Привет всем
Я работаю над топологией SD-WAN Hub-and-Spoke, но хочу избежать трафика между spoke и spoke, например: сайт DC использует VPN 100, филиал A использует VPN 10, филиал B использует VPN 20. В этих условиях мне нужно маршрутизировать трафик между 100-10、100-20, но сейчас таблица маршрутизации на VPN 100 пропускает трафик от 10 к 20 Из-за маршрута по умолчанию, объявленного с сайта DC, филиал может легко маршрутизировать трафик через VPN 100, поскольку VPN 100 должен иметь все маршруты VPN в структуре
Есть ли какой-нибудь способ предотвратить трафик между 10 и 20 без использования SD-WAN ZBFW? Спасибо за ответ

]]>https://sla247.ru/forum/topic/692/вопрос-о-топологии-звездаRSS for NodeThu, 14 May 2026 18:25:30 GMTThu, 12 Feb 2026 14:33:05 GMT60Благодаря маршруту по умолчанию, объявленному с сайта DC, филиал может легко пройти через VPN 100, поскольку VPN 100 должен иметь все маршруты VPN в структуре.

]]>https://sla247.ru/forum/post/4480https://sla247.ru/forum/post/4480Thu, 12 Feb 2026 14:33:14 GMTЗдравствуйте, сэр Не могли бы вы объяснить, какую именно функцию следует использовать в политике контроля?

]]>https://sla247.ru/forum/post/4479https://sla247.ru/forum/post/4479Thu, 12 Feb 2026 14:33:13 GMT@Joel0748363 Вам не нужен ZBFW, вы можете достичь этого с помощью политики контроля. https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/ios-xe-17/policies-book-xe/policy-overview.html

]]>https://sla247.ru/forum/post/4478https://sla247.ru/forum/post/4478Thu, 12 Feb 2026 14:33:12 GMT![SDWAN.jpg] Да, я использую централизованную политику, чтобы гарантировать отсутствие TLOC и обмена маршрутами между spoke-spoke, но из-за маршрута по умолчанию, который узнается от сайта DC, spoke-spoke все еще могут обмениваться данными через DC.

]]>https://sla247.ru/forum/post/4477https://sla247.ru/forum/post/4477Thu, 12 Feb 2026 14:33:11 GMTВы можете решить эту проблему с помощью централизованной политики, которая предотвращает объявление маршрутов TLOC и OMP, созданных в спице, другим спицам, в сочетании с централизованной политикой данных, которая ограничивает трафик между спицами через концентратор. Рады помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev

]]>https://sla247.ru/forum/post/4476https://sla247.ru/forum/post/4476Thu, 12 Feb 2026 14:33:10 GMTДа, хотя я использую топологию «звезда», но мне нужно избежать любого трафика от узла к узлу через концентратор.

]]>https://sla247.ru/forum/post/4475https://sla247.ru/forum/post/4475Thu, 12 Feb 2026 14:33:09 GMTЯ правильно понимаю, что вы хотите, чтобы трафик проходил только через Hub? Или что-то еще? MHM

]]>https://sla247.ru/forum/post/4474https://sla247.ru/forum/post/4474Thu, 12 Feb 2026 14:33:08 GMTЗдравствуйте, Я не знаю, сколько у вас сайтов. Но одним из вариантов может быть создание списка удаленных филиалов и выбор действия «удалить» в централизованной политике данных. Без вручную написанного списка доступа отфильтровать это невозможно. Надеюсь, это поможет.
Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо полезную информацию.

]]>https://sla247.ru/forum/post/4473https://sla247.ru/forum/post/4473Thu, 12 Feb 2026 14:33:07 GMTпоскольку вы получаете маршрут по умолчанию к концентратору, мы не можем предотвратить трафик между спицами без ACL,
вам необходимо использовать локальную политику данных в обеих спицах https://www.networkacademy.io/ccie-enterprise/sdwan/explicit-access-control-list-acl MHM

]]>https://sla247.ru/forum/post/4472https://sla247.ru/forum/post/4472Thu, 12 Feb 2026 14:33:06 GMT