Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia de filtro de firewall basadas en campos de dirección

Puede configurar condiciones de coincidencia de filtro de firewall que evalúan los campos de dirección del paquete (direcciones de origen y destino IPv4, direcciones de origen y destino IPv6, o direcciones de origen y destino de control de acceso de medios (MAC) con respecto a direcciones o valores de prefijo especificados.

Coincidencia implícita en la dirección "0/0 excepto" para condiciones de coincidencia de filtro de firewall basadas en campos de dirección

Cada condición de coincidencia de filtro de firewall según un conjunto de direcciones o prefijos de dirección se asocia a una coincidencia implícita en la dirección 0.0.0.0/0 except (para tráfico IPv4 o VPLS) o 0:0:0:0:0:0:0:0/0 except (para tráfico IPv6). Como resultado, cualquier paquete cuyo campo de dirección especificado no coincida con ninguna de las direcciones o prefijos de dirección especificados no coincide con el término completo.

Coincidencia de un campo de dirección con una máscara o prefijo de subred

Puede especificar una condición de coincidencia única para que coincida con una dirección de origen o de destino que esté dentro de un prefijo de dirección especificado.

Notación de máscara de subred IPv4

Para una dirección IPv4, puede especificar un valor de máscara de subred en lugar de una longitud de prefijo. Por ejemplo:

Notación de prefijo

Para especificar el prefijo de dirección, use la notación prefix/prefix-length. En el ejemplo siguiente, se produce una coincidencia si una dirección de destino coincide con el prefijo 10.0.0.0/8:

Longitud predeterminada del prefijo para direcciones IPv4

Si no especifica /prefix-length para una dirección IPv4, la longitud del prefijo predeterminada es /32. En el ejemplo siguiente se muestra el valor de prefijo predeterminado:

Longitud predeterminada del prefijo para direcciones IPv6

Si no especifica /prefix-length para una dirección IPv6, la longitud del prefijo predeterminada es /128. En el ejemplo siguiente se muestra el valor de prefijo predeterminado:

Longitud predeterminada del prefijo para direcciones MAC

Si no especifica /prefix-length para una dirección de control de acceso de medios (MAC) de un paquete de puente VPLS, CCC de capa 2 o capa 2, la longitud del prefijo es predeterminada /48. En el ejemplo siguiente se muestra el valor de prefijo predeterminado:

Coincidencia de un campo de dirección con un valor excluido

Para las condiciones de coincidencia de campo de dirección, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección que no coincide con la dirección o el prefijo especificados.

Exclusión de direcciones IP en tráfico IPv4 o IPv6

Para las siguientes condiciones de coincidencia IPv4 e IPv6, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección IP que no coincide con la dirección IP o el prefijo especificados:

  • address address except: se produce una coincidencia si la dirección IP de origen o la dirección IP de destino no coincide con la dirección o el prefijo especificados.

  • source-address address except: se produce una coincidencia si la dirección IP de origen no coincide con la dirección o el prefijo especificados.

  • destination-address address except: se produce una coincidencia si la dirección IP de destino no coincide con la dirección o el prefijo especificados.

En el ejemplo siguiente, se produce una coincidencia para cualquier dirección de destino IPv4 que se encuentra bajo el 172.0.0.0/8 prefijo, excepto para las direcciones que se incluyen en 172.16.0.0/16. El resto de direcciones no coinciden implícitamente con esta condición.

En el ejemplo siguiente, se produce una coincidencia para cualquier dirección de destino IPv4 que no esté dentro del prefijo 10.1.1.0/24:

Exclusión de direcciones IP en tráfico de puente VPLS o capa 2

Para las siguientes condiciones de coincidencia de puente de capa 2 y VPLS solo en enrutadores serie MX, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección IP que no coincide con la dirección IP o el prefijo especificados:

  • ip-address address except: se produce una coincidencia si la dirección IP de origen o la dirección IP de destino no coincide con la dirección o el prefijo especificados.

  • source-ip-address address except: se produce una coincidencia si la dirección IP de origen no coincide con la dirección o el prefijo especificados.

  • destination-ip-address address except: se produce una coincidencia si la dirección IP de destino no coincide con la dirección o el prefijo especificados.

En el siguiente ejemplo para filtrar el tráfico VPLS en un enrutador de la serie MX, se produce una coincidencia si la dirección IP de origen se encuentra dentro del intervalo de excepciones y la dirección IP de 55.0.1.0/255.0.255.0 destino coincide 5172.16.5.0/8:

Exclusión de direcciones MAC en tráfico de puente de VPLS o capa 2

Para las siguientes condiciones de coincidencia de tráfico de puente vpls o capa 2, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección MAC que no coincide con la dirección MAC o el prefijo especificados:

  • source-mac-address address except: se produce una coincidencia si la dirección MAC de origen no coincide con la dirección o el prefijo especificados.

  • destination-mac-address address except: se produce una coincidencia si la dirección MAC de destino no coincide con la dirección o el prefijo especificados.

Excluir todas las direcciones requiere una coincidencia explícita en la dirección "0/0"

Si especifica una condición de coincidencia de filtro de firewall que consta de una o más condiciones de coincidencia de excepción de dirección (condiciones de coincidencia de dirección que utilizan la except palabra clave) pero sin condiciones de coincidencia de dirección coincidente , los paquetes que no coincidan con ninguno de los prefijos configurados fallarán en la operación de coincidencia general. Para configurar un término de filtro de firewall de condiciones de coincidencia de excepción de dirección para que coincida con cualquier dirección que no se encuentra en la lista de prefijos, incluya una coincidencia explícita de 0/0 modo que el término contenga una dirección coincidente.

Para el siguiente filtro de firewall de ejemplo para tráfico IPv4, el from-trusted-addresses término no descarta el tráfico coincidente y falta el INTRUDERS-COUNT contador del resultado del comando de show firewall modo operativo:

Para hacer que un término de filtro de condiciones de coincidencia de excepción de dirección coincida con cualquier dirección que no se encuentra en la lista de prefijos, incluya una coincidencia explícita en 0/0 el conjunto de condiciones de coincidencia:

Con la adición de la 0.0.0.0/0 dirección de prefijo de origen a la condición de coincidencia, el from-trusted-addresses término descarta el tráfico coincidente y el contador INTRUDERS-COUNT se muestra en la salida del comando de show firewall modo operativo:

Hacer coincidir cualquier campo de dirección IP con un único valor

Para el tráfico IPv4 e IPv6 y para el tráfico de puente vpls y capa 2 solo en enrutadores de la serie MX, puede usar una sola condición de coincidencia para hacer coincidir una sola dirección o un valor de prefijo al campo de dirección IP de origen o destino.

Coincidencia de campo de dirección IP en tráfico IPv4 o IPv6

Para el tráfico IPv4 o IPv6, puede usar una sola condición de coincidencia para especificar el mismo valor de dirección o prefijo que la coincidencia para el campo de dirección IP de origen o destino. En lugar de crear términos de filtro independientes que especifiquen la misma dirección para las source-address condiciones y destination-address coincidencias, solo se utiliza la condición de address coincidencia. Se produce una coincidencia si la dirección IP de origen o la dirección IP de destino coincide con la dirección o el prefijo especificados.

Si usa la except palabra clave con la address condición de coincidencia, se produce una coincidencia si tanto la dirección IP de origen como la dirección IP de destino coinciden con el valor especificado antes de que se aplique la excepción.

En un término de filtro de firewall que especifica la source-address condición de coincidencia o la destination-address condición de coincidencia, también no puede especificar la condición de address coincidencia.

Coincidencia de campo de dirección IP en tráfico de puente VPLS o capa 2

Para el tráfico de puente vpls o capa 2 solo en enrutadores de la serie MX, puede usar una sola condición de coincidencia para especificar el mismo valor de dirección o prefijo que la coincidencia para el campo de dirección IP de origen o destino. En lugar de crear términos de filtro independientes que especifiquen la misma dirección para las source-ip-address condiciones y destination-ip-address coincidencias, solo se utiliza la condición de ip-address coincidencia. Se produce una coincidencia si la dirección IP de origen o la dirección IP de destino coincide con la dirección o el prefijo especificados.

Si usa la except palabra clave con la ip-address condición de coincidencia, se produce una coincidencia si tanto la dirección IP de origen como la dirección IP de destino coinciden con el valor especificado antes de que se aplique la excepción.

En un término de filtro de firewall que especifica la source-ip-address condición de coincidencia o la destination-ip-address condición de coincidencia, también no puede especificar la condición de ip-address coincidencia.

Coincidencia de un campo de dirección con prefijos no contuos

Solo para el tráfico IPv4, especifique una condición de coincidencia única para que coincida con el campo de dirección IP de origen o destino con cualquier prefijo especificado. Los prefijos no deben ser contiguos. Es decir, los prefijos bajo la source-address condición o destination-address coincidencia no deben ser adyacentes ni vecinos entre sí.

En el ejemplo siguiente, se produce una coincidencia si una dirección de destino coincide con el 10.0.0.0/8 prefijo o el 192.168.0.0/32 prefijo:

El orden en el que se especifican los prefijos dentro de la condición de coincidencia no es significativo. Los paquetes se evalúan con todos los prefijos de la condición de coincidencia para determinar si se produce una coincidencia. Si los prefijos se superponen, se utilizan reglas de coincidencia más larga para determinar si se produce una coincidencia. Una condición de coincidencia de prefijos no contigües incluye una instrucción implícita 0/0 except , lo que significa que cualquier prefijo que no coincida con ningún prefijo incluido en la condición de coincidencia se considera explícitamente que no coincide.

Dado que los prefijos son independientes de los pedidos y utilizan reglas de coincidencia más larga, los prefijos más largos subsume los más cortos siempre y cuando sean del mismo tipo (especifique except o no). Esto se debe a que cualquier cosa que coincida con el prefijo más largo también coincidiría con el más corto.

Considere el siguiente ejemplo:

Dentro de la source-address condición de coincidencia, se omiten dos direcciones. El 172.16.3.0/16 valor se omite porque cae bajo la dirección 172.16.0.0/10, que es del mismo tipo. El 10.2.2.2 except valor se ignora porque el valor de coincidencia implícito 0.0.0.0/0 except lo subsume.

Suponga que este filtro de firewall evalúa la siguiente dirección IP de origen:

  • Dirección 172.16.1.2IP de origen: esta dirección coincide con el 172.16.0.0/10 prefijo y, por lo tanto, se realiza la acción en la then instrucción.

  • Dirección 172.16.2.2IP de origen: esta dirección coincide con el 172.16.2.0/24 prefijo. Dado que este prefijo se niega (es decir, incluye la except palabra clave), se produce una discordancia explícita. Se evalúa el siguiente término del filtro, si hay uno. Si no hay más términos, el paquete se descarta.

  • Dirección IP 10.1.2.3de origen: esta dirección no coincide con ninguno de los prefijos incluidos en la source-address condición. En su lugar, hace coincidir lo implícito 0.0.0.0/0 except al final de la lista de prefijos configurados bajo la source-address condición de coincidencia y se considera una discordancia.

    La 172.16.3.0/24 instrucción se ignora porque cae bajo la dirección 172.16.0.0/10: ambos son del mismo tipo.

    La 10.2.2.2 except instrucción se ignora porque la incluye la instrucción implícita 0.0.0.0/0 except al final de la lista de prefijos configurados bajo la source-address condición de coincidencia.

prácticas recomendadas:

Cuando un término de filtro de firewall incluye la from address address condición de coincidencia y un término posterior incluye la from source-address address condición de coincidencia para la misma dirección, los paquetes pueden ser procesados por este último término antes de que se evalúen por cualquier término interviniente. Como resultado, los paquetes que deben ser rechazados por los términos intervinientes pueden ser aceptados en su lugar, o los paquetes que se deben aceptar podrían rechazarse en su lugar.

Para evitar que esto ocurra, recomendamos que haga lo siguiente. Para cada término de filtro de firewall que contenga la from address address condición de coincidencia, reemplace ese término por dos términos independientes: una que contiene la from source-address address condición de coincidencia y otra que contiene la from destination-address address condición de coincidencia.

Coincidencia de un campo de dirección con una lista de prefijos

Puede definir una lista de prefijos de dirección IPv4 o IPv6 para su uso en una instrucción de política de enrutamiento o en una condición de coincidencia de filtro de firewall sin estado que evalúe los campos de dirección del paquete.

Para definir una lista de prefijos de dirección IPv4 o IPv6, incluya la prefix-list prefix-list instrucción.

Puede incluir la instrucción en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

Después de definir una lista de prefijos, puede usarla al especificar una condición de coincidencia de filtro de firewall según un prefijo de dirección IPv4 o IPv6.