Асеммитричная схема включения. Фильтрация только исходящего трафика

[zlolotus]

Коллеги, расскажите про асимметричную схему включения (фильтрация только исходящего трафика).

 

Можно с примером на джунипере

[Valaskor]

Переадресация же не будет работать? На страницу блокировки.

[taf_321]

Работает переадресация на асимметричном.

[zlolotus]

Работает переадресация на асимметричном.

 

можно пример?

[taf_321]

Поднимаем от брасов до dna0 ската отдельный влан, к примеру 901, от пограничника до dna1 второй влан - 902. На брасах для интерфейсов в 901 влане и на пограничнике в 902 назначаем адреса из одной подсети.

 

На брасах просто прописываем, что default у нас будет IP навешанный на пограничник в 902 влане. В результате трафик для адресов не входящих в наши сети уходит через 901-й влан на интерфейс dna0 СКАТА, и потом через dna1 по влану 902 приходит на пограничник и далее в интернет. Входящий трафик проходит от пограничкника к брасам минуя СКАТ. Естественно что все наши локальные адреса должны в брасах присутствовать (у нас через iBGP это сделано), тогда через СКАТ будет проходить только исходящий в мир.

[alexdirty]

Успешно ли в таком случае блокируется HTTPS ?

[taf_321]

В этой схеме пакет запроса к серверу вообще не уходит.

[xamza]

Коллеги, добрый день, есть те у кого указанная схема реализована на джуне ? у меня периодически перестает ходить исходящий трафик, отваливается на 10-15 секунд

 

схема указана выше, конфиг :

ИНТЕРФЕЙСЫ :

ae0 {
    description ---TO_DPI---;
    aggregated-ether-options {
        link-speed 1g;
        lacp {
            active;
        }
    }
    unit 0 {
        family inet {
            address 10.10.199.5/30;
        }
    }
}
ae1 {
    description ---FROM_DPI---;
    aggregated-ether-options {
        link-speed 1g;
        lacp {
            active;
        }
    }
    unit 0 {
        family inet {
            address 10.10.199.6/30;
        }
    }
}
ae2 {
    description ---EXTREME---;
    vlan-tagging;
    aggregated-ether-options {          
        link-speed 10g;                 
        lacp {                          
            active;                     
        }                               
    }                                   
                                  
    unit 10 {                           
        description OFFICE;        
        vlan-id 10;                     
        family inet {                   
            filter {                    
                input-list [ TO_DPI_CLIENTS DENY_FROM_RFC1918 ];
            }                           
            address XXXXXXXX;    
        }                               
    }               

ФИЛЬТР:

XXXXXXX@BORDER# show firewall family inet filter TO_DPI_CLIENTS 
term 1 {
    from {
        source-address {
            XXXXXXXXX;
        }
    }
    then {
        next-interface {
            ae0;
            routing-instance DPI-RI;
        }
    }
}

 

 

VRF:

XXXXXXX@BORDER# show routing-instances 
DPI-RI {
    instance-type virtual-router;
    interface ae0.0;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 10.10.199.6;
        }
    }
}

 

 

В момент аварий, трафик на ae0 падает