enhanced-mode
Syntax
enhanced-mode;
Hierarchy Level
[edit dynamic-profiles profile-name firewall family family-name filter filter-name], [edit firewall filter filter-name], [edit firewall family family-name filter filter-name], [edit logical-systems logical-system-name firewall filter filter-name], [edit logical-systems logical-system-name firewall family family-name filter filter-name]
Description
Ограничение статических фильтров служб или фильтров клиентов API до формата терминальной фильтрации только для семейок inet или inet6, если расширенный режим сетевых служб настроен на уровне [edit chassis network-services] иерархии. Нельзя присоединить расширенные фильтры режима к локальной обратной петле, управлению или MS-DPC интерфейсам. Эти интерфейсы обрабатываются модулями модуль маршрутизации и DPC и могут принимать только скомпилованный формат фильтра межсетевых экранов. В случаях, когда оба формата фильтра необходимы для динамических фильтров службы, можно использовать утверждение enhanced-mode-override в специальном определении фильтра для переопределения только стандартного формата фильтра на основе только формата chassis network-service enhanced IP-режима. Эти enhanced-mode утверждения и утверждения являются взаимоисключающими. Фильтр можно определить либо с помощью, либо enhanced-mode-override не с enhanced-modeenhanced-mode-override обоими.
Для серия MX маршрутизаторов с MPC необходимо инициализировать фильтры совпадений Trio (то есть фильтр, который включает в себя как минимум одно условие совпадения или действие, которое поддерживается только микросхемой микросхем Trio) путем прохода соответствующего SNMP-MIB. Например, для любого фильтра, настроенного или измененного в отношении только фильтров Trio, необходимо выполнить команду, такую как: show snmp mib walk (ascii | decimal) object-id. Это Junos для того, чтобы узнать счетчики фильтров и убедиться, что статистика фильтра отображается. Это руководство применимо ко всем enhanced-mode фильтрам межсетевых экранов. Это также применяется к условиям совпадения фильтра брандмауэра для трафика IPv4 с гибкими условиями фильтра совпадения для смещения диапазона или маски смещения, и условиями совпадения фильтра брандмауэра для gre-key трафика IPv6 с любым из следующих условий совпадения: payload-protocol, extension headers, is_fragment. Он также применяется к фильтрам с одним из следующих действий по прерываниям фильтра брандмауэра: encapsulateили любого из следующих действий фильтрации межсетевых decapsulateэкранов: policy-mapи clear-policy-map .
При использовании с одним из режимов расширенных сетевых сервисов шасси фильтры межсетевых экранов создаются в терминовом формате для использования с модулями MPC. Не используйте расширенный режим для фильтров межсетевых экранов, предназначенных для плоскость управления трафика. Фильтрация плоскости управления обрабатывается ядром модуль маршрутизации, которое не может использовать термин-формат фильтров в расширенном режиме.
Если для шасси не настроены расширенные сетевые службы, утверждение игнорируется, а все фильтры межсетевых экранов в расширенном режиме создаются как в терминальной, так и в стандартном, компилирующем enhanced-mode формате. Создаются только фильтры межсетевых экранов на основе терминов (расширенных) межсетевых экранов вне зависимости от настройки утверждения на уровне [] иерархии, если хотя бы одно из следующих параметров enhanced-modeedit chassis network-services верно:
Условия совпадения гибкого фильтра настраиваются на
[edit firewall family family-name filter filter-name term term-name from]уровне[edit firewall filter filter-name term term-name from]иерархии или на уровне иерархии.На уровне иерархии настраивается инкапсуляция или инкапсуляция GRE- или всплывающее
[edit firewall family family-name filter filter-name term term-name then]действие.полезная нагрузка протоколов настраиваются на уровне иерархии или на уровне
[edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from]иерархии.Совпадение с заглавным расширением настроено на
[edit firewall family family-name filter filter-name term term-name from]уровнях[edit firewall filter filter-name term term-name from]иерархии или на иерархии.Условие совпадения настроено, что работает только с картами MPC, такими как фильтры моста межсетевых экранов для трафика IPv6.
Для пакетов, источником модуль маршрутизации, модуль маршрутизации пакеты уровня 3, применяя фильтры выходных данных к пакетам и перенаводя пакеты уровня 2 на модуль передачи пакетов для передачи. Настройка фильтра улучшенного режима позволяет в явной форме указать, что используется только термин-формат фильтра, который также означает, что модуль маршрутизации использовать этот фильтр невозможно.
Required Privilege Level
firewall — для просмотра этого утверждения в конфигурации.
firewall-control — добавление этого утверждения в конфигурацию.
Release Information
Утверждение, представленная Junos OS версии 11.4.