Помощь с локальными контроллерами SD-WAN
-
- Среда и архитектура
Все контроллеры находятся на месте (vManage, vSmart, vBond) и расположены в одной локальной подсети за брандмауэром/NAT UniFi.
У нас есть 5 статических публичных IP-адресов. Я настроил NAT 1:1 (перенаправление портов), сопоставив уникальный публичный IP-адрес каждому контроллеру. - Проблема:
нам нужно подключить внешние маршрутизаторы vEdge, расположенные в публичном Интернете. Для этого vBond должен узнать и объявить публичные IP-адреса vManage и vSmart.
Сценарий A (частные IP-адреса):
Когда я настраиваю контроллеры с использованием их частных IP-адресов, локальная плоскость управления запускается успешно. Однако подключение внешних vEdge не удается, потому что vBond объявляет частные IP-адреса (недоступные из Интернета) внешним маршрутизаторам.
Сценарий B (публичные IP-адреса):
Когда я настраиваю контроллеры на связь через их публичные IP-адреса (для поддержки внешних устройств), подключение не удается.
Резюме:
Я перехожу на публичное развертывание плоскости управления с использованием NAT 1:1 и перенаправления портов. Моя цель — настроить контроллеры на связь через публичный IP-адрес vBond, чтобы vBond мог использовать STUN для правильной идентификации и регистрации публичных IP-адресов vSmart и vManage, обеспечивая подключение к внешнему сайту.
Внутренняя связь работает, но при переключении конфигурации на использование публичного IP-адреса связь пропадает. Мне нужно проверить, что мои политики NAT hairpinning и loopback правильно позволяют внутренним контроллерам достигать vBond через его публичный адрес.
Мне также удалось подключить маршрутизатор vEdge с помощью частного IP-адреса vbond, мне просто нужна настройка, которая работает через публичный Интернет.
- Среда и архитектура
-
Здравствуйте, Я уже сталкивался с подобной проблемой. Судя по вашему описанию, основная причина заключается в том, как vBond узнает «публичные» адреса vManage и vSmart через механизм STUN. В развертывании SD-WAN vBond действует как сервер STUN; он сообщает IP-адреса контроллеров пограничным устройствам на основе адресов, которые он видит, когда контроллеры подключаются к нему. Диагностические шаги:
Выполните следующую команду на вашем vSmart или vManage:
show sdwan control connections Для публичных цветов:
Peer Public IP
должна
отображать публичные NAT-адреса контроллеров.
Для частных цветов:
в
Peer Public IP
обычно отображает внутренний частный IP-адрес. Если в столбце
Peer Public IP
для соединений, которые должны быть «публичными», ваша конфигурация NAT не позволяет vBond видеть преобразованные адреса. Основная причина:
поскольку все контроллеры находятся в одной локальной подсети, когда vSmart пытается достичь публичного IP-адреса vBond, брандмауэр UniFi, вероятно, маршрутизирует трафик локально, не выполняя преобразование NAT (NAT источника/назначения). В результате vBond видит соединение, поступающее с частного IP-адреса, и регистрирует его как «публичный» адрес для этого контроллера. Рекомендуемые решения: NAT Hairpinning (NAT Reflection):
Вы должны включить NAT Hairpinning (или NAT Reflection) на вашем UniFi Gateway для всех правил NAT 1:1. Это гарантирует, что даже внутренний трафик, попадающий на публичный IP-адрес, будет полностью преобразован с помощью NAT. vBond должен «видеть» публичный IP-адрес vSmart как источник управляющего соединения.
Разделение зон безопасности (рекомендуемая практика):
Настоятельно рекомендуется разместить vBond в другой зоне безопасности (VLAN/DMZ), чем vSmart и vManage. Это заставляет весь трафик между контроллерами проходить через механизм политик брандмауэра, что делает поведение NAT более предсказуемым.
Прямое назначение публичного IP-адреса:
если возможно, назначение публичных IP-адресов непосредственно интерфейсам контроллера (если они подключены к Интернету) полностью устраняет сложности STUN. Надеюсь, это поможет вам подключить внешние vEdge! -
Здравствуйте, Ваша сетевая инфраструктура должна выполнять следующие NAT 1. Когда vManage связывается с vSmart и vBond, частный IP-адрес vManage должен быть преобразован в его публичный IP-адрес. 2. Когда vSmart общается с vBond, частный IP-адрес vSmart должен быть преобразован в его публичный IP-адрес cEdge / vEdge необходимо настроить с использованием публичного IP-адреса vBond или FQDN для vBond, который должен быть преобразован в публичный IP-адрес vBond. Все остальное соответствует обычному развертыванию, убедитесь, что STUN включен на интерфейсе туннеля cEdge / vEdge. Спасибо, Кристиан.
-
Привет, Кристиан,
спасибо за помощь. Я понимаю, что vManage и vSmart должны предоставлять свои публичные IP-адреса при установлении соединения. Вот моя текущая конфигурация NAT: ![daawarpandit_3-1768953700847.png] Исходящий NAT источника (SNAT):- Трафик, исходящий из vManage (частный), преобразуется в vManage (публичный).
- Трафик, исходящий из vSmart (частный), преобразуется в vSmart (публичный)
.
Это соответствует вашим пунктам № 1 и № 2.
Входящий NAT назначения (DNAT): - Трафик, поступающий на
публичные IP-адреса
из WAN, перенаправляется на соответствующие
частные IP-адреса
(vBond, vSmart, vManage).
Внутренний Loopback/Hairpin NAT: - Я настроил специальные правила, чтобы при попытке
vManage/vSmart (внутренний)
связаться с
vBond (публичный IP)
, маршрутизатор преобразовывал назначение обратно в частный IP, одновременно выполняя NAT источника трафика на публичный IP (так что vBond видит соседний узел как публичный). Проблема:
когда я обновляю конфигурацию, чтобы использовать
публичный IP-
ад
рес
для vBond:
ICMP работает:
я могу успешно пинговать публичный IP-адрес vBond из vManage и vSmart (задержка <1 мс), подтверждая, что путь NAT Loopback действителен.
Управление не работает:
несмотря на успешный пинг, соединения управления не работают с ошибкой DCONFAIL.
Захват пакетов:
TCPDUMP на vBond показывает, что пакеты поступают, но возвращает ошибку
ICMP Port Unreachable
, что указывает на то, что приложение не принимает трафик, несмотря на правильную маршрутизацию.
Как только я возвращаюсь к частному IP-адресу, все работает и отображается зеленым цветом, поэтому проблема не в конфигурации контроллера, а в маршрутизации/NAT
.
Возможно, я что-то упускаю или делаю что-то не так в NAT. Пожалуйста, дайте мне знать
. Спасибо,
Давар.
-
Привет, @daawar-pandit
On vBond
, в настройках системы вы настроили публичный IP-адрес с помощью команды
vbond x.x.x.x local
? Спасибо, Кристиан. -
Привет
[, @Cristian Matei.]
Да, у меня есть. -
Здравствуйте. Пожалуйста, проверьте следующие моменты 1. Контроллеры не должны иметь публичные IP-адреса. Им нужны только частные IP-адреса. 2. Убедитесь, что соединение между контроллерами работает правильно. 3. FW выполняет NAT. (Особенно 1:1 NAT) 4. Публичный IP-адрес vBond пограничных точек (вероятно, публичный IP-адрес NAT). Если проблема остается, пожалуйста, поделитесь подробностями LAB. ![JeongjunPark_0-1768806601538.png] https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/BRKRST-2559.pdf Спасибо!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти