Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

용어가 일치할 때 충돌 피하기

빠른 업데이트 필터에는 각각 다양한 일치 조건을 가진 여러 용어가 포함될 수 있습니다. 그러나 필터에서 여러 용어를 구성할 때는 용어가 겹치거나 서로 충돌하지 않도록 해야 합니다. 패킷이 두 용어의 모든 조건과 일치할 수 있는 경우 두 용어가 겹치는 것으로 간주됩니다. 각 용어는 일치에 대해 다른 작업을 지정하므로 라우터는 어떤 작업을 수행할지 결정할 수 없습니다. 용어가 겹치면 충돌 오류가 발생하고 동적 프로필이 필터를 적용하려고 할 때 세션이 실패합니다. 오류 로그는 겹치는 용어를 나타냅니다.

라우터가 필터의 용어를 평가하는 방법

라우터는 용어를 검사할 때 일치 조건 테이블을 생성합니다. 라우팅 테이블과 유사한 테이블은 명령문에 포함된 조건을 기반으로 합니다 match-order . 라우터가 패킷을 수신하면 라우터는 문에 지정된 순서대로 패킷의 내용을 검사합니다 match-order .

예를 들어, 다음 일치 순서 예의 샘플 구성을 사용하여 라우터는 먼저 패킷 source-address의 , destination-address, 그리고 마지막으로 destination-port. 다음 표에서 볼 수 있듯이 필터의 두 용어는 각 용어의 사양이 다르 destination-port 기 때문에 겹치지 않습니다. 그런 다음 라우터는 패킷 값과 일치하는 destination-port 용어에 대해 적절한 필터 동작을 수행합니다.

학기

소스 주소

대상 주소

목적지 포트

행동

티55

가입자 주소

203.0.113.2/32

http (영문)

개수 t55_cntr

받아들이다

T999 시리즈

가입자 주소

203.0.113.2/32

https (영어)

개수 t999_cntr

받아들이다

일치 순서 예제

암시적 와일드카드 사용

이 섹션에서는 일치 구성에서 암시적 와일드카드 사양을 사용할 수 있는 방법의 예를 보여줍니다. 문의 조건은 match-order 해당 조건이 필터의 용어 사양에 from 구성되지 않은 경우 암시적 와일드카드입니다.

메모:

용어에 범위(예: 값 범위 또는 와일드카드)를 사용하는 경우 범위가 겹치지 않아야 합니다. 범위가 겹치면 충돌 오류가 발생합니다. 그러나 한 용어에서는 범위를 구성하고 다른 용어에서는 정확히 일치하는 범위를 구성할 수 있습니다. 예를 들어 다음 필터 테이블에서 용어 t3 의 와일드카드 대상 포트 값은 용어 t55 의 대상 포트 사양과 겹치지 t999 않으며 및 https 값이 정확히 일치하기 때문입니다http.

암시적 와일드카드 예제 구성에서 라우터는 해당 용어에 구성된 값이 없기 destination-port 때문에 명령문의 조건을 match-order 용어t3에 대한 암시적 와일드카드로 간주합니다destination-port. 따라서 와일드카드는 용어 t3 에 대해 모든 destination-port 값이 허용되도록 지정합니다. 필터 테이블은 다음과 같이 나타납니다.

학기

소스 주소

대상 주소

목적지 포트

행동

티3

가입자 주소

203.0.113.2/32

any(와일드카드)

개수 t3_cntr

받아들이다

티55

가입자 주소

203.0.113.2/32

http (영문)

개수 t55_cntr

받아들이다

T999 시리즈

가입자 주소

203.0.113.2/32

https (영어)

개수 t999_cntr

받아들이다

다음 필터 구성에서 대상 포트가 http 용어 t55 와 일치하는 트래픽과 대상 포트가 일치하는 t999용어가 있는 트래픽.https 또는 이(가) 아닌 대상 포트가 http https 있는 트래픽은 암시적 와일드카드인 용어 t3와 일치합니다.

암시적 와일드카드 예제

범위 겹침으로 인한 충돌

이 섹션에서는 용어로 겹치는 범위의 두 가지 예를 보여줍니다. 용어에 범위(예: 와일드카드 또는 값 범위)를 사용하는 경우 범위가 겹치지 않아야 합니다. 범위가 겹치면 충돌 오류가 발생하고 세션이 실패합니다.

다음 필터 구성 destination-port 에서는 두 용어의 범위가 겹칩니다. 50에서 80 사이의 포트는 용어 src0 와 용어 src1모두 일치하며, 각각 수행할 다른 작업을 지정합니다.

메모:

한 용어에서는 범위를 구성하고 다른 용어에서는 정확히 일치하는 항목을 구성할 수 있습니다. 한 용어의 일치 조건에 와일드카드를 사용하고 두 번째 용어의 조건에 대해 정확히 일치하는 조건에 와일드카드를 사용하는 예는 암시적 와일드카드 사용 섹션을 참조하십시오.

학기

소스 주소

대상 주소

목적지 포트

행동

src0

가입자 주소

203.0.113.2/32

0–80

개수 c1_cntr

받아들이다

src1

가입자 주소

203.0.113.2/32

50–100

개수 c2_cntr

받아들이다

겹치는 범위 예제 1

이 필터 구성에서 용어 src21 의 사양은 protocol src22 각 용어에 대한 범위를 구성하는 암시적 와일드카드를 사용합니다. 겹치는 범위가 허용되지 않으므로 충돌 오류가 발생합니다.

학기

소스 주소

대상 주소

프로토콜

목적지 포트

행동

src20

가입자 주소

203.0.113.2/32

증권 시세 표시기

any(와일드카드)

개수 c20_cntr

받아들이다

src21

가입자 주소

203.0.113.2/32

any(와일드카드)

http (영문)

개수 c21_cntr

받아들이다

src21

가입자 주소

203.0.113.2/32

any(와일드카드)

https (영어)

개수 c22_cntr

받아들이다

겹치는 범위 예제 2