Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

enhanced-mode

Syntax

Hierarchy Level

Description

Limitez les filtres de services statiques ou les filtres client API au format de filtre basé sur des terme uniquement pour les familles inet ou inet6 lorsque le mode de services réseau améliorés est configuré au niveau de [edit chassis network-services] la hiérarchie. Vous ne pouvez pas joindre de filtres de mode améliorés à la boucle, à la gestion ou aux interfaces MS-DPC locales. Ces interfaces sont traitées par les modules moteur de routage et DPC et ne peuvent accepter que le format de filtre de pare-feu compilé. Dans les cas où les deux formats de filtre sont nécessaires pour mettre en place des filtres de services dynamiques, vous pouvez utiliser l’instruction de remplacement de mode amélioré sur la définition de filtre spécifique pour remplacer le format de filtre par défaut basé uniquement sur le format de service réseau de châssis mode IP amélioré. Les énoncés et les énoncés sont mutuellement exclusifs ; vous pouvez définir le filtre avec l’un ou l’autre, enhanced-modeenhanced-mode-override mais pas les enhanced-modeenhanced-mode-override deux.

Remarque :

Pour les routeurs MX Series avec MPC, vous devez initialiser les filtres de correspondance Trio uniquement (c’est-à-dire un filtre qui inclut au moins une condition de correspondance ou une action uniquement prise en charge par la puce Trio) en s’édondant aux MIB SNMP correspondants. Par exemple, pour tout filtre configuré ou modifié en ce qui concerne leurs filtres Trio uniquement, vous devez exécuter une commande telle que: show snmp mib walk (ascii | decimal) object-id. Junos est alors contraint d’apprendre les compteurs des filtres et de s’assurer que les statistiques de filtre sont affichées. Cette directive s’applique à tous les enhanced-mode filtres de pare-feu. Il s’applique également aux conditions de correspondance de filtre de pare-feu pour le trafic IPv4 avec des conditions de filtre de correspondance flexibles pour la plage de correspondances ou le masque de correspondance de pare-feu, ainsi que les conditions de correspondance de filtre de pare-feu pour le trafic IPv6 avec l’une des conditions de gre-key correspondance https://www.juniper.net/documentation/en_US/junos/topics/reference/general/firewall-filter-match-conditions-for-ipv6-traffic.html suivantes: payload-protocol, extension headers, is_fragment. Il s’applique également aux filtres avec l’une des actions de terminaison de filtre de pare-feu suivantes: encapsulatedecapsulateou l’un des filtres de pare-feu suivants Actions non- policy-mapet clear-policy-map .

Lorsqu’ils sont utilisés avec l’un des modes de services réseau améliorés du châssis, les filtres de pare-feu sont générés au format basé sur des termes pour être utilisés avec les modules MPC. N’utilisez pas de mode amélioré pour les filtres de pare-feu destinés au trafic du plan de contrôle. Le filtrage du plan de contrôle est géré par moteur de routage, qui ne peut utiliser le format basé sur des termes des filtres de mode améliorés.

Si les services réseau améliorés ne sont pas configurés pour le châssis, l’instruction est ignorée et des filtres de pare-feu mode améliorés sont générés à la fois en fonction des termes et au format compilé par enhanced-mode défaut. Seuls des filtres de pare-feu basés sur des termes (améliorés) seront générés, indépendamment des paramètres de l’énoncé au niveau hiérarchique [ ] si l’un des énoncés suivants est enhanced-modeedit chassis network-services vrai:

  • Des conditions de correspondance de filtre flexibles sont configurées au [edit firewall family family-name filter filter-name term term-name from] niveau hiérarchique ou au niveau [edit firewall filter filter-name term term-name from] supérieur.

  • Une action d’en-tête de tunnel ou de pop, telle que GRE encapsuler ou décasulate, est configurée au niveau [edit firewall family family-name filter filter-name term term-name then] de la hiérarchie.

  • Les conditions de correspondance de protocole de charge utile sont configurées aux [edit firewall family family-name filter filter-name term term-name from] niveaux [edit firewall filter filter-name term term-name from] hiérarchiques ou inférieurs.

  • Une correspondance d’en-tête d’extension est configurée au niveau de la hiérarchie [edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from] ou au niveau.

  • Une condition de correspondance est configurée qui fonctionne uniquement avec les cartes MPC, telles que les filtres de pontage de pare-feu pour le trafic IPv6.

Pour les paquets provenant de la moteur de routage, le moteur de routage traite les paquets de couche 3 en appliquant des filtres de sortie aux paquets et en transfert des paquets de couche 2 vers le moteur de transfert de paquets pour transmission. Lors de la configuration du filtre mode amélioré, vous spécifiez explicitement que seul le format de filtre basé sur des termes est utilisé, ce qui signifie également que l’moteur de routage ne peut pas utiliser ce filtre.

Required Privilege Level

pare-feu: pour afficher cet énoncé dans la configuration.

contrôle de pare-feu: pour ajouter cette instruction à la configuration.

Release Information

Déclaration publiée dans Junos OS version 11.4.