Порядок обработки входящего/исходящего трафика сетевыми службами пограничного контроллера сессий ESBC
Таблица 1 – Порядок обработки входящего трафика
| Шаг | Описание |
| 1 | Выполнение функций ACL на входящем трафике |
| 2 | Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.) |
| 3 | Выполнение функций DOS defense1. На данном этапе выполняются функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets |
| 4 | Инспектирование пакета сервисом IDS/IPS в режиме service-ips monitor1 |
| 5 | Отключение функций Firewall командой ip firewall disable. Разрешение трафика исключает проверки на этапах 6, 13, 15 |
| 6 | Выполнение правил между зонами any/self |
| 7 | Выполнение дефрагментации пакета |
| 8 | Выполнение начальных функций BRAS (инициализация соединений, сессий)1 |
| 9 | Выполнение HTTP/HTTPs прокси1 |
| 10 | Функции Destination NAT1 |
| 11 | Routing Decision (FIB) |
| 12 | Выполнение функций DOS defense1. На этапе данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets: ip firewall screen suspicious-packets large-icmp ip firewall screen dos-defense winnuke ip firewall screen spy-blocking port-scan |
| 13 | Выполнение правил между пользовательскими зонами / self |
| 14 | Разрешение служебного трафика кластера1 |
| 15 | Передача пакета в DPI1 |
| 16 | Передача пакета в Netflow/sFlow (Ingress)1 |
| 17 | Передача пакета в Antispam1 |
| 18 | IPsec (decode)1. После выполнения этого шага происходит переход к п.3 |
ааа
Таблица 2 – Порядок обработки исходящего трафика
| Шаг | Описание |
|---|---|
| 1 | Local Policy Based Routing1 |
| 2 | Route Decision |
| 3 | Передача пакета в DPI1 |
| 4 | tcp adjust-mss1 |
| 5 | Netflow/sFlow (Egress)1 |
| 6 | BRAS (для исходящих пакетов)1 |
| 7 | Выполнение функций Source NAT1 |
| 8 | IPsec (encode)1 |
| 9 | Выполнение фрагментации пакетов |
| 10 | Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.) |
1Данная функция выполняется только при наличии необходимых настроек.
Порядок обработки транзитного трафика сетевыми службами пограничного контроллера сессий ESBC
Таблица 3 – Порядок обработки транзитного трафика
| Шаг | Описание |
|---|---|
| 1 | Выполнение функций ACL на входящем трафике |
| 2 | Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.) |
| 3 | Выполнение функций DOS defense1. На данном этапе выполняются функции защиты от DDOS из раздела firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets |
| 4 | Отключение функций Firewall командой ip firewall disable. Разрешение трафика исключает проверки на этапах 5, 15, 16 |
| 5 | Выполнение правил между пользовательскими зонами / any |
| 6 | Выполнение дефрагментации пакета |
| 7 | Выполнение начальных функций BRAS (инициализация соединений, сессий)1 |
| 8 | Разрешение трафика, исходящий порт которого voice-port. Разрешение трафика включается только в случае наличия настроенного voice-port. |
| 9 | Выполнение HTTP/HTTPS прокси1 |
| 10 | Функции Destination NAT1 |
| 11 | Policy Based Routing |
| 12 | Routing Decision (FIB) |
| Если пакет перед передачей необходимо обработать протоколом более высокого уровня, выполняются следующие действия: | |
| 12.1 | Выполнение функций DOS defense1. На данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets: ip firewall screen suspicious-packets large-icmp ip firewall screen dos-defense winnuke ip firewall screen spy-blocking port-scan |
| 12.2 | Передача пакета в DPI1 |
| 12.3 | Передача пакета в Netflow/sFlow (Ingress)1 |
| 12.4 | Передача пакета в Antispam1 |
| 12.5 | IPsec (decode)1. После выполнения этого шага происходит переход к п.3 |
| 13 | tcp adjust-mss1 |
| 14 | Выполнение функций DOS defense1. На данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets: ip firewall screen suspicious-packets large-icmp ip firewall screen dos-defense winnuke ip firewall screen spy-blocking port-scan |
| 15 | Выполнение правил между специальными зонами, any/any |
| 16 | Передача пакета в DPI1 |
| 17 | Разрешение трафика, исходящий порт которого voice-port. Разрешение трафика включается только в случае наличия настроенного voice-port. |
| 18 | Netflow/sFlow (Egress)1 |
| 19 | Инспектирование пакета сервисом IPS/IDS в режиме service-ips inline1 |
| 20 | BRAS (для исходящих пакетов)1 |
| 21 | Выполнение функций Source NAT1 |
| 22 | IPsec (encode)1 |
| Если необходимо шифрование, то после этого процесса, выполняются следующие операции: | |
| 22.1 | Передача пакета в DPI1 |
| 22.2 | tcp adjust-mss1 |
| 22.3 | Netflow/sFflow (Egress)1 |
| 22.4 | BRAS (для исходящих пакетов) |
| 22.5 | Выполнение функций Source NAT1 |
| 23 | Выполнение фрагментации пакетов |
| 24 | Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.) |
1Данная функция выполняется только при наличии необходимых настроек.