이 페이지의 내용
용어가 일치할 때 충돌 피하기
빠른 업데이트 필터에는 각각 다양한 일치 조건을 가진 여러 용어가 포함될 수 있습니다. 그러나 필터에서 여러 용어를 구성할 때는 용어가 겹치거나 서로 충돌하지 않도록 해야 합니다. 패킷이 두 용어의 모든 조건과 일치할 수 있는 경우 두 용어가 겹치는 것으로 간주됩니다. 각 용어는 일치에 대해 다른 작업을 지정하므로 라우터는 어떤 작업을 수행할지 결정할 수 없습니다. 용어가 겹치면 충돌 오류가 발생하고 동적 프로필이 필터를 적용하려고 할 때 세션이 실패합니다. 오류 로그는 겹치는 용어를 나타냅니다.
라우터가 필터의 용어를 평가하는 방법
라우터는 용어를 검사할 때 일치 조건 테이블을 생성합니다. 라우팅 테이블과 유사한 테이블은 명령문에 포함된 조건을 기반으로 합니다 match-order
. 라우터가 패킷을 수신하면 라우터는 문에 지정된 순서대로 패킷의 내용을 검사합니다 match-order
.
예를 들어, 다음 일치 순서 예의 샘플 구성을 사용하여 라우터는 먼저 패킷 source-address
의 , destination-address
, 그리고 마지막으로 destination-port
. 다음 표에서 볼 수 있듯이 필터의 두 용어는 각 용어의 사양이 다르 destination-port
기 때문에 겹치지 않습니다. 그런 다음 라우터는 패킷 값과 일치하는 destination-port
용어에 대해 적절한 필터 동작을 수행합니다.
학기 |
소스 주소 |
대상 주소 |
목적지 포트 |
행동 |
---|---|---|---|---|
티55 |
가입자 주소 |
203.0.113.2/32 |
http (영문) |
개수 t55_cntr 받아들이다 |
T999 시리즈 |
가입자 주소 |
203.0.113.2/32 |
https (영어) |
개수 t999_cntr 받아들이다 |
일치 순서 예제
firewall { family inet { fast-update-filter psf1 { interface-specific; match-order [ source-address destination-address destination-port ]; term t55 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; destination-port http; } then { count t55_cntr; accept; } } term t999 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; destination-port https; } then { count t999_cntr; accept; } } } } }
암시적 와일드카드 사용
이 섹션에서는 일치 구성에서 암시적 와일드카드 사양을 사용할 수 있는 방법의 예를 보여줍니다. 문의 조건은 match-order
해당 조건이 필터의 용어 사양에 from
구성되지 않은 경우 암시적 와일드카드입니다.
용어에 범위(예: 값 범위 또는 와일드카드)를 사용하는 경우 범위가 겹치지 않아야 합니다. 범위가 겹치면 충돌 오류가 발생합니다. 그러나 한 용어에서는 범위를 구성하고 다른 용어에서는 정확히 일치하는 범위를 구성할 수 있습니다. 예를 들어 다음 필터 테이블에서 용어 t3
의 와일드카드 대상 포트 값은 용어 t55
의 대상 포트 사양과 겹치지 t999
않으며 및 https
값이 정확히 일치하기 때문입니다http
.
암시적 와일드카드 예제 구성에서 라우터는 해당 용어에 구성된 값이 없기 destination-port
때문에 명령문의 조건을 match-order
용어t3
에 대한 암시적 와일드카드로 간주합니다destination-port
. 따라서 와일드카드는 용어 t3
에 대해 모든 destination-port
값이 허용되도록 지정합니다. 필터 테이블은 다음과 같이 나타납니다.
학기 |
소스 주소 |
대상 주소 |
목적지 포트 |
행동 |
---|---|---|---|---|
티3 |
가입자 주소 |
203.0.113.2/32 |
any(와일드카드) |
개수 t3_cntr 받아들이다 |
티55 |
가입자 주소 |
203.0.113.2/32 |
http (영문) |
개수 t55_cntr 받아들이다 |
T999 시리즈 |
가입자 주소 |
203.0.113.2/32 |
https (영어) |
개수 t999_cntr 받아들이다 |
다음 필터 구성에서 대상 포트가 http
용어 t55
와 일치하는 트래픽과 대상 포트가 일치하는 t999
용어가 있는 트래픽.https
또는 이(가) 아닌 대상 포트가 http
https
있는 트래픽은 암시적 와일드카드인 용어 t3
와 일치합니다.
암시적 와일드카드 예제
firewall { family inet { fast-update-filter psf1 { interface-specific; match-order [ source-address destination-address dscp protocol destination-port ]; term t3 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; } then { count t3_cntr; accept; } } term t55 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; destination-port http; } then { count t55_cntr; accept; } } term t999 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; destination-port https; } then { count t999_cntr; accept; } } } } }
범위 겹침으로 인한 충돌
이 섹션에서는 용어로 겹치는 범위의 두 가지 예를 보여줍니다. 용어에 범위(예: 와일드카드 또는 값 범위)를 사용하는 경우 범위가 겹치지 않아야 합니다. 범위가 겹치면 충돌 오류가 발생하고 세션이 실패합니다.
다음 필터 구성 destination-port
에서는 두 용어의 범위가 겹칩니다. 50에서 80 사이의 포트는 용어 src0
와 용어 src1
모두 일치하며, 각각 수행할 다른 작업을 지정합니다.
한 용어에서는 범위를 구성하고 다른 용어에서는 정확히 일치하는 항목을 구성할 수 있습니다. 한 용어의 일치 조건에 와일드카드를 사용하고 두 번째 용어의 조건에 대해 정확히 일치하는 조건에 와일드카드를 사용하는 예는 암시적 와일드카드 사용 섹션을 참조하십시오.
학기 |
소스 주소 |
대상 주소 |
목적지 포트 |
행동 |
---|---|---|---|---|
src0 |
가입자 주소 |
203.0.113.2/32 |
0–80 |
개수 c1_cntr 받아들이다 |
src1 |
가입자 주소 |
203.0.113.2/32 |
50–100 |
개수 c2_cntr 받아들이다 |
겹치는 범위 예제 1
firewall { family inet { fast-update-filter fuf–src { interface-specific; match-order [ source-address destination-address destination-port ]; term src0 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; destination-port 0–80; } then { count c1_cntr; accept; } } term src1 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; destination-port 50–100; } then { count c2_cntr; accept; } } }
이 필터 구성에서 용어 src21
의 사양은 protocol
src22
각 용어에 대한 범위를 구성하는 암시적 와일드카드를 사용합니다. 겹치는 범위가 허용되지 않으므로 충돌 오류가 발생합니다.
학기 |
소스 주소 |
대상 주소 |
프로토콜 |
목적지 포트 |
행동 |
---|---|---|---|---|---|
src20 |
가입자 주소 |
203.0.113.2/32 |
증권 시세 표시기 |
any(와일드카드) |
개수 c20_cntr 받아들이다 |
src21 |
가입자 주소 |
203.0.113.2/32 |
any(와일드카드) |
http (영문) |
개수 c21_cntr 받아들이다 |
src21 |
가입자 주소 |
203.0.113.2/32 |
any(와일드카드) |
https (영어) |
개수 c22_cntr 받아들이다 |
겹치는 범위 예제 2
firewall { family inet { fast-update-filter fuf–src2 { interface-specific; match-order [ source-address destination-address protocol destination-port ]; term src20 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; protocol udp; } then { count c20_cntr; accept; } } term src21 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; destination-port http; } then { count c21_cntr; accept; } } term src22 { from { source-address $junos-subscriber-ip-address; destination-address 203.0.113.2/32; destination-port https; } then { count c22_cntr; accept; } } }