enhanced-mode
Sintaxis
enhanced-mode;
Nivel de jerarquía
[edit dynamic-profiles profile-name firewall family family-name filter filter-name], [edit firewall filter filter-name], [edit firewall family family-name filter filter-name], [edit logical-systems logical-system-name firewall filter filter-name], [edit logical-systems logical-system-name firewall family family-name filter filter-name]
Descripción
Limite los filtros de servicio estáticos o los filtros de cliente de API al formato de filtro basado en términos solo para familias inet o inet6 cuando el modo de servicios de red mejorados está configurado en el [edit chassis network-services] nivel jerárquico. No puede adjuntar filtros de modo mejorado a interfaces locales de circuito cerrado, administración o MS-DPC. Estas interfaces se procesan mediante los módulos del motor de enrutamiento y DPC, y solo pueden aceptar el formato de filtro de firewall compilado. En los casos en que se necesitan ambos formatos de filtro para los filtros de servicio dinámicos, puede usar la instrucción enhanced-mode-override en la definición de filtro específica para invalidar el formato predeterminado basado solo en términos de filtro del modo IP mejorado del servicio de red del chasis. Las enhanced-mode instrucciones y son enhanced-mode-override excluyentes entre sí; puede definir el filtro con cualquiera de los dos enhanced-mode o enhanced-mode-override, pero no con ambos.
En el caso de los enrutadores serie MX con MPC, debe inicializar filtros de coincidencia de solo Trio (es decir, un filtro que incluya al menos una condición o acción de coincidencia que solo sea compatible con el conjunto de chips trio) caminando el MIB SNMP correspondiente. Por ejemplo, para cualquier filtro que esté configurado o cambiado con respecto a sus filtros solo Trio, debe ejecutar un comando como el siguiente: show snmp mib walk (ascii | decimal) object-id. Esto obliga a Junos a aprender los contadores de filtros y asegurarse de que se muestran las estadísticas de filtro. Esta guía se aplica a todos los enhanced-mode filtros de firewall. También se aplica a las condiciones de coincidencia del filtro de firewall para el tráfico IPv4 con términos de filtro de coincidencia flexible para el rango de desplazamiento o la máscara de desplazamiento, gre-keyy a las condiciones de coincidencia de filtro de firewall para el tráfico IPv6 con cualquiera de las siguientes condiciones de coincidencia: payload-protocol, extension headers, is_fragment. También se aplica a los filtros con cualquiera de las siguientes acciones de terminación de filtros de firewall: encapsulate o decapsulatecualquiera de las siguientes acciones nominativas de filtro de firewall: policy-mapy clear-policy-map.
Cuando se utiliza con uno de los modos de servicios de red mejorados del chasis, los filtros de firewall se generan en formato basado en términos para su uso con módulos MPC. No utilice el modo mejorado para los filtros de firewall destinados al tráfico del plano de control. El filtrado del plano de control lo maneja el núcleo del motor de enrutamiento, que no puede usar el formato basado en términos de los filtros de modo mejorado.
Si los servicios de red mejorados no están configurados para el chasis, se omite la enhanced-mode instrucción y se generan los filtros de firewall en modo mejorado en formato compilado basado en términos y predeterminados. Solo se generarán filtros de firewall basados en términos (mejorados), independientemente de la configuración de la enhanced-mode instrucción en el nivel de jerarquía [edit chassis network-services], si se cumple cualquiera de los siguientes elementos:
Las condiciones de coincidencia de filtro flexible se configuran en los
[edit firewall family family-name filter filter-name term term-name from]niveles de jerarquía o[edit firewall filter filter-name term term-name from].Una acción de inserción o pop de encabezado de túnel, como gre encapsulado o desencapsulado se configura en el
[edit firewall family family-name filter filter-name term term-name then]nivel jerárquico.Las condiciones de coincidencia de protocolo de carga se configuran en los
[edit firewall family family-name filter filter-name term term-name from]niveles de jerarquía o[edit firewall filter filter-name term term-name from].Se configura una coincidencia de encabezado de extensión en los
[edit firewall family family-name filter filter-name term term-name from]niveles de jerarquía o[edit firewall filter filter-name term term-name from].Se configura una condición de coincidencia que solo funciona con tarjetas MPC, como filtros de puente de firewall para tráfico IPv6.
Para los paquetes procedentes del motor de enrutamiento, el motor de enrutamiento procesa paquetes de capa 3 aplicando filtros de salida a los paquetes y reenvía paquetes de capa 2 al motor de reenvío de paquetes para su transmisión. Al configurar el filtro de modo mejorado, especifique explícitamente que solo se utiliza el formato de filtro basado en términos, lo que también implica que el motor de enrutamiento no puede usar este filtro.
Nivel de privilegio requerido
firewall: para ver esta instrucción en la configuración.
firewall-control: para agregar esta instrucción a la configuración.
Información de versión
Declaración introducida en la versión 11.4 de Junos OS.