Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基于地址字段的防火墙过滤器匹配条件

您可以配置 防火墙 过滤器匹配条件,根据指定的地址或前缀值评估数据包地址字段(IPv4 源和目标地址、IPv6 源和目标地址或者 媒体访问控制(地址) (MAC) 源和目标地址)。

"0/0 除外"地址上基于地址字段的防火墙过滤器匹配条件的默示匹配

基于一组地址或地址前缀的每一个防火墙过滤器匹配条件都与地址(对于 IPv4 或 VPLS 流量)或(对于 0.0.0.0/0 except IPv6 流量)上的隐式 0:0:0:0:0:0:0:0/0 except 匹配相关联。因此,如果指定的地址字段与指定的任何地址或地址前缀不匹配,则任何数据包无法匹配整个术语。

将地址字段与子网掩码或前缀相匹配

您可以指定单个匹配条件,以匹配位于指定地址前缀内的源地址或目标地址。

IPv4 子网掩码表示法

对于 IPv4 地址,您可以指定子网掩码值,而不是前缀长度。例如:

前缀表示法

要指定地址前缀,请使用 表示法 prefix / prefix-length 。以下示例中,如果目标地址与前缀匹配,则匹配 10.0.0.0/8

IPv4 地址的默认前缀长度

如果没有为 /prefix-length IPv4 地址指定,前缀长度将默认为 /32 。以下示例说明了默认前缀值:

IPv6 地址的默认前缀长度

如果没有为 /prefix-length IPv6 地址指定,前缀长度将默认为 /128 。以下示例说明了默认前缀值:

MAC 地址的默认前缀长度

如果没有为 VPLS、媒体访问控制(地址) 2 层 CCC 或第 2 层桥接数据包的路由 (MAC) 地址指定,前缀长度 /prefix-length 将默认 /48 为 。以下示例说明了默认前缀值:

将地址字段与已排除的值相匹配

对于地址字段匹配条件,您可以添加关键字,以指定对未指定地址或前缀的地址字段进行 except 匹配。

在 IPv4 或 IPv6 流量中排除 IP 地址

对于以下 IPv4 和 IPv6 匹配条件,您可以添加关键字,指定对未指定 IP 地址或前缀的 IP 地址字段 except 进行匹配:

  • address address except—如果源 IP 地址或目标 IP 地址与指定地址或前缀不匹配,将匹配。

  • source-address address except—如果源 IP 地址与指定的地址或前缀不匹配,将匹配。

  • destination-address address except—如果目标 IP 地址与指定地址或前缀不匹配,将匹配。

以下示例中,除了属于 前缀的地址之外,属于 前缀的任何 IPv4 目标地址 172.0.0.0/8 均会进行匹配 172.16.0.0/16 。所有其他地址隐式与这种情况不匹配。

以下示例中,不属于前缀的任何 IPv4 目标地址将匹配 10.1.1.0/24

在 VPLS 或第2层桥接流量中排除 IP 地址

对于以下 VPLS 和仅在 MX 系列路由器上的第 2 层桥接匹配条件,可以包括一个关键字来指定匹配与指定 IP 地址或前缀不匹配的 IP 地址字段 except

  • ip-address address except—如果源 IP 地址或目标 IP 地址与指定地址或前缀不匹配,将匹配。

  • source-ip-address address except—如果源 IP 地址与指定的地址或前缀不匹配,将匹配。

  • destination-ip-address address except—如果目标 IP 地址与指定地址或前缀不匹配,将匹配。

在以下示例中,过滤 MX 系列路由器上的 VPLS 信息流时,如果源 IP 地址属于 的例外范围,并且目标 IP 地址匹配,则 55.0.1.0/255.0.255.0 匹配 5172.16.5.0/8

VPLS 或第2层桥接信息流中排除 MAC 地址

对于以下 VPLS 或第 2 层桥接流量匹配条件,可以包括关键字,以指定与指定的路由或前缀MAC 地址 except 字段MAC 地址匹配:

  • source-mac-address address except—如果源路由与MAC 地址地址或前缀不匹配,将匹配。

  • destination-mac-address address except—如果目标地址或前缀MAC 地址,将匹配。

排除所有地址需要在"0/0"地址上显式匹配

如果指定由一个或多个地址例外匹配条件(使用关键字的地址匹配条件)组成的防火墙过滤器匹配条件,但没有匹配的地址匹配条件,则不匹配任何已配置前缀的数据包将失败整个匹配操作。 except 要配置防火墙过滤器术语的地址例外匹配条件,以便匹配不在前缀列表中的任何地址,请包含 的显式匹配,使 0/0 搜索词包含可匹配的地址。

对于以下 IPv4 流量防火墙过滤器示例,术语无法丢弃匹配信息流,并且操作模式命令的输出中缺少 from-trusted-addressesINTRUDERS-COUNTshow firewall 计数器

要导致地址异常匹配条件的过滤器术语与不在前缀列表中的任何地址匹配,在匹配条件组中包括 的 0/0 显式匹配:

将源前缀地址添加到匹配条件后,术语将丢弃匹配信息流, 0.0.0.0/0from-trusted-addresses 而 INTRUDERS-COUNT 计数器显示在操作模式命令 show firewall 的输出中:

将任一 IP 地址字段与单个值相匹配

对于 IPv4 和 IPv6 流量,以及仅适用于 MX 系列路由器上的 VPLS 和 2 层桥接流量,您可以使用单个匹配条件将单个地址或前缀值与源或目标 IP 地址字段匹配。

匹配 IPv4 或 IPv6 流量中的任意 IP 地址字段

对于 IPv4 或 IPv6 流量,您可以使用单个匹配条件来指定与来源或目标 IP 地址字段的匹配项相同的地址或前缀值。您只会使用匹配条件,而不是创建为 和 匹配条件指定相同地址的单独 source-addressdestination-addressaddress 过滤器术语。如果源 IP 地址目标 ip 地址与指定地址或前缀匹配,则会出现匹配。

如果在匹配条件中使用关键字,则当源 IP 地址和目标 IP 地址与指定值匹配时,将 exceptaddress 进行匹配,然后例外适用。

在指定 或 匹配条件的防火墙过滤器术语中, source-addressdestination-address 您也不能指定 address 匹配条件。

匹配 VPLS 中的任一 IP 地址字段或第2层桥接流量

对于 VPLS 或第 2 层桥接流量,只能在 MX 系列路由器上使用单个匹配条件来指定与源或目标 IP 地址字段匹配相同的地址或前缀值。您只会使用匹配条件,而不是创建为 和 匹配条件指定相同地址的单独 source-ip-addressdestination-ip-addressip-address 过滤器术语。如果源 IP 地址目标 ip 地址与指定地址或前缀匹配,则会出现匹配。

如果在匹配条件中使用关键字,则当源 IP 地址和目标 IP 地址与指定值匹配时,将 exceptip-address 进行匹配,然后例外适用。

在指定 或 匹配条件的防火墙过滤器术语中, source-ip-addressdestination-ip-address 您也不能指定 ip-address 匹配条件。

将地址字段与非连续前缀匹配

仅适用于 IPv4 流量,请指定一个匹配条件,以便将 IP 源或目标地址字段与指定的任何前缀匹配。前缀无需连续。也就是说,在 或 匹配条件下的前缀无需邻接或 source-addressdestination-address 彼此相邻。

以下示例中,如果目标地址与前缀或前缀匹配, 10.0.0.0/8192.168.0.0/32 匹配:

您在匹配条件中指定前缀的顺序并不重要。数据包根据匹配条件中的所有前缀进行评估,以确定是否发生了匹配。如果前缀重叠,则使用最长匹配规则确定是否发生了匹配。非共同前缀的匹配条件包括隐式语句,这意味着与匹配条件中包含的任何前缀不匹配的任何前缀显式视为 0/0 except 不匹配。

由于前缀与顺序无关,并且使用最长匹配规则,因此更长的前缀只要为相同类型(无论您指定还是不指定)就将细分为 except 更短的前缀。这是因为任何与较长的前缀匹配的内容也将与短一点相匹配。

请考虑以下示例:

source-address 匹配条件中,两个地址将被忽略。该值 172.16.3.0/16 将被忽略,因为它位于地址之下 172.16.0.0/10 ,地址类型相同。该值 10.2.2.2 except 被隐式匹配值细分,因此 0.0.0.0/0 except 将被忽略。

假定此防火墙过滤器评估了以下来源 IP 地址:

  • 源 IP 172.16.1.2 地址 —此地址匹配 172.16.0.0/10 前缀,因此将执行语句 then 中的操作。

  • 源 IP 172.16.2.2 地址 —此地址与 172.16.2.0/24 前缀匹配。由于此前缀被减去(即包含 except 关键字),因此 会出现 显式不匹配。将计算过滤器中的下一术语(如果有的话)。如果没有其他术语,数据包将被丢弃。

  • 源 IP 10.1.2.3 地址 — 此地址与条件中包含的任何前缀 source-address 不匹配。相反,它会匹配在匹配条件下配置的前缀列表末尾的隐式情况,因此被视为 0.0.0.0/0 exceptsource-address 不匹配。

    172.16.3.0/24 语句将被忽略,因为它位于地址之下 172.16.0.0/10 — 两者的类型相同。

    该语句将被忽略,因为它由在匹配条件下配置的前缀列表末尾的 10.2.2.2 except 隐式语句 0.0.0.0/0 exceptsource-address 所细分。

最佳做法:

如果防火墙过滤器术语包括匹配条件,而后续术语包含相同地址的匹配条件,则后一个术语可以在由任何中间术语评估数据包之前 from address addressfrom source-address address 处理。因此,应该被插入词汇拒绝的数据包可能被接受,或者应接受的数据包将被拒绝。

为防止这种情况发生,建议您执行以下操作。对于包含匹配条件的每一个防火墙过滤器 from address address 术语,请用两个独立术语替换该搜索词:一个包含 from source-address address 匹配条件,另一个包含 from destination-address address 匹配条件。

将地址字段与前缀列表匹配

您可定义用于路由策略语句或评估数据包地址字段的无状态防火墙过滤器匹配条件的 IPv4 或 IPv6 地址前缀列表。

要定义 IPv4 或 IPv6 地址前缀列表,请添加 prefix-list prefix-list 该语句。

您可以将语句包含在以下层次结构级别:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

定义前缀列表之后,您可以在基于 IPv4 或 IPv6 地址前缀指定防火墙过滤器匹配条件时使用。