Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

enhanced-mode

Syntaxe

Niveau hiérarchique

Description

Limitez les filtres de service statiques ou les filtres client d’API au format de filtre basé sur des termes uniquement pour les familles inet ou inet6 lorsque le mode de services réseau amélioré est configuré au niveau de la [edit chassis network-services] hiérarchie. Vous ne pouvez pas joindre de filtres de mode amélioré aux interfaces de bouclage, de gestion ou MS-DPC locales. Ces interfaces sont traitées par le moteur de routage et les modules DPC et peuvent accepter uniquement le format de filtre de pare-feu compilé. Dans les cas où les deux formats de filtres sont nécessaires pour les filtres de service dynamiques, vous pouvez utiliser l’instruction enhanced-mode-override (remplacement du mode amélioré) de la définition de filtre spécifique pour remplacer le format par défaut basé uniquement sur les termes du châssis en mode IP amélioré pour le service réseau. Les enhanced-mode déclarations et les enhanced-mode-override déclarations sont mutuellement exclusives ; vous pouvez définir le filtre avec l’un enhanced-mode ou enhanced-mode-override, mais pas les deux.

Remarque :

Pour les routeurs MX Series avec MPC, vous devez initialiser les filtres de correspondance Trio uniquement (c’est-à-dire un filtre qui inclut au moins une condition ou une action correspondant uniquement à la puce Trio) en marchant sur le MIB SNMP correspondant. Par exemple, pour tout filtre configuré ou modifié en ce qui concerne ses filtres Trio uniquement, vous devez exécuter une commande telle que : show snmp mib walk (ascii | decimal) object-id. Cela force Junos à connaître les compteurs de filtres et à s’assurer que les statistiques des filtres sont affichées. Ce guide s’applique à tous les enhanced-mode filtres de pare-feu. Elle s’applique également aux conditions de correspondance des filtres de pare-feu pour le trafic IPv4 avec des conditions de filtre de correspondance flexibles pour la plage de décalage ou le masque décalé, gre-keyet les conditions de correspondance des filtres de pare-feu pour le trafic IPv6 avec l’une des conditions de correspondance suivantes : payload-protocol, extension headers, is_fragment. Il s’applique également aux filtres avec l’une des actions de terminaison de filtre de pare-feu suivantes : encapsulate ou decapsulate, ou l’une des actions de filtrage de pare-feu non déterminantes suivantes : policy-map, et clear-policy-map.

Lorsqu’ils sont utilisés avec l’un des modes de services réseau améliorés du châssis, les filtres de pare-feu sont générés dans un format basé sur les termes, utilisable avec les modules MPC. N’utilisez pas le mode amélioré pour les filtres de pare-feu destinés au trafic du plan de contrôle. Le filtrage du plan de contrôle est géré par le noyau du moteur de routage, qui ne peut pas utiliser le format basé sur les termes des filtres de mode amélioré.

Si les services réseau améliorés ne sont pas configurés pour le châssis, l’instruction enhanced-mode est ignorée et les filtres de pare-feu du mode amélioré sont générés à la fois au format compilé basé sur des termes et au format compilé par défaut. Seuls les filtres de pare-feu basés sur les termes (améliorés) seront générés, quel que soit le paramètre de l’instruction enhanced-mode au niveau de la hiérarchie [edit chassis network-services], si l’un des éléments suivants est vrai :

  • Les conditions de correspondance de filtre flexibles sont configurées au niveau de la [edit firewall family family-name filter filter-name term term-name from] hiérarchie.[edit firewall filter filter-name term term-name from]

  • Une action push ou pop d’en-tête de tunnel, telle que l’encapsulation ou la décapsulation GRE, est configurée au niveau de la [edit firewall family family-name filter filter-name term term-name then] hiérarchie.

  • Les conditions de correspondance entre le protocole de charge utile et les niveaux hiérarchiques [edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from] sont configurées.

  • Une correspondance extension-en-tête est configurée au niveau de la [edit firewall family family-name filter filter-name term term-name from] hiérarchie.[edit firewall filter filter-name term term-name from]

  • Une condition de correspondance est configurée qui fonctionne uniquement avec les cartes MPC, telles que les filtres de pontage de pare-feu pour le trafic IPv6.

Pour les paquets provenant du moteur de routage, le moteur de routage traite les paquets de couche 3 en appliquant des filtres de sortie aux paquets et transfère les paquets de couche 2 au moteur de transfert de paquets pour transmission. En configurant le filtre en mode amélioré, vous spécifiez explicitement que seul le format de filtre basé sur les termes est utilisé, ce qui implique également que le moteur de routage ne peut pas utiliser ce filtre.

Niveau de privilège requis

pare-feu : pour afficher cette instruction dans la configuration.

pare-feu-contrôle : pour ajouter cette instruction à la configuration.

Informations de mise à jour

Déclaration présentée dans Junos OS version 11.4.