Обработка транзитного трафика:

Входящий трафик - это любой первый входящий пакет сессии, поступающий в user-zone1. Он проверяется набором правил  начиная с меньшего по нумерации, указанной в zone-pair. Если пакет подпадает под все условия, прописанные в правиле (match), выполняется действие прописанное в правиле (action) и дальнейший просмотр правил прекращается.

  • zone-pair: <user-zone1> → any
    Проверяется, есть ли совпадение с данным набором правил:

    • Если найдено совпадение и action permit переход к обработки правил zone-pair <user-zone1> <user-zone2>.

    • Если совпадений нет переход к обработки правил zone-pair <user-zone1> <user-zone2>.

    • Если правило срабатывает с action deny трафик запрещается.

  • zone-pair: <user-zone1> <user-zone2>
    Также происходит проверка правил для пользовательских зон:

    • permit трафик разрешён.

    • deny трафик запрещён.

    • нет совпадений переход к обработки правил zone-pair any any.

  • zone-pair: any → any 
    Последний уровень проверки:

    • permit трафик разрешается.

    • deny или нет совпадений трафик запрещается.

Подробней о "security zone-pair <user-zone> any"

Создание разрешающего правила в "security zone-pair <user-zone1> any" не разрешает прохождение транзитного трафика, так как после обработки этим набором пакет передаётся на обработку набором "security zone-pair <user-zone1> <user-zone2>" и только там может быть действительно разрешен. 

Функционал конфигурирования "security zone-pair <user-zone> any" реализовано для:

  •  Классификации фрагментированных пакетов (match fragment)
  •  Классификации пакетов содержащих ip-option (match ip-option)
  •  Возможности либо запретить вышеперечисленные пакеты (action deny), либо ограничить их (action [rate-limit total pps / session-limit])

Функционал session-limit доступен только на моделях ESR-30, ESR-31, ESR-3100, ESR-3150, ESR-3200, ESR-3200L, ESR-3300.

Обработка терминируемого трафика (к self)

Входящий трафик к self - пакеты, адресованные самому маршрутизатору.

  • zone-pair: any → self
    Проверяется самое общее правило для доступа к self.

    • Если есть совпадение и action permit → трафик разрешается.

    • Если action deny трафик запрещается.

    • Если нет совпадений переход к обработки правил zone-pair <user-zone> self.

  • zone-pair: user-zone → self
    Более конкретное правило:

    • permit доступ к self разрешён.

    • deny доступ запрещён.

    • нет совпадений → трафик запрещается по умолчанию.

  • zone-pair: any → any 
    Последний уровень проверки:

    • permit трафик разрешается.

    • deny или нет совпадений трафик запрещается.

  • Нет меток