Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

enhanced-mode

Syntax

Hierarchy Level

Description

Limite los filtros de servicio estático o de API-cliente al formato de filtro basado en términos solamente para las familias inet o inet6 cuando el modo servicios [edit chassis network-services] de red mejorada está configurado en el nivel de jerarquía. No se pueden conectar filtros de modo mejorado a interfaces de bucle de retroceso, administración o MS-DPC locales. Estas interfaces son procesadas por los módulos motor de enrutamiento y DPC, y solo pueden aceptar el formato de filtro de Firewall compilado. En los casos en que se necesiten ambos formatos de filtro para los filtros de servicio dinámico, puede usar la instrucción enhanced-mode-override en la definición de filtro específica para anular el formato predeterminado de solo término de filtro basado en el modo de IP mejorado del servicio de red del chasis. Las enhanced-mode instrucciones y las son enhanced-mode-override mutuamente exclusivas; puede definir el filtro con o , pero no con enhanced-modeenhanced-mode-override ambas.

Nota:

Para enrutadores de la serie MX con el MPCs, debe inicializar los filtros de coincidencia de trío solamente (es decir, un filtro que incluya al menos una condición o acción de coincidencia que solo sea compatible con el conjunto de chips de trío) recorriendo el BIA de SNMP correspondiente. Por ejemplo, para cualquier filtro que se configure o cambie con respecto a sus filtros de sólo trío, es necesario ejecutar un comando como el siguiente: show snmp mib walk (ascii | decimal) object-id. Esto obliga a Junos a aprender los contadores de filtro y garantizar que se muestran las estadísticas del filtro. Esta guía se aplica a enhanced-mode todos los filtros de Firewall. También se aplica a condiciones de coincidencia de filtros de Firewall para tráfico IPv4 con términos de filtro de coincidencia flexibles para condiciones de desplazamiento gre-keyo máscara de desplazamiento y de coincidencia de filtro de Firewall para el tráfico de IPv6 con cualquiera de las siguientes condiciones de coincidencia : payload-protocol, extension headers, is_fragment. También se aplica a los filtros con cualquiera de las acciones de terminación del filtro de cortafuegossiguientes: encapsulateo decapsulatecualquiera de las siguientes acciones de no terminación del filtro de Firewall: policy-map, y clear-policy-map.

Cuando se utiliza con uno de los modos de servicios de red mejorados del chasis, los filtros de Firewall se generan en formato de términos para utilizarlos con módulos MPC. No utilice el modo mejorado para filtros del cortafuegos que estén destinados al tráfico del plano de control. El filtro de plano de control lo controla el núcleo del motor de enrutamiento, que no puede utilizar el formato basado en términos de los filtros de modo mejorado.

Si los servicios de red mejorados no están configurados enhanced-mode para el chasis, se omite la instrucción y se generan filtros de Firewall de modo mejorado tanto en el formato compilado según el término como en el predeterminado. Solo se generarán filtros de Firewall (mejorados) basados en términos, independientemente de la configuración enhanced-mode de la instrucción enedit chassis network-servicesel nivel de jerarquía [], si se cumple alguna de las condiciones siguientes:

  • Las condiciones flexibles de coincidencia de filtros se [edit firewall family family-name filter filter-name term term-name from] configuran en los niveles o [edit firewall filter filter-name term term-name from] jerarquía.

  • Una acción de inserción o extracción de encabezado de túnel, como encapsulado GRE o decapsulate, está [edit firewall family family-name filter filter-name term term-name then] configurada en el nivel de jerarquía.

  • Las condiciones de coincidencia de protocolo de carga están [edit firewall family family-name filter filter-name term term-name from] configuradas en los niveles o [edit firewall filter filter-name term term-name from] jerarquía.

  • Una coincidencia de encabezado de extensión se configura en [edit firewall family family-name filter filter-name term term-name from] los [edit firewall filter filter-name term term-name from] niveles de jerarquía o.

  • Se configura una condición de coincidencia que solo funciona con tarjetas MPC, como filtros de puente de Firewall para el tráfico IPv6.

Para los paquetes procedentes del motor de enrutamiento, el motor de enrutamiento procesa los paquetes de capa 3 aplicando filtros de salida a los paquetes y reenvía los paquetes de capa 2 a la motor de reenvío de paquetes para su transmisión. Mediante la configuración del filtro de modo mejorado, se especifica de forma explícita que solo se utiliza el formato de filtro basado en términos, que también implica que el motor de enrutamiento no puede utilizar este filtro.

Required Privilege Level

Firewall: para ver esta instrucción en la configuración.

firewall-control: para agregar esta instrucción a la configuración.

Release Information

Instrucción introducida en Junos OS versión 11,4.