Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

modo mejorado

 

Sintaxis

Nivel de jerarquía

Release Information

Instrucción introducida en Junos OS versión 11,4.

Declaración introducida en Junos OS versión 12.3 R2 para los conmutadores de la serie EX.

Descripción

Limite los filtros de servicio estático o de API-cliente al formato de filtro basado en términos solamente para las familias inet o inet6 cuando el modo servicios [edit chassis network-services] de red mejorada está configurado en el nivel de jerarquía. No se pueden conectar filtros de modo mejorado a interfaces de bucle de retroceso, administración o MS-DPC locales. Estas interfaces son procesadas por los módulos motor de enrutamiento y DPC, y solo pueden aceptar el formato de filtro de Firewall compilado. En los casos donde los dos formatos de filtro son necesarios para los filtros de servicio dinámico, puede utilizar la instrucción mode override de la definición de filtro específica para reemplazar el formato predeterminado basado en términos de filtro solo de red-servicio mejorado IP medio. El enhanced-mode y la enhanced-mode-override las instrucciones se excluyen mutuamente; puede definir el filtro con enhanced-mode o enhanced-mode-override, pero no ambos.

Nota

Para enrutadores de la serie MX con el MPCs, debe inicializar los filtros de coincidencia de trío solamente (es decir, un filtro que incluya al menos una condición o acción de coincidencia que solo sea compatible con el conjunto de chips de trío) recorriendo el BIA de SNMP correspondiente. Por ejemplo, para cualquier filtro que se configure o cambie con respecto a sus filtros de sólo trío, es necesario ejecutar un comando como el siguiente: show snmp mib walk (ascii | decimal) object-id. Esto obliga a Junos a aprender los contadores de filtro y garantizar que se muestran las estadísticas del filtro. Esta guía se aplica a enhanced-mode todos los filtros de Firewall. También se aplica a Firewall Filter Match Conditions for IPv4 Traffic con términos de filtro de coincidencia flexibles para condiciones de desplazamiento gre-keyo máscara de desplazamiento y de Firewall Filter Match Conditions for IPv6 Traffic con cualquiera de las siguientes condiciones de coincidencia : payload-protocol, extension headers, is_fragment. También se aplica a los filtros con cualquiera de las Firewall Filter Terminating Actionssiguientes: encapsulateo decapsulatecualquiera de las siguientes acciones de no Firewall Filter Nonterminating Actions: policy-map, y clear-policy-map.

Cuando se utiliza con uno de los modos de servicios de red mejorados del chasis, los filtros de Firewall se generan en formato de términos para utilizarlos con módulos MPC. No utilice el modo mejorado para filtros del cortafuegos que estén destinados al tráfico del plano de control. El filtro de plano de control lo controla el núcleo del motor de enrutamiento, que no puede utilizar el formato basado en términos de los filtros de modo mejorado.

Si los servicios de red mejorados no están configurados enhanced-mode para el chasis, se omite la instrucción y se generan filtros de Firewall de modo mejorado tanto en el formato compilado según el término como en el predeterminado. Solo se generarán filtros de Firewall (mejorados) basados en términos, independientemente de la configuración enhanced-mode de la instrucción enedit chassis network-servicesel nivel de jerarquía [], si se cumple alguna de las condiciones siguientes:

  • Las condiciones flexibles de coincidencia de filtros se [edit firewall family family-name filter filter-name term term-name from] configuran en los niveles o [edit firewall filter filter-name term term-name from] jerarquía.

  • Una acción de inserción o extracción de encabezado de túnel, como encapsulado GRE o decapsulate, está [edit firewall family family-name filter filter-name term term-name then] configurada en el nivel de jerarquía.

  • Las condiciones de coincidencia de protocolo de carga están [edit firewall family family-name filter filter-name term term-name from] configuradas en los niveles o [edit firewall filter filter-name term term-name from] jerarquía.

  • Una coincidencia de encabezado de extensión se configura en [edit firewall family family-name filter filter-name term term-name from] los [edit firewall filter filter-name term term-name from] niveles de jerarquía o.

  • Se configura una condición de coincidencia que solo funciona con tarjetas MPC, como filtros de puente de Firewall para el tráfico IPv6.

Para los paquetes procedentes del motor de enrutamiento, el motor de enrutamiento procesa los paquetes de capa 3 aplicando filtros de salida a los paquetes y reenvía los paquetes de capa 2 a la motor de reenvío de paquetes para su transmisión. Mediante la configuración del filtro de modo mejorado, se especifica de forma explícita que solo se utiliza el formato de filtro basado en términos, que también implica que el motor de enrutamiento no puede utilizar este filtro.

Nivel de privilegio requerido

Firewall—para ver esta instrucción en la configuración.

Firewall-control—para agregar esta instrucción a la configuración.