enhanced-mode
Sintaxe
enhanced-mode;
Nível de hierarquia
[edit dynamic-profiles profile-name firewall family family-name filter filter-name], [edit firewall filter filter-name], [edit firewall family family-name filter filter-name], [edit logical-systems logical-system-name firewall filter filter-name], [edit logical-systems logical-system-name firewall family family-name filter filter-name]
Descrição
Limite filtros de serviço estáticos ou filtros API-cliente para formato de filtro baseado em termo apenas para famílias inet ou inet6 quando o modo de serviços de rede aprimorado é configurado no nível hierárquico [edit chassis network-services]
. Você não pode anexar filtros de modo aprimorados a interfaces locais de loopback, gerenciamento ou MS-DPC. Essas interfaces são processadas pelos módulos de Mecanismo de Roteamento e DPC e só podem aceitar um formato de filtro de firewall compilado. Nos casos em que ambos os formatos de filtro forem necessários para filtros de serviço dinâmicos, você pode usar a declaração de substituição de modo aprimorado na definição de filtro específica para substituir o formato único baseado em termo do filtro padrão do modo IP aprimorado de serviço de rede do chassi. As enhanced-mode
declarações e as enhanced-mode-override
declarações são mutuamente exclusivas; você pode definir o filtro com ambos enhanced-mode
ou, enhanced-mode-override
mas não ambos.
Para roteadores da Série MX com MPCs, você precisa inicializar filtros de correspondência somente de Trio (ou seja, um filtro que inclua pelo menos uma condição ou ação de correspondência que só é suportada pelo chipset Trio) andando pelo SNMP MIB correspondente. Por exemplo, para qualquer filtro que esteja configurado ou alterado em relação aos filtros apenas do Trio, você precisa executar um comando como: show snmp mib walk (ascii | decimal) object-id
. Isso força o Junos a aprender os contadores de filtro e garantir que as estatísticas do filtro sejam exibidas. Essa orientação se aplica a todos os enhanced-mode
filtros de firewall. Também se aplica às condições de correspondência do filtro de firewall para tráfego IPv4 com termos flexíveis de filtro de correspondência para offset-range ou máscara de compensação, gre-key
e condições de correspondência do filtro de firewall para tráfego IPv6 com qualquer uma das seguintes condições de jogo: payload-protocol
, extension headers
is_fragment
. Ela também se aplica a filtros com qualquer uma das seguintes ações de terminação do filtro de firewall: encapsulate
oudecapsulate
, ou qualquer uma das seguintes ações sem geração de filtros de firewall: policy-map
e .clear-policy-map
Quando usados com um dos modos de serviços de rede aprimorados do chassi, os filtros de firewall são gerados em formato baseado em termo para uso com módulos MPC. Não use o modo aprimorado para filtros de firewall destinados ao tráfego de plano de controle. A filtragem de plano de controle é tratada pelo kernel do Mecanismo de Roteamento, que não pode usar o formato baseado em termo dos filtros de modo aprimorados.
Se os serviços de rede aprimorados não estiverem configurados para o chassi, a enhanced-mode
declaração será ignorada e quaisquer filtros de firewall de modo aprimorado são gerados tanto no formato baseado em termo quanto no formato padrão compilado. Somente serão gerados filtros de firewall baseados em termo (aprimorados), independentemente da configuração da enhanced-mode
declaração no nível [edit chassis network-services
] de hierarquia, se algum dos seguintes for verdadeiro:
As condições flexíveis de correspondência do filtro estão configuradas nos
[edit firewall family family-name filter filter-name term term-name from]
níveis de hierarquia.[edit firewall filter filter-name term term-name from]
Um push de cabeçalho de túnel ou ação pop, como o encapsulamento ou descapsulado GRE, é configurado no nível de
[edit firewall family family-name filter filter-name term term-name then]
hierarquia.As condições de correspondência do protocolo de carga estão configuradas nos
[edit firewall family family-name filter filter-name term term-name from]
níveis de hierarquia ou[edit firewall filter filter-name term term-name from]
de hierarquia.Uma correspondência de cabeçalho de extensão está configurada nos
[edit firewall family family-name filter filter-name term term-name from]
níveis de hierarquia.[edit firewall filter filter-name term term-name from]
Configura-se uma condição de correspondência que só funciona com placas MPC, como filtros de ponte de firewall para tráfego IPv6.
Para pacotes provenientes do Mecanismo de Roteamento, o Mecanismo de Roteamento processa pacotes de Camada 3 aplicando filtros de saída nos pacotes e encaminhando pacotes de Camada 2 para o Mecanismo de encaminhamento de pacotes para transmissão. Ao configurar o filtro de modo aprimorado, você especifica explicitamente que apenas o formato de filtro baseado em termo é usado, o que também implica que o Mecanismo de Roteamento não pode usar este filtro.
Nível de privilégio exigido
firewall — Para visualizar essa declaração na configuração.
controle de firewall — para adicionar essa declaração à configuração.
Informações de versão
Declaração introduzida no Junos OS Release 11.4.
Declaração introduzida no Junos OS Release 23.2 para SRX4600, SRX5400, SRX5600 e SRX5800.