enhanced-mode
構文
enhanced-mode;
階層レベル
[edit dynamic-profiles profile-name firewall family family-name filter filter-name], [edit firewall filter filter-name], [edit firewall family family-name filter filter-name], [edit logical-systems logical-system-name firewall filter filter-name], [edit logical-systems logical-system-name firewall family family-name filter filter-name]
説明
拡張ネットワークサービスモードが 階層レベルで [edit chassis network-services] 設定されている場合、静的サービスフィルターまたはAPIクライアントフィルターをinetまたはinet6ファミリーの条件ベースのフィルター形式に制限します。ローカルループバック、管理、またはMS-DPCインターフェイスに拡張モードフィルターをアタッチすることはできません。これらのインターフェイスは、ルーティング エンジンと DPC モジュールによって処理され、コンパイルされたファイアウォール フィルター形式のみを受け入れることができます。動的サービス フィルターに両方のフィルター形式が必要な場合は、特定のフィルター定義で拡張モードオーバーライド ステートメントを使用して、シャーシ ネットワーク サービス拡張 IP モードのデフォルト フィルター条件ベースの形式のみを上書きできます。enhanced-modeステートメントと ステートメントenhanced-mode-overrideは相互に排他的です。または enhanced-mode-overrideのいずれかでenhanced-modeフィルターを定義できますが、両方を定義することはできません。
MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、Trioのみの一致フィルター(つまり、Trioチップセットでのみサポートされている少なくとも1つの一致条件またはアクションを含むフィルター)を初期化する必要があります。例えば、Trioのみのフィルターに対して設定または変更されたフィルターでは、以下のようなコマンドを実行する必要があります。show snmp mib walk (ascii | decimal) object-id. これにより、Junos はフィルター カウンターを学習し、フィルター統計が表示されていることを確認します。このガイダンスは、すべての enhanced-mode ファイアウォール フィルターに適用されます。また、以下のいずれかの 一致条件を持つIPv6トラフィックの オフセット範囲またはオフセットマスク、 gre-keyおよびファイアウォールフィルター一致条件の柔軟な一致フィルター条件を持つ IPv4トラフィックのファイアウォールフィルター一致条件 にも適用されます。payload-protocol, extension headers, is_fragment. また、以下のいずれかの ファイアウォールフィルター終了アクションを持つフィルターにも適用されます。encapsulate または decapsulate、または以下の ファイアウォールフィルター非終了アクションのいずれか。policy-map、および clear-policy-map.
シャーシ拡張ネットワーク サービス モードの 1 つで使用する場合、ファイアウォール フィルターは MPC モジュールで使用するために、条件ベースの形式で生成されます。コントロール プレーン トラフィック用のファイアウォール フィルターには、拡張モードを使用しないでください。制御プレーン フィルタリングは、拡張モード フィルターの条件ベース形式を使用できないルーティング エンジン カーネルによって処理されます。
シャーシに拡張ネットワークサービスが設定されていない場合、 ステートメントは無視され、 enhanced-mode 拡張モードファイアウォールフィルターは、用語ベースとデフォルトのコンパイル済みの両方の形式で生成されます。[] 階層レベルでのedit chassis network-services ステートメントのenhanced-mode設定に関係なく、以下のいずれかが該当する場合は、条件ベース(拡張)ファイアウォール フィルターのみが生成されます。
柔軟なフィルター一致条件は、 または
[edit firewall filter filter-name term term-name from]階層レベルで[edit firewall family family-name filter filter-name term term-name from]設定されます。トンネルヘッダープッシュまたはポップアクション(GREカプセル化またはカプセル化解除など)は、
[edit firewall family family-name filter filter-name term term-name then]階層レベルで設定されます。ペイロードプロトコルの一致条件は、 または
[edit firewall filter filter-name term term-name from]階層レベルで[edit firewall family family-name filter filter-name term term-name from]設定されます。拡張ヘッダーの一致は、 または
[edit firewall filter filter-name term term-name from]階層レベルで[edit firewall family family-name filter filter-name term term-name from]設定されます。一致条件は、IPv6トラフィック用のファイアウォールブリッジフィルターなど、MPCカードでのみ動作するように設定されています。
ルーティング エンジンから発信されたパケットの場合、ルーティング エンジンは出力フィルターをパケットに適用してレイヤー 3 パケットを処理し、レイヤー 2 パケットをパケット転送エンジンに転送して送信します。拡張モードフィルターを設定することで、条件ベースのフィルター形式のみを使用することを明示的に指定します。これは、ルーティングエンジンがこのフィルターを使用できないことも意味します。
必要な権限レベル
ファイアウォール—設定でこのステートメントを表示します。
ファイアウォール制御—設定にこのステートメントを追加します。
リリース情報
Junos OS リリース 11.4 で導入されたステートメント。