Jump to content
Калькуляторы

SRX ассиметричный роутинг

Доброго дня.

 

Имеется в наличии SRX345. На него заведено два апстрима от разных провайдеров, каждый провайдер проваливается в свой routing-instance. В апстримы анонсируем наши префиксы, оттуда получаем дефолты, которые импортируем с разными метриками в основную таблицу. Идея в том, что у нас есть основной апстрим и резервный.

 

Проблемы начинаются когда появляется ассимметричный роутинг. Весь траффик, как и планировалось, уезжает через основной аплинк, но часть траффика возвращается через резервный. Игрища с коммьюнити, к сожалению, ничего не дали. Судя по информации от Juniper - flow должен нормально отрабатывать как надо, создавая две сессии, но что-то идёт не так и на обратный траффик мне сообщают

 

Oct  3 11:56:07 11:56:06.291369:CID-1:RT:Conflict session (XXXXXXXX) is VALID state
Oct  3 11:56:07 11:56:06.291369:CID-1:RT:  packet dropped, failed to install nsp2

 

Вдумчивый гуглёж ни к чему не привёл.

 

Вот инфа со стороны Juniper https://supportportal.juniper.net/s/article/SRX-How-does-SRX-handle-asymmetric-traffic?language=en_US

На всякий случай схема такая

irb.1 (Routing instance main, security zone trust)
xe-0/0/16 (Routing instance RETN, security zone retn)
xe-0/0/17 (Routing instance Teleone, security zone teleone)

Траффик идёт так: irb.0 -> xe-0/0/16 и возвращается xe-0/0/17 -> irb.1

 

Дроп происходит непосредственно на передаче пакета xe-0/0/17 -> irb.1. Судя по flow все security проверки пакет проходит успешно, проблем в логах никаких не замечено.

 

Может кто-то сталкивался с таким поведением, потому что интернет советует либо перевести SRX в packet режим, что не очень интересно, либо закинуть все аплинки в один routing-instance и одну зону, что тоже выглядит как-то не очень.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.