Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

enhanced-mode

Syntax

Hierarchy Level

Description

Ограничение статических фильтров служб или фильтров клиентов API до формата терминальной фильтрации только для семейок inet или inet6, если расширенный режим сетевых служб настроен на уровне [edit chassis network-services] иерархии. Нельзя присоединить расширенные фильтры режима к локальной обратной петле, управлению или MS-DPC интерфейсам. Эти интерфейсы обрабатываются модулями модуль маршрутизации и DPC и могут принимать только скомпилованный формат фильтра межсетевых экранов. В случаях, когда оба формата фильтра необходимы для динамических фильтров службы, можно использовать утверждение enhanced-mode-override в специальном определении фильтра для переопределения только стандартного формата фильтра на основе только формата chassis network-service enhanced IP-режима. Эти enhanced-mode утверждения и утверждения являются взаимоисключающими. Фильтр можно определить либо с помощью, либо enhanced-mode-override не с enhanced-modeenhanced-mode-override обоими.

Прим.:

Для серия MX маршрутизаторов с MPC необходимо инициализировать фильтры совпадений Trio (то есть фильтр, который включает в себя как минимум одно условие совпадения или действие, которое поддерживается только микросхемой микросхем Trio) путем прохода соответствующего SNMP-MIB. Например, для любого фильтра, настроенного или измененного в отношении только фильтров Trio, необходимо выполнить команду, такую как: show snmp mib walk (ascii | decimal) object-id. Это Junos для того, чтобы узнать счетчики фильтров и убедиться, что статистика фильтра отображается. Это руководство применимо ко всем enhanced-mode фильтрам межсетевых экранов. Это также применяется к условиям совпадения фильтра брандмауэра для трафика IPv4 с гибкими условиями фильтра совпадения для смещения диапазона или маски смещения, и условиями совпадения фильтра брандмауэра для gre-key трафика IPv6 с любым из следующих условий совпадения: payload-protocol, extension headers, is_fragment. Он также применяется к фильтрам с одним из следующих действий по прерываниям фильтра брандмауэра: encapsulateили любого из следующих действий фильтрации межсетевых decapsulateэкранов: policy-mapи clear-policy-map .

При использовании с одним из режимов расширенных сетевых сервисов шасси фильтры межсетевых экранов создаются в терминовом формате для использования с модулями MPC. Не используйте расширенный режим для фильтров межсетевых экранов, предназначенных для плоскость управления трафика. Фильтрация плоскости управления обрабатывается ядром модуль маршрутизации, которое не может использовать термин-формат фильтров в расширенном режиме.

Если для шасси не настроены расширенные сетевые службы, утверждение игнорируется, а все фильтры межсетевых экранов в расширенном режиме создаются как в терминальной, так и в стандартном, компилирующем enhanced-mode формате. Создаются только фильтры межсетевых экранов на основе терминов (расширенных) межсетевых экранов вне зависимости от настройки утверждения на уровне [] иерархии, если хотя бы одно из следующих параметров enhanced-modeedit chassis network-services верно:

  • Условия совпадения гибкого фильтра настраиваются на [edit firewall family family-name filter filter-name term term-name from] уровне [edit firewall filter filter-name term term-name from] иерархии или на уровне иерархии.

  • На уровне иерархии настраивается инкапсуляция или инкапсуляция GRE- или всплывающее [edit firewall family family-name filter filter-name term term-name then] действие.

  • полезная нагрузка протоколов настраиваются на уровне иерархии или на уровне [edit firewall family family-name filter filter-name term term-name from][edit firewall filter filter-name term term-name from] иерархии.

  • Совпадение с заглавным расширением настроено на [edit firewall family family-name filter filter-name term term-name from] уровнях [edit firewall filter filter-name term term-name from] иерархии или на иерархии.

  • Условие совпадения настроено, что работает только с картами MPC, такими как фильтры моста межсетевых экранов для трафика IPv6.

Для пакетов, источником модуль маршрутизации, модуль маршрутизации пакеты уровня 3, применяя фильтры выходных данных к пакетам и перенаводя пакеты уровня 2 на модуль передачи пакетов для передачи. Настройка фильтра улучшенного режима позволяет в явной форме указать, что используется только термин-формат фильтра, который также означает, что модуль маршрутизации использовать этот фильтр невозможно.

Required Privilege Level

firewall — для просмотра этого утверждения в конфигурации.

firewall-control — добавление этого утверждения в конфигурацию.

Release Information

Утверждение, представленная Junos OS версии 11.4.