墙过滤器终止操作之一的过滤器:encapsulatedecapsulate或以下 防火墙过滤器中的任一项非端点操作policy-mapclear-policy-map.

与其中一种机箱增强型网络服务模式配合使用时,将按期限格式生成防火墙过滤器,以便与 MPC 模块配合使用。请勿将增强型模式用于用于控制平面流量的防火墙过滤器。控制平面过滤由路由引擎内核处理,无法使用增强模式过滤器的基于术语的格式。

如果未为机箱配置增强型网络服务,则会忽略该 enhanced-mode 语句,并且会以基于术语和默认的编译格式生成任何增强型模式防火墙过滤器。如果以下任何一项属实,将仅生成基于术语(增强型)防火墙过滤器,而不管 [edit chassis network-services] 层次结构级别上的语句设置enhanced-mode如何:

  • 灵活的过滤器匹配条件在 [edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from] 层级配置。

  • 层级配置 [edit firewall family family-name filter filter-name term term-name then] 了隧道标头推送或弹出操作,例如 GRE 封装或解封装。

  • 有效负载协议匹配条件在 [edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from] 层级配置。

  • 扩展标头匹配在或[edit firewall filter filter-name term term-name from]层级配置[edit firewall family family-name filter filter-name term term-name from]

  • 配置了仅与 MPC 卡配合使用的匹配条件,例如适用于 IPv6 流量的防火墙桥接过滤器。

对于来自路由引擎的数据包,路由引擎将通过将输出过滤器应用于数据包并将第 2 层数据包转发至数据包转发引擎以进行传输,以处理第 3 层数据包。通过配置增强型模式过滤器,您明确指定仅使用基于术语的过滤器格式,这也意味着路由引擎无法使用此过滤器。

Required Privilege Level

防火墙 — 要在配置中查看此语句。

防火墙控制 — 要将此语句添加到配置中。

Release Information

在 Junos OS 11.4 版中引入的语句。