enhanced-mode
Syntax
enhanced-mode;
Hierarchieebene
[edit dynamic-profiles profile-name firewall family family-name filter filter-name], [edit firewall filter filter-name], [edit firewall family family-name filter filter-name], [edit logical-systems logical-system-name firewall filter filter-name], [edit logical-systems logical-system-name firewall family family-name filter filter-name]
Beschreibung
Beschränken Sie statische Servicefilter oder API-Client-Filter auf das begriffsbasierte Filterformat nur für inet- oder inet6-Familien, wenn der erweiterte Netzwerkservicemodus auf Hierarchieebene [edit chassis network-services] konfiguriert ist. Sie können keine Filter mit erweitertem Modus an lokale Loopback-, Verwaltungs- oder MS-DPC-Schnittstellen anfügen. Diese Schnittstellen werden von der Routing-Engine und DPC-Modulen verarbeitet und können nur kompilierte Firewall-Filterformate akzeptieren. In Fällen, in denen beide Filterformate für dynamische Servicefilter erforderlich sind, können Sie die Erweiterte Modus-Override-Anweisung für die spezifische Filterdefinition verwenden, um das standardmäßige filterbegriffbasierte Format des erweiterten IP-Modus für Chassis-Netzwerkservice zu überschreiben. Die enhanced-mode Und die enhanced-mode-override Aussagen schließen sich gegenseitig aus. Sie können den Filter mit entweder enhanced-mode oder enhanced-mode-override, aber nicht mit beidem definieren.
Bei Routern der MX-Serie mit MPCs müssen Sie nur Trio-Match-Filter (d. h. einen Filter, der mindestens eine Übereinstimmungsbedingung oder Aktion enthält, die nur vom Trio-Chipsatz unterstützt wird) initialisieren, indem Sie die entsprechende SNMP-MIB aufrufen. Beispielsweise müssen Sie für alle Filter, die in Bezug auf nur Trio-Filter konfiguriert oder geändert werden, einen Befehl wie den folgenden ausführen: show snmp mib walk (ascii | decimal) object-id. Dadurch muss Junos die Filterzähler kennen lernen und sicherstellen, dass die Filterstatistiken angezeigt werden. Dieser Leitfaden gilt für alle enhanced-mode Firewall-Filter. Sie gilt auch für Firewall-Filter Match-Bedingungen für IPv4-Datenverkehr mit flexiblen Übereinstimmungsfilterbedingungen für Offset-Bereich oder Offset-Masken gre-keysowie Firewall-Filter-Übereinstimmungsbedingungen für IPv6-Datenverkehr mit einer der folgenden Übereinstimmungsbedingungen: payload-protocol, extension headers, is_fragment. Sie gilt auch für Filter mit einer der folgenden Terminierungsaktionen für Firewall-Filter: encapsulate oder decapsulateeine der folgenden firewallfilterungsfreien Aktionen: policy-mapund clear-policy-map.
Bei Verwendung mit einem der chassis-erweiterten Netzwerkservicemodi werden Firewall-Filter im begriffsbasierten Format für die Verwendung mit MPC-Modulen generiert. Verwenden Sie den erweiterten Modus nicht für Firewall-Filter, die für den Datenverkehr auf Steuerungsebene vorgesehen sind. Die Filterung der Steuerungsebene wird vom Kernel der Routing-Engine verwaltet, der das begriffsbasierte Format der Filter des erweiterten Modus nicht verwenden kann.
Wenn erweiterte Netzwerkservices nicht für das Gehäuse konfiguriert sind, wird die enhanced-mode Anweisung ignoriert und alle Firewall-Filter mit erweitertem Modus werden sowohl im begriffsbasierten als auch im standardbasierten, kompilierten Format generiert. Unabhängig von der Einstellung enhanced-mode der Anweisung aufedit chassis network-services Hierarchieebene [] werden nur begriffsbasierte (erweiterte) Firewall-Filter generiert, wenn einer der folgenden Punkte zutrifft:
Flexible Filter-Übereinstimmungsbedingungen werden auf der
[edit firewall family family-name filter filter-name term term-name from]Hierarchie- oder[edit firewall filter filter-name term term-name from]Hierarchieebene konfiguriert.Eine Push- oder Pop-Aktion des Tunnel-Headers, wie z. B. GRE-Kapselung oder Entkapselung, wird auf Hierarchieebene
[edit firewall family family-name filter filter-name term term-name then]konfiguriert.Die Übereinstimmungsbedingungen für das Payload-Protokoll werden auf der
[edit firewall family family-name filter filter-name term term-name from]Hierarchie- oder[edit firewall filter filter-name term term-name from]Hierarchieebene konfiguriert.Eine Extension-Header-Übereinstimmung wird auf der
[edit firewall family family-name filter filter-name term term-name from]Hierarchie- oder[edit firewall filter filter-name term term-name from]Hierarchieebene konfiguriert.Es wird eine Übereinstimmungsbedingung konfiguriert, die nur mit MPC-Karten funktioniert, z. B. Firewall-Bridge-Filter für IPv6-Datenverkehr.
Bei Paketen, die von der Routing-Engine stammen, verarbeitet die Routing-Engine Layer-3-Pakete, indem sie Ausgabefilter auf die Pakete anwendet und Layer-2-Pakete zur Übertragung an die Packet Forwarding Engine weiterleitt. Indem Sie den Filter für den erweiterten Modus konfigurieren, geben Sie explizit an, dass nur das begriffsbasierte Filterformat verwendet wird, was auch bedeutet, dass die Routing-Engine diesen Filter nicht verwenden kann.
Erforderliche Berechtigungsstufe
Firewall: Diese Anweisung wird in der Konfiguration angezeigt.
Firewall-Steuerung: So fügen Sie diese Anweisung zur Konfiguration hinzu.
Versionsinformationen
Erklärung eingeführt in Junos OS Version 11.4.