Пара уточнений:
Завернуть нам трафик можно:
— DNS announce,
— BGP announce,
— Tunnel
Если вы придумаете какой-то другой способ которым можно передать трафик на наш фильтр — мы с удовольствием его реализуем, но пока вот так.
Можно вернуть его не по тоннелю, а по выделенному L2 каналу или паре таких каналов. Делается это для того чтобы избежать нестабильности участков сети с динамической маршрутизацией.
Сейчас у нас разрабатывается некоторый новый тип тоннеля, с совершенно забавными сетевыми свойствами — но об этом готовы будем рассказть в новом 2013 году.
Подходящее решение можно найти всегда, не всегда оно бывает тривиальным.
