SD-WAN Развертывание на месте
-
-
DMZ — это маршрутизатор ISR, а не брандмауэр. Какой тип NAT следует применять в этом маршрутизаторе ISR (маршрутизаторе WAN)? (1) (2)
vSmart и vManage указывают на публичный IP-адрес vBond -NATed публичный IP-адрес (3)
vBond узнает частный IP-адрес интерфейса и NAT-адрес vSmart и vManage -Частный адрес — до NAT, публичный — после NAT (4)
vSmart и vManage используют NAT-адреса общедоступных IP-адресов для связи. ![maguattedieng_0-1742571086238.png]
-
Здравствуйте, почему маршрутизатор ISP меняет порт назначения? Это должен быть вопрос. Нелогично, что порт назначения автоматически изменяется (поскольку он привязан к определенному порту приложения на удаленном компьютере) маршрутизатором ISP. Похоже, в вашей конфигурации есть неверные строки, проверьте еще раз. Надеюсь, это поможет.
Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо полезную информацию. -
Ниже Nat реализовано ![maguattedieng_0-1742580507838.png]
-
У меня была проблема с vsmart и портами. Nat был на брандмауэре. В вашей ситуации, похоже, каждый порт преобразуется в
12348. Отправьте вывод команды show ip nat transl. Кроме того, если вы хотите, чтобы vmange использовал публичный IP-адрес vbond, вам необходимо использовать публичный цвет на интерфейсе. Отправьте свою конфигурацию. -
У меня есть CAT8kv перед контроллерами SDWAN, выполняющими NAT, чтобы vmanage/vsmart отправляли vbond публичный IP-адрес, а vbond также узнавал
частный и публичный IP-адреса vsmart и vmanage. Для этого требуется NAT источника и назначения с использованием интерфейсов VASI, чтобы пакеты могли проходить через NAT внутри/снаружи доменов. Это лабораторная работа, поэтому 10.64.x.x — это частные IP-адреса, 10.100.x.x — «публичные» IP-адреса для DC1, а 10.200.x.x — «публичные» IP-адреса для DC2. vrf definition VASI-OUTSIDE ! address-family ipv4 exit-address-family interface GigabitEthernet3 description contrl-complex mtu 9216 ip address 10.64.32.254 255.255.255.0 ip nat inside speed 10000 no negotiation auto ipv6 address 2001:10:64:32::254/64 interface vasileft1 ip address 10.99.1.1 255.255.255.252 ip nat outside no keepalive
!
interface vasiright1 vrf forwarding VASI-OUTSIDE ip address 10.99.1.2 255.255.255.252 no keepalive ip route 10.100.1.0 255.255.255.0 vasileft1 10.99.1.2
ip route 10.200.1.0 255.255.255.0 vasileft1 10.99.1.2
ip route vrf VASI-OUTSIDE 0.0.0.0 0.0.0.0 vasiright1
ip nat inside source static 10.64.32.1 10.100.1.1 no-alias
ip nat inside source static 10.64.32.2 10.100.1.2 no-alias
ip nat inside source static 10.64.32.3 10.100.1.3 no-alias
ip nat inside source static 10.64.32.4 10.100.1.4 no-alias
ip nat inside source static 10.64.32.10 10.100.1.10 no-alias
ip nat inside source static 10.64.32.11 10.100.1.11 no-alias
ip nat inside source static 10.64.32.14 10.100.1.14 no-alias
ip nat inside source static 10.64.64.1 10.200.1.1 no-alias
ip nat inside source static 10.64.64.2 10.200.1.2 no-alias
ip nat inside source static 10.64.64.7 10.200.1.7 no-alias Соединения vbond: vbond_251_1_1# show orchestrator connections PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC ORGANIZATION INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE NAME UPTIME -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vedge dtls 11.1.1.78 78 1 192.168.0.247 12346 192.168.0.247 12346 biz-internet up Cisco SA Demo - 17404 7:22:11:41 0 vedge dtls 11.1.1.79 79 1 192.168.0.246 12406 192.168.0.246 12406 biz-internet up Cisco SA Demo - 17404 7:22:12:28 0 vsmart dtls 11.2.251.4 251 1 10.64.32.4 12346 10.100.1.4 12346 default up Cisco SA Demo - 17404 7:22:11:03 0 vsmart dtls 11.2.251.4 251 1 10.64.32.4 12446 10.100.1.4 12446 default up Cisco SA Demo - 17404 7:22:11:01 0 vsmart dtls 11.2.251.5 251 1 10.64.64.7 12346 10.200.1.7 12346 default up Cisco SA Demo - 17404 7:22:10:46 0 vsmart dtls 11.2.251.5 251 1 10.64.64.7 12446 10.200.1.7 12446 default up Cisco SA Demo - 17404 7:22:10:45 0 vsmart dtls 11.2.251.4 251 1 2001:10:64:32::2 12346 2001:10:64:32::2 12346 default up Cisco SA Demo - 17404 7:22:11:04 0 vsmart dtls 11.2.251.4 251 1 2001:10:64:32::2 12446 2001:10:64:32::2 12446 default up Cisco SA Demo - 17404 7:22:11:02 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12346 10.100.1.3 12346 default up Cisco SA Demo - 17404 7:22:09:26 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12446 10.100.1.3 12446 default up Cisco SA Demo - 17404 7:22:09:28 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12546 10.100.1.3 12546 default up Cisco SA Demo - 17404 7:22:09:29 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12646 10.100.1.3 12646 default up Cisco SA Demo - 17404 7:22:09:29 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12746 10.100.1.3 12746 default up Cisco SA Demo - 17404 7:22:09:16 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12846 10.100.1.3 12846 default up Cisco SA Demo - 17404 7:22:09:20 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12946 10.100.1.3 12946 default up Cisco SA Demo - 17404 7:22:09:28 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 13046 10.100.1.3 13046 default up Cisco SA Demo - 17404 7:22:09:29 -
Привет, Дэн Спасибо за ответ. Думаю, у нас одинаковые конструкции, но я не понимаю, почему я не получаю никаких подключений на vBond, в то время как на vManage и vSmart подключения поступают. Ниже приведен Nat, который я применил на моем ISR ![maguattedieng_2-1743518486905.png] vManage пытается установить следующее UDP-соединение с vbond. 11:53:47.383251 IP 172.16.11.12.12546 > 102.164.141.211.12346: UDP, длина 165 11:53:47.428141 IP 172.16.11.12.12746 > 102.164.141.211.12346: UDP, длина 165 11:53:47.479778 IP 172.16.11.12.13046 > 102.164.141.211.12346: UDP, длина 165 11:53:47.680494 IP 172.16.11.12.12446 > 102.164.141.211.12346: UDP, длина 165 Когда мы выполняем дамп TCP на vbond, мы видим, что IP-адрес источника и IP-адрес назначения пакета настроены правильно. Однако, похоже, номер порта назначения изменен с 12346 на 12348, не знаю, почему это происходит. 11:52:25.640336 IP 102.164.141.212.12346 > 172.16.11.11.12348: UDP, длина 165 11:52:25.711363 IP 102.164.141.212.12546 > 172.16.11.11.12348: UDP, длина 165 11:52:25.813766 IP 102.164.141.212.12646 > 172.16.11.11.12348: UDP, длина 165 11:52:25.813885 IP 102.164.141.212.12846 > 172.16.11.11.12348: UDP, длина 165 11:52:25.845670 IP 102.164.141.212.12746 > 172.16.11.11.12348: UDP, длина 165 11:52:25.916124 IP 102.164.141.212.13046 > 172.16.11.11.12348: UDP, длина 165 11:52:26.008868 IP 102.164.141.212.12446 > 172.16.11.11.12348: UDP, длина 165 Как вы думаете, какие вероятные причины препятствуют соединению между vBond и vManage?
-
Вы добавили allow-service all на интерфейс vbond?
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти