Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

增强模式

语法

层次结构级别

说明

[edit chassis network-services]层次结构级别上配置增强网络服务模式时,仅针对 inet 或 inet6 系列将静态服务过滤器或 API 客户端过滤器限制为基于术语的过滤器格式。您不能将增强模式过滤器附加到本地回传、管理或 MS DPC 接口。这些接口由路由引擎和 DPC 模块处理,只能接受编译的防火墙过滤器格式。如果动态服务过滤器需要两种过滤器格式,您可以使用特定过滤器定义上的增强模式覆盖语句替代机箱 网络服务 增强型 IP 模式仅基于默认过滤器术语的格式。 enhanced-mode 和 语句 enhanced-mode-override 相互排斥;您可以使用 或 定义过滤器, enhanced-modeenhanced-mode-override 但不能二者同时定义。

注:

对于带 Mpc 的 MX 系列路由器,需要通过相应的 SNMP MIB 初始化仅 Trio 匹配过滤器(即至少包含一个由 Trio 芯片组支持的匹配条件或操作的过滤器)。例如,对于根据 Trio 仅过滤器配置或更改的任何过滤器,您需要运行以下命令:show snmp mib walk (ascii | decimal) object-id. 这会强制 Junos 了解过滤器计数器并确保显示过滤器统计信息。本指南适用于所有enhanced-mode防火墙过滤器。它还适用于具有灵活匹配过滤器术语的IPv4 流量的防火墙过滤器匹配条件gre-key以及符合以下任何条件的 IPv6 流量的防火墙过滤器匹配条件:payload-protocol, extension headers, is_fragment. 它还适用于使用以下任一防火墙过滤器终止操作的过滤器:encapsulatedecapsulate或以下任一防火墙过滤器 Nonterminating 操作policy-mapclear-policy-map

与机箱增强型网络服务模式一起使用时,防火墙过滤器将采用基于术语的格式生成,以便与 MPC 模块一起使用。不要将用于控制平面流量的防火墙过滤器使用增强模式。控制平面过滤由路由引擎内核处理,不能使用增强模式过滤器的基于术语的格式。

如果没有为机箱配置增强网络服务,则忽略该enhanced-mode语句,并在两种基于术语和默认的已编译格式中生成任何增强模式防火墙过滤器。无论存在以下任何一种情况,都将仅生成基于术语(增强型)的enhanced-mode防火墙过滤器,而edit chassis network-services不管在 [] 层次结构级别上的语句如何设置:

  • 灵活过滤器匹配条件配置在[edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from]层次结构级别。

  • [edit firewall family family-name filter filter-name term term-name then]层次结构级别上配置了一个通道标头推送或弹出操作,如 GRE 封装或 decapsulate。

  • 有效负载协议匹配条件在[edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from]层次结构级别配置。

  • 扩展标头匹配在[edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from]层次结构级别配置。

  • 配置的匹配条件仅适用于 MPC 卡,例如 IPv6 流量的防火墙桥接过滤器。

对于源自路由引擎的数据包,路由引擎处理第3层数据包,方法是将输出过滤器应用于数据包,然后将第2层数据包转发到数据包转发引擎进行传输。通过配置增强模式过滤器,可明确指定仅使用基于术语的过滤器格式,这也表示路由引擎不能使用此过滤器。

所需的权限级别

防火墙 — 要查看配置中的此语句。

防火墙控制 - 要将此语句添加至配置中。

发布信息

在 11.4 Junos OS中引入的语句。