zlolotus Опубликовано 10 июня, 2017 · Жалоба Коллеги, расскажите про асимметричную схему включения (фильтрация только исходящего трафика). Можно с примером на джунипере Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 14 июня, 2017 · Жалоба Переадресация же не будет работать? На страницу блокировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 14 июня, 2017 · Жалоба Работает переадресация на асимметричном. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 14 июня, 2017 · Жалоба Работает переадресация на асимметричном. можно пример? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 16 июня, 2017 · Жалоба Поднимаем от брасов до dna0 ската отдельный влан, к примеру 901, от пограничника до dna1 второй влан - 902. На брасах для интерфейсов в 901 влане и на пограничнике в 902 назначаем адреса из одной подсети. На брасах просто прописываем, что default у нас будет IP навешанный на пограничник в 902 влане. В результате трафик для адресов не входящих в наши сети уходит через 901-й влан на интерфейс dna0 СКАТА, и потом через dna1 по влану 902 приходит на пограничник и далее в интернет. Входящий трафик проходит от пограничкника к брасам минуя СКАТ. Естественно что все наши локальные адреса должны в брасах присутствовать (у нас через iBGP это сделано), тогда через СКАТ будет проходить только исходящий в мир. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 20 ноября, 2018 · Жалоба Успешно ли в таком случае блокируется HTTPS ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 22 ноября, 2018 · Жалоба В этой схеме пакет запроса к серверу вообще не уходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xamza Опубликовано 18 декабря, 2020 · Жалоба Коллеги, добрый день, есть те у кого указанная схема реализована на джуне ? у меня периодически перестает ходить исходящий трафик, отваливается на 10-15 секунд схема указана выше, конфиг : ИНТЕРФЕЙСЫ : ae0 { description ---TO_DPI---; aggregated-ether-options { link-speed 1g; lacp { active; } } unit 0 { family inet { address 10.10.199.5/30; } } } ae1 { description ---FROM_DPI---; aggregated-ether-options { link-speed 1g; lacp { active; } } unit 0 { family inet { address 10.10.199.6/30; } } } ae2 { description ---EXTREME---; vlan-tagging; aggregated-ether-options { link-speed 10g; lacp { active; } } unit 10 { description OFFICE; vlan-id 10; family inet { filter { input-list [ TO_DPI_CLIENTS DENY_FROM_RFC1918 ]; } address XXXXXXXX; } } ФИЛЬТР: XXXXXXX@BORDER# show firewall family inet filter TO_DPI_CLIENTS term 1 { from { source-address { XXXXXXXXX; } } then { next-interface { ae0; routing-instance DPI-RI; } } } VRF: XXXXXXX@BORDER# show routing-instances DPI-RI { instance-type virtual-router; interface ae0.0; routing-options { static { route 0.0.0.0/0 next-hop 10.10.199.6; } } } В момент аварий, трафик на ae0 падает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...