Jump to content
Калькуляторы

Асеммитричная схема включения. Фильтрация только исходящего трафика

zlolotus   

zlolotus
Posted · Report post

Коллеги, расскажите про асимметричную схему включения (фильтрация только исходящего трафика).

 

Можно с примером на джунипере

Share this post

Link to post
Share on other sites

Valaskor   

Valaskor
Posted · Report post

Переадресация же не будет работать? На страницу блокировки.

Share this post

Link to post
Share on other sites

zlolotus   

zlolotus
Posted · Report post

Работает переадресация на асимметричном.

 

можно пример?

Share this post

Link to post
Share on other sites

taf_321   

taf_321
Posted · Report post

Поднимаем от брасов до dna0 ската отдельный влан, к примеру 901, от пограничника до dna1 второй влан - 902. На брасах для интерфейсов в 901 влане и на пограничнике в 902 назначаем адреса из одной подсети.

 

На брасах просто прописываем, что default у нас будет IP навешанный на пограничник в 902 влане. В результате трафик для адресов не входящих в наши сети уходит через 901-й влан на интерфейс dna0 СКАТА, и потом через dna1 по влану 902 приходит на пограничник и далее в интернет. Входящий трафик проходит от пограничкника к брасам минуя СКАТ. Естественно что все наши локальные адреса должны в брасах присутствовать (у нас через iBGP это сделано), тогда через СКАТ будет проходить только исходящий в мир.

Share this post

Link to post
Share on other sites

xamza   

xamza
Posted · Report post

Коллеги, добрый день, есть те у кого указанная схема реализована на джуне ? у меня периодически перестает ходить исходящий трафик, отваливается на 10-15 секунд
image.thumb.png.289d4de6fb8f3ba0c6c258e5069a732d.png

 

схема указана выше, конфиг :

ИНТЕРФЕЙСЫ :

ae0 {
    description ---TO_DPI---;
    aggregated-ether-options {
        link-speed 1g;
        lacp {
            active;
        }
    }
    unit 0 {
        family inet {
            address 10.10.199.5/30;
        }
    }
}
ae1 {
    description ---FROM_DPI---;
    aggregated-ether-options {
        link-speed 1g;
        lacp {
            active;
        }
    }
    unit 0 {
        family inet {
            address 10.10.199.6/30;
        }
    }
}
ae2 {
    description ---EXTREME---;
    vlan-tagging;
    aggregated-ether-options {          
        link-speed 10g;                 
        lacp {                          
            active;                     
        }                               
    }                                   
                                  
    unit 10 {                           
        description OFFICE;        
        vlan-id 10;                     
        family inet {                   
            filter {                    
                input-list [ TO_DPI_CLIENTS DENY_FROM_RFC1918 ];
            }                           
            address XXXXXXXX;    
        }                               
    }               

ФИЛЬТР:

XXXXXXX@BORDER# show firewall family inet filter TO_DPI_CLIENTS 
term 1 {
    from {
        source-address {
            XXXXXXXXX;
        }
    }
    then {
        next-interface {
            ae0;
            routing-instance DPI-RI;
        }
    }
}

 

 

VRF:

XXXXXXX@BORDER# show routing-instances 
DPI-RI {
    instance-type virtual-router;
    interface ae0.0;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 10.10.199.6;
        }
    }
}

 

 

В момент аварий, трафик на ae0 падает 

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  
Followers 0
Go To Topic Listing СКАТ DPI и СКАТ CACHE