0

我的帖子

个人中心

设置

  发新话题
我的部署环境是用户的流量必须流经我们的一个加速平台,加速平台以juniperSRX防火墙作为出口与对端三层交换机对接,用户流量和源站流量都来自这里,PBR的原因流量被打倒我的加速平台,现在会出现的一个情况是,加速平台从untrust区域可以收到用户流量始发流量和源站回复流量,前提是我们的加速平台对数据包的源地址不做改变,实际中出现的问题是用户流量到达加速平台交互(首先是TCP)数据包转发没有问题,平台与源站建的TCP链接过程当防火墙收到源站的syn+ack后没有正常转发,这里我觉得与防火墙会话有关,只是没有生成正确的会话表项。现在我在考虑运用juniperSRX支持的无状态的基于数据包的转发,这样会避开会话表的使用。控制用户到加速平台按无状态的数据包转发,加速平台到源站的转发按基于流的转发,流量在进入平台的防火墙接口上允许源是用户的流量按无状态转发,流量从平台转发但源地址并没有改变进入防火墙的接口上允许目的是用户的流量按无状态转发,这样的结果是没有会话表项建立混乱的问题。各位大侠帮忙解答下!!!



哪位大神能帮解答,英文写的基于包的转发的限制如下
When configuring firewall filters for selective stateless packet-based services:

Accurately identify traffic that needs to bypass flow to avoid unnecessary packet drops.
Make sure to apply the firewall filter with packet-mode action on all interfaces involved in the packet-based flow path.
Make sure to configure host-bound TCP traffic to use flow-based forwarding—exclude this traffic when specifying match conditions for the firewall filter term containing the packet-mode action modifier. Any host-bound TCP traffic configured to bypass flow is dropped. Asynchronous flow-mode processing is not supported with selective stateless packet-based services.
Configure input packet filters (not output) with the packet-mode action modifier.
第三条中的host-bound TCP traffic不知道这是什么流量



哪位兄弟能参与到这里的讨论当中,juniperSRX对无状态的转发他的限制条件是什么,哪些流量是特殊的例如host-bound TCP traffic。但我的理解是并没有特定的限制,大家的理解是什么样的



‹‹ 上一贴:Juniper SSG520 的问题   |   下一贴:跪求juniper考试认证资料 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2020 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com