Перейти к содержимому
Калькуляторы

Асеммитричная схема включения. Фильтрация только исходящего трафика

Коллеги, расскажите про асимметричную схему включения (фильтрация только исходящего трафика).

 

Можно с примером на джунипере

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Переадресация же не будет работать? На страницу блокировки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Работает переадресация на асимметричном.

 

можно пример?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поднимаем от брасов до dna0 ската отдельный влан, к примеру 901, от пограничника до dna1 второй влан - 902. На брасах для интерфейсов в 901 влане и на пограничнике в 902 назначаем адреса из одной подсети.

 

На брасах просто прописываем, что default у нас будет IP навешанный на пограничник в 902 влане. В результате трафик для адресов не входящих в наши сети уходит через 901-й влан на интерфейс dna0 СКАТА, и потом через dna1 по влану 902 приходит на пограничник и далее в интернет. Входящий трафик проходит от пограничкника к брасам минуя СКАТ. Естественно что все наши локальные адреса должны в брасах присутствовать (у нас через iBGP это сделано), тогда через СКАТ будет проходить только исходящий в мир.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Успешно ли в таком случае блокируется HTTPS ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В этой схеме пакет запроса к серверу вообще не уходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, добрый день, есть те у кого указанная схема реализована на джуне ? у меня периодически перестает ходить исходящий трафик, отваливается на 10-15 секунд
image.thumb.png.289d4de6fb8f3ba0c6c258e5069a732d.png

 

схема указана выше, конфиг :

ИНТЕРФЕЙСЫ :

ae0 {
    description ---TO_DPI---;
    aggregated-ether-options {
        link-speed 1g;
        lacp {
            active;
        }
    }
    unit 0 {
        family inet {
            address 10.10.199.5/30;
        }
    }
}
ae1 {
    description ---FROM_DPI---;
    aggregated-ether-options {
        link-speed 1g;
        lacp {
            active;
        }
    }
    unit 0 {
        family inet {
            address 10.10.199.6/30;
        }
    }
}
ae2 {
    description ---EXTREME---;
    vlan-tagging;
    aggregated-ether-options {          
        link-speed 10g;                 
        lacp {                          
            active;                     
        }                               
    }                                   
                                  
    unit 10 {                           
        description OFFICE;        
        vlan-id 10;                     
        family inet {                   
            filter {                    
                input-list [ TO_DPI_CLIENTS DENY_FROM_RFC1918 ];
            }                           
            address XXXXXXXX;    
        }                               
    }               

ФИЛЬТР:

XXXXXXX@BORDER# show firewall family inet filter TO_DPI_CLIENTS 
term 1 {
    from {
        source-address {
            XXXXXXXXX;
        }
    }
    then {
        next-interface {
            ae0;
            routing-instance DPI-RI;
        }
    }
}

 

 

VRF:

XXXXXXX@BORDER# show routing-instances 
DPI-RI {
    instance-type virtual-router;
    interface ae0.0;
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 10.10.199.6;
        }
    }
}

 

 

В момент аварий, трафик на ae0 падает 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.