enhanced-mode
構文
enhanced-mode;
階層レベル
[edit dynamic-profiles profile-name firewall family family-name filter filter-name], [edit firewall filter filter-name], [edit firewall family family-name filter filter-name], [edit logical-systems logical-system-name firewall filter filter-name], [edit logical-systems logical-system-name firewall family family-name filter filter-name]
形容
拡張ネットワークサービスモードが [edit chassis network-services] 階層レベルで設定されている場合、inet または inet6 ファミリーに対してのみ、静的サービスフィルターまたは API クライアントフィルターを用語ベースのフィルター形式に制限します。拡張モード フィルターは、ローカル ループバック、管理、または MS-DPC インターフェイスにはアタッチできません。これらのインターフェイスは、ルーティング エンジンと DPC モジュールによって処理され、コンパイルされたファイアウォール フィルター形式のみを受け入れることができます。ダイナミック サービス フィルターに両方のフィルター形式が必要な場合は、特定のフィルター定義で enhanced-mode-override ステートメントを使用して、シャーシ ネットワーク サービス拡張 IP モードのデフォルトのフィルター条件ベースのみの形式を上書きできます。 enhanced-mode ステートメントと enhanced-mode-override ステートメントは相互に排他的です。フィルターは enhanced-mode または enhanced-mode-override のいずれかで定義できますが、両方で定義することはできません。
MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、Trioのみの一致フィルター(Trioチップセットでのみサポートされている一致条件またはアクションを少なくとも1つ含むフィルター)を初期化する必要があります。たとえば、Trio onlyフィルターに関して設定または変更されたフィルターについては、次のようなコマンドを実行する必要があります。 show snmp mib walk (ascii | decimal) object-id。これにより、Junosはフィルターカウンターを学習し、フィルター統計が表示されていることを確認します。このガイダンスは、すべての enhanced-mode ファイアウォール フィルターに適用されます。また、オフセット範囲またはオフセットマスクに柔軟な一致フィルター条件がある IPv4トラフィックのファイアウォールフィルター一致条件 、 gre-key、および IPv6トラフィックのファイアウォールフィルター一致条件 にも適用されます: payload-protocol、 extension headers、 is_fragmentのいずれかの一致条件が適用されます。また、 ファイアウォールフィルター終了アクション: encapsulate または decapsulate、またはファイアウォール フィルター非終了アクション: policy-map、 clear-policy-mapのいずれかを持つフィルターにも適用されます。
シャーシの拡張ネットワークサービスモードの1つで使用する場合、ファイアウォールフィルターは、MPCモジュールで使用する用語ベースの形式で生成されます。コントロールプレーントラフィック用のファイアウォールフィルターには、拡張モードを使用しないでください。コントロールプレーンフィルタリングはルーティングエンジンカーネルによって処理されます。カーネルカーネルは拡張モードフィルタの用語ベースのフォーマットを使用できません。
シャーシに拡張ネットワークサービスが設定されていない場合、enhanced-mode ステートメントは無視され、拡張モードのファイアウォールフィルターは、用語ベースとデフォルトのコンパイル形式の両方で生成されます。[edit chassis network-services] 階層レベルでの enhanced-mode ステートメントの設定に関係なく、以下のいずれかが当てはまる場合、用語ベース(拡張)ファイアウォールフィルターのみが生成されます。
柔軟なフィルター一致条件は、
[edit firewall family family-name filter filter-name term term-name from]階層レベルまたは[edit firewall filter filter-name term term-name from]階層レベルで設定されます。GREカプセル化やカプセル化解除などのトンネルヘッダープッシュまたはポップアクションは、
[edit firewall family family-name filter filter-name term term-name then]階層レベルで設定されます。ペイロードとプロトコルの一致条件は、
[edit firewall family family-name filter filter-name term term-name from]階層レベルまたは[edit firewall filter filter-name term term-name from]階層レベルで設定されます。拡張ヘッダーの一致は、
[edit firewall family family-name filter filter-name term term-name from]階層レベルまたは[edit firewall filter filter-name term term-name from]階層レベルで設定されます。IPv6トラフィック用のファイアウォールブリッジフィルターなど、MPCカードでのみ機能する一致条件が設定されています。
ルーティングエンジンから発信されたパケットの場合、ルーティングエンジンは、パケットに出力フィルターを適用してレイヤー3パケットを処理し、レイヤー2パケットをパケット転送エンジンに転送して送信します。拡張モード フィルターを設定することで、用語ベースのフィルター形式のみを使用することを明示的に指定します。これは、ルーティング エンジンがこのフィルターを使用できないことも意味します。
必要な権限レベル
firewall—設定でこのステートメントを表示します。
firewall-control—このステートメントを設定に追加します。
リリース情報
Junos OSリリース11.4で導入されたステートメント。
Junos OSリリース23.2で導入された、SRX4600、SRX5400、SRX5600、およびSRX5800向けのステートメント。