Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 3 Следующий »

Порядок обработки входящего/исходящего трафика сетевыми службами маршрутизаторов ESR

Таблица 1 – Порядок обработки входящего трафика

ШагОписание
1Выполнение функций ACL на входящем трафике
2Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.)
3Выполнение функций DOS defense1. На данном этапе выполняются функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets
4Инспектирование пакета сервисом IDS/IPS в режиме service-ips monitor1
5Отключение функций Firewall командой ip firewall disable. Разрешение трафика исключает проверки на этапах 6, 13, 15
6

Выполнение правил между специальными зонами /any, any/self

7Выполнение дефрагментации пакета
8Выполнение начальных функций BRAS (инициализация соединений, сессий)1
9Выполнение HTTP/HTTPs прокси1
10Функции Destination NAT1
11Routing Decision (FIB)
12

Выполнение функций DOS defense1. На этапе данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets:

ip firewall screen suspicious-packets large-icmp

ip firewall screen dos-defense winnuke

ip firewall screen spy-blocking port-scan

13Выполнение правил между зонами /self, any/any
14Разрешение служебного трафика кластера1
15Передача пакета в DPI1
16Передача пакета в Netflow/sFlow (Ingress)1
17Передача пакета в Antispam1
18

IPsec (decode)1. После выполнения этого шага происходит переход к п.3

Таблица 2 – Порядок обработки исходящего трафика

ШагОписание
1Local Policy Based Routing1
2Route Decision
3Передача пакета в DPI1
4tcp adjust-mss1
5Netflow/sFlow (Egress)1
6BRAS (для исходящих пакетов)1
7Выполнение функций Source NAT1
8IPsec (encode)1
9Выполнение фрагментации пакетов
10Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.)

1Данный функционал выполняется только при наличии необходимых настроек.

Порядок обработки транзитного трафика сетевыми службами маршрутизаторов ESR

Таблица 3 – Порядок обработки транзитного трафика

ШагОписание
1Выполнение функций ACL на входящем трафике
2Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.)
3

Выполнение функций DOS defense1.

На данном этапе выполняются функции защиты от DDOS из раздела firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets

4Отключение функций Firewall командой ip firewall disable. Разрешение трафика исключает проверки на этапах 5, 15, 16
5

Выполнение правил между специальными зонами /any

6Выполнение дефрагментации пакета
7Выполнение начальных функций BRAS (инициализация соединений, сессий)1
8Разрешение трафика, исходящий порт которого voice-port. Разрешение трафика включается только в случае наличия настроенного voice-port. 
9Выполнение HTTP/HTTPS прокси1
10Функции Destination NAT1
11Policy Based Routing
12Routing Decision (FIB)
Если пакет перед передачей необходимо обработать протоколом более высокого уровня, выполняются следующие действия:
12.1

Выполнение функций DOS defense1.

На данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets:

ip firewall screen suspicious-packets large-icmp

ip firewall screen dos-defense winnuke

ip firewall screen spy-blocking port-scan

12.2Передача пакета в DPI1
12.3Передача пакета в Netflow/sFlow (Ingress)1
12.4Передача пакета в Antispam1
12.5

IPsec (decode)1.

После выполнения этого шага происходит переход к п.3

13tcp adjust-mss1
14

Выполнение функций DOS defense1.

На данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets:

ip firewall screen suspicious-packets large-icmp

ip firewall screen dos-defense winnuke

ip firewall screen spy-blocking port-scan

15Выполнение правил внутри зоны или между специальными зонами any/any
16Передача пакета в DPI1
17Разрешение трафика, исходящий порт которого voice-port. Разрешение трафика включается только в случае наличия настроенного voice-port. 
18Netflow/sFlow (Egress)1
19Инспектирование пакета сервисом IPS/IDS в режиме service-ips inline1
20BRAS (для исходящих пакетов)1
21Выполнение функций Source NAT1
22IPsec (encode)1
Если необходимо шифрование, то после этого процесса, выполняются следующие операции:
22.1Передача пакета в DPI1
22.2tcp adjust-mss1
22.3Netflow/sFflow (Egress)1
22.4BRAS (для исходящих пакетов)
22.5Выполнение функций Source NAT1
23Выполнение фрагментации пакетов
24Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.)

1Данный функционал выполняется только при наличии необходимых настроек.

  • Нет меток