SD-WAN Развертывание на месте

Reply to SD-WAN Развертывание на месте on Thu, 12 Feb 2026 14:32:33 GMT

EminaBrkanic — Thu, 12 Feb 2026 14:32:33 GMT

Вы добавили allow-service all на интерфейс vbond?

Reply to SD-WAN Развертывание на месте on Thu, 12 Feb 2026 14:32:32 GMT

maguatte.dieng — Thu, 12 Feb 2026 14:32:32 GMT

Привет, Дэн Спасибо за ответ. Думаю, у нас одинаковые конструкции, но я не понимаю, почему я не получаю никаких подключений на vBond, в то время как на vManage и vSmart подключения поступают. Ниже приведен Nat, который я применил на моем ISR ![maguattedieng_2-1743518486905.png] vManage пытается установить следующее UDP-соединение с vbond. 11:53:47.383251 IP 172.16.11.12.12546 > 102.164.141.211.12346: UDP, длина 165 11:53:47.428141 IP 172.16.11.12.12746 > 102.164.141.211.12346: UDP, длина 165 11:53:47.479778 IP 172.16.11.12.13046 > 102.164.141.211.12346: UDP, длина 165 11:53:47.680494 IP 172.16.11.12.12446 > 102.164.141.211.12346: UDP, длина 165 Когда мы выполняем дамп TCP на vbond, мы видим, что IP-адрес источника и IP-адрес назначения пакета настроены правильно. Однако, похоже, номер порта назначения изменен с 12346 на 12348, не знаю, почему это происходит. 11:52:25.640336 IP 102.164.141.212.12346 > 172.16.11.11.12348: UDP, длина 165 11:52:25.711363 IP 102.164.141.212.12546 > 172.16.11.11.12348: UDP, длина 165 11:52:25.813766 IP 102.164.141.212.12646 > 172.16.11.11.12348: UDP, длина 165 11:52:25.813885 IP 102.164.141.212.12846 > 172.16.11.11.12348: UDP, длина 165 11:52:25.845670 IP 102.164.141.212.12746 > 172.16.11.11.12348: UDP, длина 165 11:52:25.916124 IP 102.164.141.212.13046 > 172.16.11.11.12348: UDP, длина 165 11:52:26.008868 IP 102.164.141.212.12446 > 172.16.11.11.12348: UDP, длина 165 Как вы думаете, какие вероятные причины препятствуют соединению между vBond и vManage?

Reply to SD-WAN Развертывание на месте on Thu, 12 Feb 2026 14:32:31 GMT

Dan Frey — Thu, 12 Feb 2026 14:32:31 GMT

У меня есть CAT8kv перед контроллерами SDWAN, выполняющими NAT, чтобы vmanage/vsmart отправляли vbond публичный IP-адрес, а vbond также узнавал
частный и публичный IP-адреса vsmart и vmanage. Для этого требуется NAT источника и назначения с использованием интерфейсов VASI, чтобы пакеты могли проходить через NAT внутри/снаружи доменов. Это лабораторная работа, поэтому 10.64.x.x — это частные IP-адреса, 10.100.x.x — «публичные» IP-адреса для DC1, а 10.200.x.x — «публичные» IP-адреса для DC2. vrf definition VASI-OUTSIDE ! address-family ipv4 exit-address-family interface GigabitEthernet3 description contrl-complex mtu 9216 ip address 10.64.32.254 255.255.255.0 ip nat inside speed 10000 no negotiation auto ipv6 address 2001:10:64:32::254/64 interface vasileft1 ip address 10.99.1.1 255.255.255.252 ip nat outside no keepalive
!
interface vasiright1 vrf forwarding VASI-OUTSIDE ip address 10.99.1.2 255.255.255.252 no keepalive ip route 10.100.1.0 255.255.255.0 vasileft1 10.99.1.2
ip route 10.200.1.0 255.255.255.0 vasileft1 10.99.1.2
ip route vrf VASI-OUTSIDE 0.0.0.0 0.0.0.0 vasiright1
ip nat inside source static 10.64.32.1 10.100.1.1 no-alias
ip nat inside source static 10.64.32.2 10.100.1.2 no-alias
ip nat inside source static 10.64.32.3 10.100.1.3 no-alias
ip nat inside source static 10.64.32.4 10.100.1.4 no-alias
ip nat inside source static 10.64.32.10 10.100.1.10 no-alias
ip nat inside source static 10.64.32.11 10.100.1.11 no-alias
ip nat inside source static 10.64.32.14 10.100.1.14 no-alias
ip nat inside source static 10.64.64.1 10.200.1.1 no-alias
ip nat inside source static 10.64.64.2 10.200.1.2 no-alias
ip nat inside source static 10.64.64.7 10.200.1.7 no-alias Соединения vbond: vbond_251_1_1# show orchestrator connections PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC ORGANIZATION INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE NAME UPTIME -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vedge dtls 11.1.1.78 78 1 192.168.0.247 12346 192.168.0.247 12346 biz-internet up Cisco SA Demo - 17404 7:22:11:41 0 vedge dtls 11.1.1.79 79 1 192.168.0.246 12406 192.168.0.246 12406 biz-internet up Cisco SA Demo - 17404 7:22:12:28 0 vsmart dtls 11.2.251.4 251 1 10.64.32.4 12346 10.100.1.4 12346 default up Cisco SA Demo - 17404 7:22:11:03 0 vsmart dtls 11.2.251.4 251 1 10.64.32.4 12446 10.100.1.4 12446 default up Cisco SA Demo - 17404 7:22:11:01 0 vsmart dtls 11.2.251.5 251 1 10.64.64.7 12346 10.200.1.7 12346 default up Cisco SA Demo - 17404 7:22:10:46 0 vsmart dtls 11.2.251.5 251 1 10.64.64.7 12446 10.200.1.7 12446 default up Cisco SA Demo - 17404 7:22:10:45 0 vsmart dtls 11.2.251.4 251 1 2001:10:64:32::2 12346 2001:10:64:32::2 12346 default up Cisco SA Demo - 17404 7:22:11:04 0 vsmart dtls 11.2.251.4 251 1 2001:10:64:32::2 12446 2001:10:64:32::2 12446 default up Cisco SA Demo - 17404 7:22:11:02 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12346 10.100.1.3 12346 default up Cisco SA Demo - 17404 7:22:09:26 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12446 10.100.1.3 12446 default up Cisco SA Demo - 17404 7:22:09:28 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12546 10.100.1.3 12546 default up Cisco SA Demo - 17404 7:22:09:29 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12646 10.100.1.3 12646 default up Cisco SA Demo - 17404 7:22:09:29 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12746 10.100.1.3 12746 default up Cisco SA Demo - 17404 7:22:09:16 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12846 10.100.1.3 12846 default up Cisco SA Demo - 17404 7:22:09:20 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 12946 10.100.1.3 12946 default up Cisco SA Demo - 17404 7:22:09:28 0 vmanage dtls 11.2.251.3 251 0 10.64.32.3 13046 10.100.1.3 13046 default up Cisco SA Demo - 17404 7:22:09:29

Reply to SD-WAN Развертывание на месте on Thu, 12 Feb 2026 14:32:30 GMT

EminaBrkanic — Thu, 12 Feb 2026 14:32:30 GMT

У меня была проблема с vsmart и портами. Nat был на брандмауэре. В вашей ситуации, похоже, каждый порт преобразуется в
12348. Отправьте вывод команды show ip nat transl. Кроме того, если вы хотите, чтобы vmange использовал публичный IP-адрес vbond, вам необходимо использовать публичный цвет на интерфейсе. Отправьте свою конфигурацию.

Reply to SD-WAN Развертывание на месте on Thu, 12 Feb 2026 14:32:29 GMT

maguatte.dieng — Thu, 12 Feb 2026 14:32:29 GMT

Ниже Nat реализовано ![maguattedieng_0-1742580507838.png]

Reply to SD-WAN Развертывание на месте on Thu, 12 Feb 2026 14:32:28 GMT

Kanan Huseynli — Thu, 12 Feb 2026 14:32:28 GMT

Здравствуйте, почему маршрутизатор ISP меняет порт назначения? Это должен быть вопрос. Нелогично, что порт назначения автоматически изменяется (поскольку он привязан к определенному порту приложения на удаленном компьютере) маршрутизатором ISP. Похоже, в вашей конфигурации есть неверные строки, проверьте еще раз. Надеюсь, это поможет.
Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо полезную информацию.

Reply to SD-WAN Развертывание на месте on Thu, 12 Feb 2026 14:32:27 GMT

maguatte.dieng — Thu, 12 Feb 2026 14:32:27 GMT

DMZ — это маршрутизатор ISR, а не брандмауэр. Какой тип NAT следует применять в этом маршрутизаторе ISR (маршрутизаторе WAN)? (1) (2)
vSmart и vManage указывают на публичный IP-адрес vBond -NATed публичный IP-адрес (3)
vBond узнает частный IP-адрес интерфейса и NAT-адрес vSmart и vManage -Частный адрес — до NAT, публичный — после NAT (4)
vSmart и vManage используют NAT-адреса общедоступных IP-адресов для связи. ![maguattedieng_0-1742571086238.png]