Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アドレス フィールドに基づいたファイアウォール フィルタの照合条件

指定したアドレスまたはプレフィックス値に対して、IPv4 送信元アドレスと宛先アドレス、IPv6 送信元アドレスと宛先アドレス、MAC(メディア アクセス制御)送信元アドレスと宛先アドレスなどのパケット アドレス フィールドを評価する ファイアウォール フィルタ の照合条件を設定できます。

アドレス フィールドに基づいたファイアウォール フィルターの一致条件の「0/0 を除く」アドレスに対する暗黙的な照会

一連のアドレスまたはアドレス プレフィックスに基づくすべてのファイアウォール フィルター照会条件は、アドレス 0.0.0.0/0 except (IPv4 または VPLS トラフィックの場合)または 0:0:0:0:0:0:0:0/0 except (IPv6 トラフィックの場合)の暗黙的な一致に関連付けられます。その結果、指定されたアドレス フィールドが指定されたアドレスまたはアドレス プレフィックスのいずれにも一致しないパケットは、条件全体に一致しません。

サブネット マスクまたはプレフィックスへのアドレス フィールドの照会

単一の照会条件を指定して、指定されたアドレス プレフィックス内にある送信元アドレスまたは宛先アドレスを照会できます。

IPv4サブネットマスク表記

IPv4 アドレスの場合、プレフィックス長ではなくサブネット マスク値を指定できます。例えば、

プレフィックス表記

アドレス プレフィックスを指定するには、表記/ prefixを使用しますprefix-length。次の例では、宛先アドレスがプレフィックス 10.0.0.0/8と一致する場合に一致が発生します。

IPv4 アドレスのデフォルト プレフィックス長

IPv4 アドレスに指定 /prefix-length しない場合、プレフィックス長は /32デフォルトで . 次の例は、デフォルトのプレフィックス値を示しています。

IPv6 アドレスのデフォルト プレフィックス長

IPv6 アドレスに指定 /prefix-length しない場合、プレフィックス長は /128デフォルトで . 次の例は、デフォルトのプレフィックス値を示しています。

MAC アドレスのデフォルト プレフィックス長

VPLS、レイヤー 2 CCC、またはレイヤー 2 ブリッジング パケットの MAC(メディア アクセス コントロール)アドレスに指定 /prefix-length しない場合、プレフィックス長は /48デフォルトで . 次の例は、デフォルトのプレフィックス値を示しています。

アドレス フィールドと除外値の照合

アドレス・フィールド照会条件の場合は、キーワードを except 含めて、指定されたアドレスまたはプレフィックスと一致しないアドレス・フィールドに対して照会が行われることを指定できます。

IPv4 または IPv6 トラフィックの IP アドレスの除外

以下の IPv4 および IPv6 照会条件に対して、キーワードを except 含めて、指定された IP アドレスまたはプレフィックスと一致しない IP アドレス・フィールドで照会が行われることを指定できます。

  • address address except—送信元 IP アドレスまたは宛先 IP アドレスが指定したアドレスまたはプレフィックスと一致しない場合、一致が発生します。

  • source-address address except—送信元 IP アドレスが指定したアドレスまたはプレフィックスと一致しない場合、一致が発生します。

  • destination-address address except—宛先 IP アドレスが指定したアドレスまたはプレフィックスと一致しない場合、一致が発生します。

次の例では、プレフィックスに該当 172.0.0.0/8 する IPv4 宛先アドレス(該当するアドレスを除く)で一致が 172.16.0.0/16発生します。他のすべてのアドレスは暗黙的にこの条件と一致しません。

次の例では、プレフィックス 10.1.1.0/24内に含まれない IPv4 宛先アドレスに対して一致が発生します。

VPLS またはレイヤー 2 ブリッジング トラフィックの IP アドレスの除外

MX シリーズ ルーターでの次の VPLS およびレイヤー 2 ブリッジングの一致条件の場合のみ、指定した IP アドレスまたはプレフィックスと一致しない IP アドレス フィールドに対して一致が発生することを指定するキーワードを含 except めることができます。

  • ip-address address except—送信元 IP アドレスまたは宛先 IP アドレスが指定したアドレスまたはプレフィックスと一致しない場合、一致が発生します。

  • source-ip-address address except—送信元 IP アドレスが指定したアドレスまたはプレフィックスと一致しない場合、一致が発生します。

  • destination-ip-address address except—宛先 IP アドレスが指定したアドレスまたはプレフィックスと一致しない場合、一致が発生します。

MX シリーズ ルーター上の VPLS トラフィックをフィルタリングする次の例では、送信元 IP アドレスが例外範囲内 55.0.1.0/255.0.255.0 にあり、宛先 IP アドレスが一致した場合に一致が発生します 5172.16.5.0/8

VPLS またはレイヤー 2 ブリッジング トラフィックの MAC アドレスの除外

次の VPLS またはレイヤー 2 ブリッジング トラフィックの照合条件では、キーワードを含 except めて、指定した MAC アドレスまたはプレフィックスと一致しない MAC アドレス フィールドで一致を指定できます。

  • source-mac-address address except—送信元MACアドレスが指定したアドレスまたはプレフィックスと一致しない場合、一致が発生します。

  • destination-mac-address address except—宛先MACアドレスが指定したアドレスまたはプレフィックスと一致しない場合、一致が発生します。

すべてのアドレスを除外するには、「0/0」アドレスで明示的に一致する必要があります。

1 つ以上のアドレス例外 照会条件(キーワードを使用 except するアドレス照会条件)で構成されるファイアウォール・フィルター照会条件を指定しても、 一致する アドレス照会条件がない場合、設定されたプレフィックスのいずれにも一致しないパケットは、全体的な照会操作に失敗します。プレフィックス リストに含まれていないアドレスと一致するように、アドレス例外照会条件のファイアウォール フィルター条件を構成するには、明示的な照会 0/0 を含め、その条件に一致するアドレスが含まれるようにします。

次の IPv4 トラフィックのファイアウォール フィルターの例では、 from-trusted-addresses この用語は一致するトラフィックの破棄に失敗し INTRUDERS-COUNT 、カウンターが show firewall 動作モード コマンドの出力から欠落しています。

プレフィックス リストに含まれていないアドレスと一致するアドレス例外照会条件のフィルター条件を作成するには、一致条件の 0/0 セットに明示的な照会を含めます。

送信元プレフィックス アドレスを 0.0.0.0/0 照合条件に追加すると、条件が from-trusted-addresses 一致するトラフィックを破棄し、INTRUDERS-COUNT カウンターが動作モード コマンドの出力に show firewall 表示されます。

いずれかの IP アドレス フィールドを単一の値に照会

IPv4 および IPv6 トラフィックの場合、および MX シリーズ ルーター上の VPLS およびレイヤー 2 ブリッジング トラフィックの場合のみ、単一の照会条件を使用して、送信元または宛先 IP アドレス フィールドに単一のアドレスまたはプレフィックス値を照会できます。

IPv4 または IPv6 トラフィックの IP アドレス フィールドの照会

IPv4 または IPv6 トラフィックでは、単一の照会条件を使用して、送信元または宛先 IP アドレス フィールドの照会と同じアドレスまたはプレフィックス値を指定できます。照合条件とdestination-address照合条件に同じアドレスを指定する個別のフィルタ条件をsource-address作成する代わりに、照合条件のみを使用しますaddress。送信元 IP アドレスまたは宛先 IP アドレス 、指定したアドレス または プレフィックスと一致する場合、一致が発生します。

キーワードを照会条件と共にexceptaddress使用すると、送信元 IP アドレスと宛先 IP アドレスの両方が、例外が適用される前に指定された値と一致した場合に照会が行われます。

またはdestination-address照合条件のいずれかをsource-address指定するファイアウォール フィルタ条件では、照合条件もaddress指定できません。

VPLS またはレイヤー 2 ブリッジング トラフィックの IP アドレス フィールドの照会

MX シリーズ ルーター上の VPLS またはレイヤー 2 ブリッジング トラフィックの場合のみ、単一の照会条件を使用して、送信元または宛先 IP アドレス フィールドの一致と同じアドレスまたはプレフィックス値を指定できます。照合条件とdestination-ip-address照合条件に同じアドレスを指定する個別のフィルタ条件をsource-ip-address作成する代わりに、照合条件のみを使用しますip-address。送信元 IP アドレスまたは宛先 IP アドレス 、指定したアドレス または プレフィックスと一致する場合、一致が発生します。

キーワードを照会条件と共にexceptip-address使用すると、送信元 IP アドレスと宛先 IP アドレスの両方が、例外が適用される前に指定された値と一致した場合に照会が行われます。

またはdestination-ip-address照合条件のいずれかをsource-ip-address指定するファイアウォール フィルタ条件では、照合条件もip-address指定できません。

アドレス フィールドと非連続プレフィックスの照会

IPv4 トラフィックの場合のみ、IP 送信元または宛先アドレス フィールドを指定された任意のプレフィックスに一致させる単一の照会条件を指定します。プレフィックスは連続している必要はありません。つまり、or destination-address match 条件の下のsource-addressプレフィックスは、隣接している必要も、相互に隣接している必要もありません。

次の例では、宛先アドレスがプレフィックスまたはプレフィックスと一致する場合に 10.0.0.0/8 一致が 192.168.0.0/32 発生します。

照合条件内でプレフィックスを指定する順序は重要ではありません。パケットは照合条件内のすべてのプレフィックスに対して評価され、一致が発生するかどうかを判断します。プレフィックスが重複する場合は、最長一致ルールを使用して一致するかどうかを判断します。非連続プレフィックスの照合条件には暗黙的 0/0 except なステートメントが含まれています。つまり、照合条件に含まれるプレフィックスと一致しないプレフィックスは、明示的に一致しないと見なされます。

プレフィックスは順序に依存せず、最長一致ルールを使用するため、長いプレフィックスは同じタイプである限り(指定 except するかどうかにかかわらず)短いプレフィックスをサブスメします。これは、長いプレフィックスと一致するものも短いプレフィックスと一致するためです。

次の例を考えてみましょう。

照合条件では source-address 、2 つのアドレスが無視されます。この 172.16.3.0/16 値は、同じタイプのアドレス 172.16.0.0/10に該当するため、無視されます。この 10.2.2.2 except 値は暗黙的な 0.0.0.0/0 except 照会値によって受け取られ、無視されます。

次の送信元 IP アドレスがこのファイアウォール フィルターによって評価されたとします。

  • 送信元 IP アドレス 172.16.1.2—このアドレスはプレフィックスと 172.16.0.0/10 一致するため、ステートメント内の then アクションが実行されます。

  • 送信元 IP アドレス 172.16.2.2—このアドレスはプレフィックスと 172.16.2.0/24 一致します。このプレフィックスは否定されるため(つまり、キーワードを except 含む)、明示的な 不一致 が発生します。フィルタの次の項が存在する場合は評価されます。条件がこれ以上ない場合、パケットは破棄されます。

  • 送信元 IP アドレス 10.1.2.3—このアドレスは、条件に含まれるすべてのプレフィックスと source-address 一致しません。代わりに、照合条件の下source-addressで設定されたプレフィックスのリストの末尾にある暗黙的0.0.0.0/0 exceptなプレフィックスと一致し、不一致と見なされます。

    ステートメントは 172.16.3.0/24 アドレス 172.16.0.0/10に該当するため無視されます。どちらも同じタイプです。

    ステートメントは 10.2.2.2 except 、照合条件の下で設定されたプレフィックスのリストの末尾にある暗黙的な 0.0.0.0/0 except ステートメントによってサブスムされるため、 source-address 無視されます。

ベスト プラクティス:

ファイアウォール フィルタ条件に照合条件が from address address 含まれている場合、その後の条件に同じアドレスの from source-address address 照合条件が含まれている場合、パケットは、その中間条件によって評価される前に、後者の項によって処理されることがあります。その結果、間に含まれる条件で拒否すべきパケットが代わりに受け入れられる場合や、受け入れるべきパケットが拒否される場合があります。

この問題を回避するには、次の操作を行うことをお勧めします。一致条件を含むファイアウォール フィルター条件ごとに、その条件を from address address 2 つの個別の条件に置き換えます。1つは照合条件を from source-address address 含み、もう1つは照合条件を from destination-address address 含みます。

アドレス フィールドとプレフィックス リストの照合

ルーティング ポリシー ステートメントまたはパケット アドレス フィールドを評価するステートレス ファイアウォール フィルタの一致条件で使用する IPv4 または IPv6 アドレス プレフィックスのリストを定義できます。

IPv4 または IPv6 アドレス プレフィックスのリストを定義するには、ステートメントを prefix-list prefix-list 含めます。

ステートメントは、以下の階層レベルに含めることができます。

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

プレフィックス リストを定義した後は、IPv4 または IPv6 アドレス プレフィックスに基づいてファイアウォール フィルタの一致条件を指定するときに使用できます。