Перейти к содержимому
Калькуляторы

SCE + URL FILTER не адекватная работа

Ответить

tehmeh   

tehmeh
Опубликовано · Жалоба

Мы тут 8000 переросли, уходим на ISG, чем-бы URL порезать теперь.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

vurd   

vurd
Опубликовано · Жалоба

Мы тут 8000 переросли, уходим на ISG, чем-бы URL порезать теперь.

 

Что мешает ответить web-трафик на резалку, на тот же SCE, например?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

tehmeh   

tehmeh
Опубликовано · Жалоба

Мы тут 8000 переросли, уходим на ISG, чем-бы URL порезать теперь.

 

 

Что мешает ответить web-трафик на резалку, на тот же SCE, например?

 

А как делают, WCCP?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

SyJet   

SyJet
Опубликовано · Жалоба

Мы тут 8000 переросли, уходим на ISG, чем-бы URL порезать теперь.

 

Имхо, Скат самое то

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

tehmeh   

tehmeh
Опубликовано · Жалоба

Хм. Вариант редиректа на SCE теперь выглядит куда интереснее.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

vurd   

vurd
Опубликовано · Жалоба

Я PBR-ом делаю. Что-то типа

 

ip vrf zapret
ip vrf core
!
int v20
ip 10.10.10.1/30
ip vrf for core
!
int v21
ip 10.10.10.2/30
ip vrf for zapret
!
int v30
ip 10.10.10.5/30
ip vrf for zapret
!
int v31
ip 10.10.10.6/30
ip vrf for core
!
ip route vrf zapret 0.0.0.0/0 10.10.10.6
!
int v200
desc INPUT FACE
ip policy redirect-to-zapret
!

 

Ну и физическая петля. Всё из-за того что sce на l2 работает, гадина такая.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Bat   

Bat
Опубликовано · Жалоба

Подниму тему. Кто-нибудь пробовал фильтровать с помощью SCE https трафик? Не по IP а по имени хоста.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Bat   

Bat
Опубликовано · Жалоба

А как пробовали? Может "не дожали"? :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bike   

bike
Опубликовано · Жалоба

Подниму тему. Кто-нибудь пробовал фильтровать с помощью SCE https трафик? Не по IP а по имени хоста.

А как пробовали? Может "не дожали"? :)

Простите, не знаком с логикой работы SCE - а, она, умеет разбирать имя хоста из CN и SNI сертификата?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Bat   

Bat
Опубликовано · Жалоба

Я рассматриваю с точки зрения просмотра содержимого пакета. От клиента к серверу передается имя хоста. В сертификате тоже передается имя, но там может быть и совсем другое имя, ИМХО по нему нельзя ориентироваться.

У SCE есть signature editor, но как я понимаю там паттерны могут быть только статическими?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bike   

bike
Опубликовано · Жалоба

Я рассматриваю с точки зрения просмотра содержимого пакета. От клиента к серверу передается имя хоста.

На сколько понимаю в TLS, оно передаётся в шифрованном виде?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Bat   

Bat
Опубликовано · Жалоба

На сколько понимаю в TLS, оно передаётся в шифрованном виде?

Нет, в открытом виде.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...