Здравствуйте, Обращаюсь к вам, чтобы узнать, есть ли у кого-нибудь более подробная информация об этих функциях, поскольку документация Cisco по обеим из них довольно скудна. BGP для транспортной стороны подложки В руководствах, которые я прочитал, говорится, что если вы используете BGP для получения маршрута по умолчанию, вам следует использовать адрес обратной связи для интерфейса туннеля и привязать его к физическому интерфейсу. Все примеры показывают, что это делается для MPLS, а не для интернет-соединений, где вы узнаете маршрут по умолчанию и рекламируете свое пространство адресов PA. Туннельный интерфейс поддерживает
службу BGP
, но я предполагаю, что, поскольку маршрут по умолчанию узнается через туннельный интерфейс, он будет отправлять трафик через туннель, а не напрямую в Интернет. Я настроил это следующим образом, и все работает нормально: Физический интерфейс не является туннельным интерфейсом и имеет BGP-пиринг с ISP, через который он получает маршрут по умолчанию и рекламирует наши префиксы.
Интерфейс loopback является туннельным интерфейсом с адресом из адресного пространства PA и привязан к физическому интерфейсу. Поэтому я просто хотел узнать мнение других и убедиться, что я правильно понимаю документацию и что это правильный способ настройки такого типа? https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/routing/ios-xe-17/routing-book-xe/m-unicast-routing.html NAT DIA с использованием обратных связей Если DIA NAT настроен на физическом интерфейсе, он по умолчанию будет использовать NAT для интерфейса туннеля loopback вместе со всем остальным, что мы используем для DIA. Я могу обойти это, добавив статический NAT один к одному для этого 1 адреса, так как мне не нравится идея, что пользовательский трафик находится на том же IP, что и наш контрольный трафик. Опять же, просматривая документацию Cisco, я не нахожу ясного ответа, они предлагают использовать обратный адрес для NAT. Руководство не имеет смысла, оно предлагает создать пул на физическом интерфейсе, а затем на обратном интерфейсе установить «NAT Inside Source Loopback Interface» как сам интерфейс. https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/nat/nat-book-xe-sdwan/configure-nat.html Я попробовал следующее на совершенно новом интерфейсе обратной связи, а также на обратной связи, используемой в качестве интерфейса туннеля, но ни один из способов не сработал. ip nat pool natpool-Loopback99-0 x.x.x.x x.x.x.x prefix-length 30
ip nat inside source list global-list pool natpool-Loopback99-0 overload
ip nat route vrf 100 0.0.0.0 0.0.0.0 global interface Loopback99 ip address x.x.x.x 255.255.255.255 ip nat outside При этом не выполняется никаких преобразований NAT, тогда как если это делается на внешнем физическом интерфейсе, NAT работает нормально. DC0-ASR-LAB01#show ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces: Loopback99
Inside interfaces: Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 15] access-list global-list pool natpool-Loopback99-0 refcount 0 pool natpool-Loopback99-0: id 9, netmask 255.255.255.252 start x.x.x.x end x.x.x.x type generic, total addresses 4, allocated 0 (0%), misses 0 Так что, как и в случае с проблемой BGP, у меня есть конфигурация, которая работает, но я не уверен, что это лучшая практика для такого типа настройки. Кто-нибудь смог заставить NAT работать с использованием loopback? Если да, то поделитесь, пожалуйста, как вам это удалось. Спасибо

]]>https://sla247.ru/forum/topic/622/sd-wan-bgp-транспорт-и-dia-nat-с-использованием-обратного-адресаRSS for NodeFri, 15 May 2026 16:49:23 GMTThu, 12 Feb 2026 14:31:30 GMT60Можете ли вы пояснить? -
Поэтому, если вы не хотите использовать NAT для вашего контрольного трафика, добавьте статическое NAT-утверждение на этом интерфейсе с физическим IP-адресом в качестве источника и преобразованным адресом, который будет действовать как утверждение No NAT. У нас есть DMZ VPN с общедоступным веб-сервером, и мы используем DIA для пользовательского VPN, но с этим «ip nat outside» на интерфейсе ISP он также преобразует все из DMZ VPN. Нам не нужен NAT для любого трафика из DMZ VPN в ISP. Есть ли идеи, возможно ли это с Cisco SDWAN?

]]>https://sla247.ru/forum/post/4075https://sla247.ru/forum/post/4075Thu, 12 Feb 2026 14:31:37 GMTСпасибо за информацию, я задавался вопросом, почему в ней был разрешен сервис для BGP и OSPF, если это не было необходимо. Я пробовал это в лаборатории много месяцев назад и, кажется, помню проблему с добавлением маршрута, но без статуса (он должен был быть F,S для fib, выбран). Попробую еще раз и посмотрю, имеет смысл не использовать loopback, если это не требуется. Что касается NAT, я не смог заставить работать конфигурацию, которую я вставил, поэтому использовал NAT с обратным адресом. Я просто попробовал, так как в руководстве по настройке было рекомендовано использовать его, но это не кажется лучшим вариантом, так как публичные IP-адреса принадлежат одному провайдеру, поэтому должны быть привязаны к нему.

]]>https://sla247.ru/forum/post/4074https://sla247.ru/forum/post/4074Thu, 12 Feb 2026 14:31:36 GMTСпасибо за ответ. Согласен, что использование loopback не имеет смысла, просто пытаюсь понять, что предлагают руководства Cisco и почему.

]]>https://sla247.ru/forum/post/4073https://sla247.ru/forum/post/4073Thu, 12 Feb 2026 14:31:35 GMTПривет Подложка для SDWAN должна быть как можно проще, учитывая, что обычно она будет подключать удаленный сайт через какое-либо соединение ISP с использованием Интернета или MPLS. Таким образом, для подложки в большинстве случаев достаточно статического маршрута, поскольку маршрутизатор в большинстве случаев имеет только один ISP. А для резервирования через второй маршрутизатор можно использовать TLOC. Я рассматриваю здесь наиболее распространенный сценарий, когда cEdge подключен к ISP, а туннель Overlay идет к контроллерам SDWAN. Выход в локальный Интернет. Но это также работает для MPLS. Для NAT при использовании DIA я не думаю, что использование Loopback имеет смысл, поскольку Loopback обычно используется не для подключения к Интернету, а для подключения к туннелю Overlay.

]]>https://sla247.ru/forum/post/4072https://sla247.ru/forum/post/4072Thu, 12 Feb 2026 14:31:34 GMTНасколько я знаю, для hairpin NAT необходимо Настроить ip nat enable под loopback Ip nat enable равно как ip nat indide, так и ip nat outside.

]]>https://sla247.ru/forum/post/4071https://sla247.ru/forum/post/4071Thu, 12 Feb 2026 14:31:33 GMTЯ попробовал перенастроить транспортную сторону так, чтобы интерфейс туннеля находился на фактическом физическом интерфейсе (а не на обратной связи) с помощью «
allow service BGP»,
и все работает как ожидалось. Поскольку это работает, оно устраняет необходимость просматривать NAT на обратных связях, так что проблема решена.
![] Большое спасибо, что указали мне правильное направление, Kanan. Жаль только, что документация Cisco по маршрутизации на транспортной стороне и NAT настолько нестабильна, что ее стоило бы переписать, теперь, когда они, похоже, уладили вопрос с включением Viptela и ASR в это новое решение SD-WAN. Итак, подводя итог для всех, кто делает то же самое и запутался в документации Cisco: Вы можете запустить BGP на транспортной стороне практически так же, как и обычно, просто убедитесь, что вы
разрешили службу BGP
на интерфейсе туннеля.
Использование loopback в качестве транспортного интерфейса, на мой взгляд, больше подходит для ситуаций, когда вы традиционно хотите, чтобы BGP пиринговал между loopbacks, а не физическим интерфейсом.
DIA NAT работает практически так же, как традиционный ASR NAT (посмотрите конфигурацию при развертывании), то есть по умолчанию будет выполнять NAT вашего контрольного трафика, поскольку
nat outside
применяется к физическому транспортному интерфейсу. Поэтому, если вы не хотите выполнять NAT вашего контрольного трафика, добавьте на этом интерфейсе статическое заявление NAT с физическим IP в качестве источника и преобразованным адресом, который будет действовать как заявление No NAT
Я до сих пор не понимаю, что означает документация или что она пытается достичь в NAT на loopbacks. Спасибо

]]>https://sla247.ru/forum/post/4070https://sla247.ru/forum/post/4070Thu, 12 Feb 2026 14:31:32 GMTЗдравствуйте, Ваше предположение неверно. BGP под интерфейсом туннеля предназначен для маршрутизации подслоя, а не надслоя. Обычно интерфейс, настроенный для туннеля, жестко запрограммирован как «туннель SDWAN» и не действует как традиционный интерфейс L3 (например, не может происходить транзитная маршрутизация). Чтобы разрешить некоторые протоколы для различных целей, связанных с подслоем (например, BGP для пиринга с ISP), вы должны включить этот протокол с помощью команды «allow». Ваша настройка в порядке, но у вас также может быть физический интерфейс с конфигурацией туннеля и BGP для подстилающего уровня. BGP как протокол маршрутизации поддерживается как
в подстилающем слое для пиринга
с маршрутизаторами CE
или поставщиками услуг
, так и в накладывающемся слое на стороне услуг для пиринга с маршрутизаторами на локальном сайте. Вышеуказанное заявление взято из cisco SD-WAN CVD. Что касается NAT, не могли бы вы уточнить, какая конфигурация работала, а какая нет? С уважением HTH,
Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо из предоставленной информации полезной.

]]>https://sla247.ru/forum/post/4069https://sla247.ru/forum/post/4069Thu, 12 Feb 2026 14:31:31 GMT