Tweet
🔥 Bí kíp cấu hình SD-WAN NAT đa phương pháp (Multiple NAT Methods) từ phiên bản 17.14 trở lên – cứu tinh cho các site phức tạp!
Trong các hệ thống mạng doanh nghiệp sử dụng SD-WAN, có rất nhiều tình huống yêu cầu xử lý đa phương pháp NAT tùy theo người dùng, dịch vụ, hoặc phân vùng mạng (VPN). Và đây chính là một trong những bài toán kinh điển gây đau đầu trước phiên bản IOS XE SD-WAN 17.14. Hãy cùng phân tích một use-case điển hình dưới đây – rất thực tế, rất “đời”, và cực kỳ thường gặp khi bạn vận hành mạng SD-WAN ở cấp doanh nghiệp.
💥 Tình huống: Một site – Nhiều yêu cầu NAT
Yêu cầu bài toán (trong hình đầu tiên):
🚨 Vấn đề: Trước phiên bản 17.14, trong chính sách dữ liệu (data policy), bạn chỉ có thể chọn một loại NAT duy nhất cho toàn bộ traffic – hoặc NAT theo pool, hoặc theo interface. Không thể chọn linh hoạt theo từng flow.
🛠️ Giải pháp mới trong bản IOS XE SD-WAN 17.14
Từ phiên bản 17.14 trở đi, bạn đã có thể cấu hình nhiều phương pháp NAT trong cùng một data policy. Mỗi sequence trong vpn-list có thể:
🔧 Cấu hình mẫu cho từng yêu cầu
🔹 VPN1 – Doanh nghiệp chính
vpn-list VPN1 sequence 1 match source-ip 192.168.10.11 action accept nat use-vpn 0 nat source-dia-pool 10 ! sequence 2 match source-ip 192.168.10.12 action accept nat use-vpn 0 set local-tloc-list color custom1
🔹 VPN2 – Guest mạng
vpn-list VPN2 sequence 1 match source-ip 172.16.20.11 action accept nat use-vpn 0 set local-tloc-list color custom2
🔹 VPN3 – Web Server (IP Public)
vpn-list VPN3 sequence 1 match source-ip 64.100.100.10 action accept nat use-vpn 0 nat bypass
✅ Kết luận cho anh em NetOps
Phiên bản 17.14 là cột mốc lớn cho SD-WAN của Cisco. Việc cho phép sử dụng nhiều kiểu NAT song song giúp:
🧠 Hãy luôn nhớ: Data policy trong SD-WAN không chỉ dùng để accept/drop traffic, mà còn là công cụ cực mạnh để điều phối DIA, NAT, route leak, và nhiều thứ khác nữa.
Bạn đã gặp bài toán NAT tương tự chưa? Bạn đang dùng phiên bản nào? Comment chia sẻ trải nghiệm dưới post nhé! 👇
Trong các hệ thống mạng doanh nghiệp sử dụng SD-WAN, có rất nhiều tình huống yêu cầu xử lý đa phương pháp NAT tùy theo người dùng, dịch vụ, hoặc phân vùng mạng (VPN). Và đây chính là một trong những bài toán kinh điển gây đau đầu trước phiên bản IOS XE SD-WAN 17.14. Hãy cùng phân tích một use-case điển hình dưới đây – rất thực tế, rất “đời”, và cực kỳ thường gặp khi bạn vận hành mạng SD-WAN ở cấp doanh nghiệp.
💥 Tình huống: Một site – Nhiều yêu cầu NAT
Yêu cầu bài toán (trong hình đầu tiên):
- User-1 (VPN1): NAT ra ngoài bằng pool (Pool10), cân bằng tải qua ISP1 và ISP2.
- User-2 (VPN1): Truy cập Webex phải NAT ra IP của giao diện Gig1, đi qua ISP1.
- User-3 (VPN2 - Guest): NAT ra địa chỉ IP của Gig2 (ISP2).
- Web server (VPN3): Không được NAT khi đi ra Internet (đã có IP public).
- Toàn bộ traffic DIA phải đi qua NGFW để được kiểm tra.
🚨 Vấn đề: Trước phiên bản 17.14, trong chính sách dữ liệu (data policy), bạn chỉ có thể chọn một loại NAT duy nhất cho toàn bộ traffic – hoặc NAT theo pool, hoặc theo interface. Không thể chọn linh hoạt theo từng flow.
🛠️ Giải pháp mới trong bản IOS XE SD-WAN 17.14
Từ phiên bản 17.14 trở đi, bạn đã có thể cấu hình nhiều phương pháp NAT trong cùng một data policy. Mỗi sequence trong vpn-list có thể:
- Dùng NAT pool (DIA NAT bằng pool).
- Dùng NAT interface (DIA NAT bằng địa chỉ interface).
- Bypass NAT (bỏ qua NAT).
- Và đặc biệt: chỉ định VPN egress và TLOC color chính xác.
🔧 Cấu hình mẫu cho từng yêu cầu
🔹 VPN1 – Doanh nghiệp chính
vpn-list VPN1 sequence 1 match source-ip 192.168.10.11 action accept nat use-vpn 0 nat source-dia-pool 10 ! sequence 2 match source-ip 192.168.10.12 action accept nat use-vpn 0 set local-tloc-list color custom1
- User-1 NAT qua Pool10 (ISP1 + ISP2).
- User-2 đi Webex: NAT ra IP của Gig1, pin về ISP1 (color custom1).
🔹 VPN2 – Guest mạng
vpn-list VPN2 sequence 1 match source-ip 172.16.20.11 action accept nat use-vpn 0 set local-tloc-list color custom2
- User-3 (VPN2): NAT ra địa chỉ interface Gig2, gán TLOC color tương ứng với ISP2 (custom2).
🔹 VPN3 – Web Server (IP Public)
vpn-list VPN3 sequence 1 match source-ip 64.100.100.10 action accept nat use-vpn 0 nat bypass
- Web-server: Đã có IP public nên không NAT ra ngoài. Phải có nat bypass để cho phép traffic đi trực tiếp ra Internet.
✅ Kết luận cho anh em NetOps
Phiên bản 17.14 là cột mốc lớn cho SD-WAN của Cisco. Việc cho phép sử dụng nhiều kiểu NAT song song giúp:
- Tối ưu bảo mật (e.g., traffic Webex đi ISP1, traffic guest đi ISP2).
- Tối ưu chi phí (load-sharing ISP).
- Đáp ứng yêu cầu vận hành đa dạng từ doanh nghiệp lớn.
🧠 Hãy luôn nhớ: Data policy trong SD-WAN không chỉ dùng để accept/drop traffic, mà còn là công cụ cực mạnh để điều phối DIA, NAT, route leak, và nhiều thứ khác nữa.
Bạn đã gặp bài toán NAT tương tự chưa? Bạn đang dùng phiên bản nào? Comment chia sẻ trải nghiệm dưới post nhé! 👇