Здравствуйте, У меня есть сомнения относительно того, как маршрутизатор WAN Edge, к которому напрямую подключена сетевая служба, пересылает пакеты, имеющие метку службы, указывающую на такую службу. Рассмотрим следующий сценарий, взятый из отличного поста о маршрутах служб в CLN (
Cisco SD-WAN Service Chaining)
![:disappointed_face:] ![JUANNN_0-1757124862631.png] Когда маршрутизатор CHI начинает отправлять пакеты на маршрутизатор BOS, после того как сетевая служба (FW) была введена и таблица маршрутизации OMP на контроллере SD-WAN диктует, что следующим прыжком TLOC для префиксов VPN 100 является маршрутизатор NNJ TLOC (а маршрутизаторы WAN Edge отражают обновления на своей плоскости данных), метка MPLS (метка службы) вставляется как обычно (но в этом случае она помогает NNJ определить, что для этих пакетов не следует выполнять поиск IP, поскольку они должны быть перенаправлены на брандмауэр, и по возвращении с брандмауэра будет выполнен поиск IP, поскольку метка службы указывает на сетевую службу, а не на службу VPN). Я предполагаю, что маршрутизатор NNJ пересылает трафик, используя MAC-адрес FW, как только пакеты от CHI поступают с установленной меткой службы FW, но
будет ли возможно разместить сетевую службу в подсети, не подключенной напрямую к маршрутизатору NNJ
? Я не вижу причин, по которым это было бы невозможно, но в
OMP Overview | NetworkAcademy.io
говорится, что между сетевой службой и маршрутизатором WAN Edge не должно быть устройств L3. Спасибо, пожалуйста, поправьте меня, если я что-то не так понял. Хуан

]]>https://sla247.ru/forum/topic/633/метка-маршрута-службы-cisco-sd-wanRSS for NodeFri, 15 May 2026 14:48:05 GMTThu, 12 Feb 2026 14:31:42 GMT60Спасибо, вы правы. Пакеты переключаются с маршрутизатора Wan Edge на FW, когда у них есть метка, указывающая на службу, и из-за этого не нужно выполнять поиск IP-адреса на пути к FW, поскольку IP-заголовок указывает на исходный пункт назначения, а не на FW. Как только пакет достигает FW, именно FW выполняет поиск IP-адреса и отправляет пакет к исходному месту назначения через шлюз по умолчанию FW, которым снова будет маршрутизатор Wan Edge, но на этот раз без метки службы, поэтому поиск IP-адреса выполняется на маршрутизаторе Wan Edge, и все работает нормально.

]]>https://sla247.ru/forum/post/4137https://sla247.ru/forum/post/4137Thu, 12 Feb 2026 14:31:45 GMTЯ не могу говорить о конкретных технических ограничениях, которые создают требование к соседству L2, но при необходимости вы можете использовать туннель GRE для достижения соседства L2 между границей WAN и устройством службы брандмауэра, если оно находится в другой подсети. Рад помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev

]]>https://sla247.ru/forum/post/4136https://sla247.ru/forum/post/4136Thu, 12 Feb 2026 14:31:44 GMTЗдравствуйте, брандмауэр должен находиться на уровне L2 (непосредственно или через туннель), поскольку брандмауэр и промежуточное устройство L3 не понимают, что маршрутизатор выполняет «вставку брандмауэра». Как маршрутизатор может перенаправлять трафик на брандмауэр, если между маршрутизатором и брандмауэром находится другое устройство L3? Можно использовать только туннелирование. Туннелирование должно поддерживаться в Cisco SD-WAN. HTH,
Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо из предоставленной информации полезной.

]]>https://sla247.ru/forum/post/4135https://sla247.ru/forum/post/4135Thu, 12 Feb 2026 14:31:43 GMT