enhanced-mode
구문
enhanced-mode;
계층 수준
[edit dynamic-profiles profile-name firewall family family-name filter filter-name], [edit firewall filter filter-name], [edit firewall family family-name filter filter-name], [edit logical-systems logical-system-name firewall filter filter-name], [edit logical-systems logical-system-name firewall family family-name filter filter-name]
설명
정적 서비스 필터 또는 API-클라이언트 필터는 계층 수준에서 향상된 네트워크 서비스 모드가 구성된 경우 inet 또는 inet6 제품군에 대해서만 용어 기반 필터 형식으로 제한합니다[edit chassis network-services]. 향상된 모드 필터를 로컬 루프백, 관리 또는 MS-DPC 인터페이스에 연결할 수 없습니다. 이러한 인터페이스는 라우팅 엔진 및 DPC 모듈에 의해 처리되며 컴파일된 방화벽 필터 형식만 허용할 수 있습니다. 동적 서비스 필터에 두 필터 형식이 모두 필요한 경우, 특정 필터 정의에서 명령문을 enhanced-mode-override 사용하여 섀시 네트워크 서비스 강화 IP 모드의 기본 필터 용어 기반 전용 형식을 재정의할 수 있습니다. enhanced-mode 및 명령 enhanced-mode-override 문은 상호 배타적이므로 또는 중 enhanced-mode-override하나를 enhanced-mode 사용하여 필터를 정의할 수 있지만 둘 다로 정의할 수는 없습니다.
MPC가 있는 MX 시리즈 라우터의 경우, 해당 SNMP 관리 정보 베이스(MIB)를 걸어 트리오 전용 일치 필터(즉, 트리오 칩셋에서만 지원하는 하나 이상의 일치 조건 또는 작업을 포함하는 필터)를 초기화해야 합니다. 예를 들어, Trio 전용 필터와 관련하여 구성되거나 변경된 필터의 경우 다음과 show snmp mib walk (ascii | decimal) object-id같은 명령을 실행해야 합니다. 이는 Junos가 필터 카운터를 학습하고 필터 통계가 표시되도록 합니다. 이 지침은 모든 enhanced-mode 방화벽 필터에 적용됩니다. 또한 offset-range 또는 offset-maskgre-key에 대한 유연한 일치 필터 용어가 있는 IPv4 트래픽에 대한 방화벽 필터 일치 조건 및 , 일치 조건 payload-protocolextension headersis_fragment중 하나가 있는 IPv6 트래픽에 대한 방화벽 필터 일치 조건에도 적용됩니다. 또한 방화벽 필터 종료 작업: encapsulate 또는 decapsulate, 또는 방화벽 필터 비종료 작업policy-map: , 및 clear-policy-map.
섀시의 향상된 네트워크 서비스 모드 중 하나와 함께 사용할 경우, 방화벽 필터는 MPC 모듈과 함께 사용할 수 있도록 용어 기반 형식으로 생성됩니다. 컨트롤 플레인 트래픽을 위한 방화벽 필터에 대해 확장 모드를 사용하지 마십시오. 컨트롤 플레인 필터링은 라우팅 엔진 커널에 의해 처리되며, 확장 모드 필터의 용어 기반 형식을 사용할 수 없습니다.
섀시에 대해 향상된 네트워크 서비스가 구성되지 않은 경우, 명령문은 enhanced-mode 무시되고 향상된 모드 방화벽 필터는 용어 기반 및 기본 컴파일된 형식 모두로 생성됩니다. 다음 중 하나라도 참인 경우, [edit chassis network-services] 계층 수준의 문 설정에 enhanced-mode 관계없이 용어 기반(향상된) 방화벽 필터만 생성됩니다.
유연한 필터 일치 조건은 또는
[edit firewall filter filter-name term term-name from]계층 수준에서 구성됩니다[edit firewall family family-name filter filter-name term term-name from].GRE 캡슐화 또는 캡슐화 해제와 같은 터널 헤더 푸시 또는 팝 동작은 계층 수준에서 구성됩니다
[edit firewall family family-name filter filter-name term term-name then].페이로드 프로토콜 일치 조건은 또는
[edit firewall filter filter-name term term-name from]계층 수준에서 구성됩니다[edit firewall family family-name filter filter-name term term-name from].확장-헤더 일치는 또는
[edit firewall filter filter-name term term-name from]계층 수준에서 구성됩니다[edit firewall family family-name filter filter-name term term-name from].IPv6 트래픽에 대한 방화벽 브리지 필터와 같이 MPC 카드에서만 작동하는 일치 조건이 구성됩니다.
라우팅 엔진에서 소싱된 패킷의 경우, 라우팅 엔진은 패킷에 출력 필터를 적용하여 레이어 3 패킷을 처리하고 전송을 위해 레이어 2 패킷을 패킷 전달 엔진으로 전달합니다. 향상된 모드 필터를 구성함으로써 용어 기반 필터 형식만 사용하도록 명시적으로 지정하며, 이는 라우팅 엔진이 이 필터를 사용할 수 없음을 의미합니다.
필요한 권한 수준
firewall—구성에서 이 명령문을 볼 수 있습니다.
firewall-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 11.4에 소개된 명령문.