owlbook Posted October 3, 2023 · Report post Доброго дня. Имеется в наличии SRX345. На него заведено два апстрима от разных провайдеров, каждый провайдер проваливается в свой routing-instance. В апстримы анонсируем наши префиксы, оттуда получаем дефолты, которые импортируем с разными метриками в основную таблицу. Идея в том, что у нас есть основной апстрим и резервный. Проблемы начинаются когда появляется ассимметричный роутинг. Весь траффик, как и планировалось, уезжает через основной аплинк, но часть траффика возвращается через резервный. Игрища с коммьюнити, к сожалению, ничего не дали. Судя по информации от Juniper - flow должен нормально отрабатывать как надо, создавая две сессии, но что-то идёт не так и на обратный траффик мне сообщают Oct 3 11:56:07 11:56:06.291369:CID-1:RT:Conflict session (XXXXXXXX) is VALID state Oct 3 11:56:07 11:56:06.291369:CID-1:RT: packet dropped, failed to install nsp2 Вдумчивый гуглёж ни к чему не привёл. Вот инфа со стороны Juniper https://supportportal.juniper.net/s/article/SRX-How-does-SRX-handle-asymmetric-traffic?language=en_US На всякий случай схема такая irb.1 (Routing instance main, security zone trust) xe-0/0/16 (Routing instance RETN, security zone retn) xe-0/0/17 (Routing instance Teleone, security zone teleone) Траффик идёт так: irb.0 -> xe-0/0/16 и возвращается xe-0/0/17 -> irb.1 Дроп происходит непосредственно на передаче пакета xe-0/0/17 -> irb.1. Судя по flow все security проверки пакет проходит успешно, проблем в логах никаких не замечено. Может кто-то сталкивался с таким поведением, потому что интернет советует либо перевести SRX в packet режим, что не очень интересно, либо закинуть все аплинки в один routing-instance и одну зону, что тоже выглядит как-то не очень. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...