SRX ассиметричный роутинг

[owlbook]

Доброго дня.

 

Имеется в наличии SRX345. На него заведено два апстрима от разных провайдеров, каждый провайдер проваливается в свой routing-instance. В апстримы анонсируем наши префиксы, оттуда получаем дефолты, которые импортируем с разными метриками в основную таблицу. Идея в том, что у нас есть основной апстрим и резервный.

 

Проблемы начинаются когда появляется ассимметричный роутинг. Весь траффик, как и планировалось, уезжает через основной аплинк, но часть траффика возвращается через резервный. Игрища с коммьюнити, к сожалению, ничего не дали. Судя по информации от Juniper - flow должен нормально отрабатывать как надо, создавая две сессии, но что-то идёт не так и на обратный траффик мне сообщают

 

Oct  3 11:56:07 11:56:06.291369:CID-1:RT:Conflict session (XXXXXXXX) is VALID state
Oct  3 11:56:07 11:56:06.291369:CID-1:RT:  packet dropped, failed to install nsp2

 

Вдумчивый гуглёж ни к чему не привёл.

 

Вот инфа со стороны Juniper https://supportportal.juniper.net/s/article/SRX-How-does-SRX-handle-asymmetric-traffic?language=en_US

На всякий случай схема такая

irb.1 (Routing instance main, security zone trust)
xe-0/0/16 (Routing instance RETN, security zone retn)
xe-0/0/17 (Routing instance Teleone, security zone teleone)

Траффик идёт так: irb.0 -> xe-0/0/16 и возвращается xe-0/0/17 -> irb.1

 

Дроп происходит непосредственно на передаче пакета xe-0/0/17 -> irb.1. Судя по flow все security проверки пакет проходит успешно, проблем в логах никаких не замечено.

 

Может кто-то сталкивался с таким поведением, потому что интернет советует либо перевести SRX в packet режим, что не очень интересно, либо закинуть все аплинки в один routing-instance и одну зону, что тоже выглядит как-то не очень.