enhanced-mode
構文
enhanced-mode;
階層レベル
[edit dynamic-profiles profile-name firewall family family-name filter filter-name], [edit firewall filter filter-name], [edit firewall family family-name filter filter-name], [edit logical-systems logical-system-name firewall filter filter-name], [edit logical-systems logical-system-name firewall family family-name filter filter-name]
説明
拡張ネットワークサービスモードが 階層レベルで設定[edit chassis network-services]されている場合、inet または inet6 ファミリーに対してのみ、静的サービスフィルターまたは API クライアントフィルターを用語ベースのフィルター形式に制限します。拡張モード フィルターは、ローカル ループバック、管理、または MS-DPC インターフェイスにはアタッチできません。これらのインターフェイスは、ルーティング エンジンと DPC モジュールによって処理され、コンパイルされたファイアウォール フィルター形式のみを受け入れることができます。ダイナミック サービス フィルターに両方のフィルター形式が必要な場合は、特定のフィルター定義で enhanced-mode-override ステートメントを使用して、シャーシ ネットワーク サービス拡張 IP モードのデフォルトのフィルター条件ベースのみの形式を上書きできます。この enhanced-mode と のenhanced-mode-overrideステートメントは相互に排他的です。フィルターは または enhanced-mode-overrideのいずれかenhanced-modeで定義できますが、両方で定義することはできません。
MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、Trioのみの一致フィルター(Trioチップセットでのみサポートされている一致条件またはアクションを少なくとも1つ含むフィルター)を初期化する必要があります。たとえば、Trio のみのフィルタに関して設定または変更されたフィルタについては、次のようなコマンドを実行する必要があります。 show snmp mib walk (ascii | decimal) object-idこれにより、Junosはフィルターカウンターを学習し、フィルター統計が表示されていることを確認します。このガイダンスは、すべてのenhanced-modeファイアウォール フィルターに適用されます。また、オフセット範囲またはオフセットマスクgre-keyに柔軟な一致フィルター条件があるIPv4トラフィックのファイアウォールフィルター一致条件、および次のいずれかの一致条件を持つIPv6トラフィックのファイアウォールフィルター一致条件 にも適用されます:payload-protocol、、。 extension headersis_fragmentまた、ファイアウォールフィルター終了アクション:または 、またはdecapsulate、または次のファイアウォールフィルター非終了アクションencapsulateのいずれかを持つフィルターにも適用されます:policy-map、clear-policy-mapおよび。
シャーシの拡張ネットワークサービスモードの1つで使用する場合、ファイアウォールフィルターは、MPCモジュールで使用する用語ベースの形式で生成されます。コントロールプレーントラフィック用のファイアウォールフィルターには、拡張モードを使用しないでください。コントロールプレーンフィルタリングはルーティングエンジンカーネルによって処理されます。カーネルカーネルは拡張モードフィルタの用語ベースのフォーマットを使用できません。
拡張ネットワークサービスがシャーシに設定されていない場合、 ステートメントenhanced-modeは無視され、拡張モードのファイアウォールフィルターは、用語ベースとデフォルトのコンパイル形式の両方で生成されます。条件edit chassis network-servicesベースの(拡張された)ファイアウォールフィルターは、[] 階層レベルでの enhanced-mode ステートメントの設定に関係なく、以下のいずれかに当てはまる場合のみ生成されます。
柔軟なフィルター一致条件は、
[edit firewall family family-name filter filter-name term term-name from]または[edit firewall filter filter-name term term-name from]階層レベルで設定されます。GREカプセル化やカプセル化解除などのトンネルヘッダープッシュまたはポップアクションは、階層レベルで設定されます
[edit firewall family family-name filter filter-name term term-name then]。ペイロードとプロトコルの一致条件は、
[edit firewall family family-name filter filter-name term term-name from]または[edit firewall filter filter-name term term-name from]階層レベルで設定されます。拡張ヘッダーの一致は、
[edit firewall family family-name filter filter-name term term-name from]または[edit firewall filter filter-name term term-name from]階層レベルで構成されます。IPv6トラフィック用のファイアウォールブリッジフィルターなど、MPCカードでのみ機能する一致条件が設定されています。
ルーティングエンジンから発信されたパケットの場合、ルーティングエンジンは、パケットに出力フィルターを適用してレイヤー3パケットを処理し、レイヤー2パケットをパケット転送エンジンに転送して送信します。拡張モード フィルターを設定することで、用語ベースのフィルター形式のみを使用することを明示的に指定します。これは、ルーティング エンジンがこのフィルターを使用できないことも意味します。
必要な権限レベル
firewall—設定でこのステートメントを表示します。
firewall-control—このステートメントを設定に追加します。
リリース情報
Junos OSリリース 11.4で導入されたステートメント。