Вопрос о топологии «звезда»
-
Привет всем
Я работаю над топологией SD-WAN Hub-and-Spoke, но хочу избежать трафика между spoke и spoke, например: сайт DC использует VPN 100, филиал A использует VPN 10, филиал B использует VPN 20. В этих условиях мне нужно маршрутизировать трафик между 100-10、100-20, но сейчас таблица маршрутизации на VPN 100 пропускает трафик от 10 к 20 Из-за маршрута по умолчанию, объявленного с сайта DC, филиал может легко маршрутизировать трафик через VPN 100, поскольку VPN 100 должен иметь все маршруты VPN в структуре
Есть ли какой-нибудь способ предотвратить трафик между 10 и 20 без использования SD-WAN ZBFW? Спасибо за ответ
-
поскольку вы получаете маршрут по умолчанию к концентратору, мы не можем предотвратить трафик между спицами без ACL,
вам необходимо использовать локальную политику данных в обеих спицах https://www.networkacademy.io/ccie-enterprise/sdwan/explicit-access-control-list-acl MHM -
Здравствуйте, Я не знаю, сколько у вас сайтов. Но одним из вариантов может быть создание списка удаленных филиалов и выбор действия «удалить» в централизованной политике данных. Без вручную написанного списка доступа отфильтровать это невозможно. Надеюсь, это поможет.
Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо полезную информацию. -
Я правильно понимаю, что вы хотите, чтобы трафик проходил только через Hub? Или что-то еще? MHM
-
Да, хотя я использую топологию «звезда», но мне нужно избежать любого трафика от узла к узлу через концентратор.
-
Вы можете решить эту проблему с помощью централизованной политики, которая предотвращает объявление маршрутов TLOC и OMP, созданных в спице, другим спицам, в сочетании с централизованной политикой данных, которая ограничивает трафик между спицами через концентратор. Рады помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev -
![SDWAN.jpg] Да, я использую централизованную политику, чтобы гарантировать отсутствие TLOC и обмена маршрутами между spoke-spoke, но из-за маршрута по умолчанию, который узнается от сайта DC, spoke-spoke все еще могут обмениваться данными через DC.
-
@Joel0748363 Вам не нужен ZBFW, вы можете достичь этого с помощью политики контроля. https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/ios-xe-17/policies-book-xe/policy-overview.html
-
Здравствуйте, сэр Не могли бы вы объяснить, какую именно функцию следует использовать в политике контроля?
-
Благодаря маршруту по умолчанию, объявленному с сайта DC, филиал может легко пройти через VPN 100, поскольку VPN 100 должен иметь все маршруты VPN в структуре.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти