Vidéo: Firewall : comprendre l'essentiel en 7 minutes 2024
Les filtres d'itinéraire correspondent à des adresses IP ou à des plages de préfixes spécifiques. Tout comme les autres stratégies de routage, elles incluent des critères de correspondance et des actions de correspondance correspondantes.
Une différence importante entre les filtres d'itinéraires et les autres conditions de correspondance de règles est la gestion de plusieurs filtres. Si vous avez plus d'une condition de correspondance, les conditions sont traitées comme un AND logique, ce qui signifie que toutes doivent être vraies pour être considérées comme une correspondance.
Avec les filtres d'itinéraire, la présence de plusieurs filtres représente un OU logique, ce qui signifie qu'il s'agit d'une correspondance si l'itinéraire correspond à l'un des filtres configurés.
La combinaison d'un préfixe d'itinéraire et d'une longueur de préfixe avec le type de correspondance détermine la manière dont les filtres d'itinéraire sont évalués par rapport aux itinéraires entrants. Voici une demi-douzaine de types de match à connaître.
| Type de correspondance | Description |
|---|---|
| Exact | Correspond si la longueur du préfixe est égale à la longueur du préfixe de la route
. |
| Orlonger | Correspond si la longueur du préfixe est égale ou supérieure à la longueur du préfixe de la route
. |
| Plus long | Correspond si la longueur du préfixe est supérieure à la longueur du préfixe
de la route. |
| Jusqu'à | Correspond si la route partage les bits les plus significatifs dans la longueur du préfixe
et que la longueur du préfixe de la route se situe entre la longueur du préfixe et la limite supérieure configurée. |
| prefix-length-range | Correspond si la route partage les bits les plus significatifs dans la longueur du préfixe
et que la longueur du préfixe de la route se situe dans la plage spécifiée. |
| Grâce à | L'itinéraire se situe entre le préfixe inférieur / longueur préfixe et le préfixe supérieur
/ longueur préfixe. |
Chaque arbre représente un ensemble d'adresses. Pour cette image particulière, le nœud supérieur dans chaque arbre représente l'adresse 192. 168/16 (environ 66 000 routes réseau). Chaque ensemble de nœuds sous le nœud supérieur représente des longueurs de préfixe plus longues. En d'autres termes, lorsque vous descendez sur l'arbre, les adresses deviennent plus spécifiques. (Des bits plus significatifs sont spécifiés.)
Voici ce que signifient les différents types de correspondance:
-
Le type de correspondance exacte signifie que seule une route avec le même préfixe et la même longueur de préfixe correspondra. Il doit s'agir d'une correspondance exacte, donc seule la route 192. 168/16 est mise en surbrillance.
-
La correspondance orlonger indique que toute route commençant par 192. 168 et ayant une longueur de préfixe de 16 ou plus correspondra. En d'autres termes, toute route qui est plus spécifique que 192. 168/16 est une correspondance, c'est pourquoi toutes les routes sont mises en évidence.
-
Le type de correspondance le plus long est le même que le type de correspondance orlonger, sauf qu'il n'inclut aucune correspondance exacte. Donc, la seule différence est que le nœud supérieur n'est pas inclus.
-
Si vous utilisez le type de correspondance, vous devez spécifier la limite supérieure pour la longueur du préfixe. Par exemple, vous devez configurer 192. 168/16 jusqu'à / 24 pour mettre en surbrillance toutes les adresses entre 192. 168/16 et 192. 168/24.
-
Le type de correspondance préfixe-longueur-plage vous permet de spécifier les bits significatifs d'une adresse, puis les adresses liées avec ces bits significatifs entre deux longueurs de préfixe. Dans ce cas, vous pouvez vous assurer que toutes les adresses commencent par 192. 168, mais que vous ne voulez faire correspondre que les adresses ayant des longueurs de préfixe comprises entre 20 et 24.
-
Le type de correspondance final est terminé. Ce type de correspondance crée essentiellement une liste de correspondances exactes entre le noeud de départ et l'adresse de fin. Toutes les adresses entre les deux sont considérées comme des correspondances. Les termes 0/0 à 0/32 couvrent toutes les adresses réseau all-0 possibles (généralement, vous devriez rejeter ces faux formulaires d'adresse).
