Tweet
🎯 [CASE STUDY] Thiết Kế Site Trung Tâm SD-WAN Có Bảo Mật: Cái Giá Của “An Toàn” Khi Dữ Liệu Phải Qua Tường Lửa
Ở các doanh nghiệp lớn, đặc biệt là khi triển khai SD-WAN theo mô hình Hub & Spoke, việc bảo vệ trung tâm dữ liệu (Data Center) bằng Firewall là chuyện hiển nhiên. Nhưng khi bắt tay vào thiết kế thực tế, “gài” thêm FW giữa các thành phần SD-WAN – đặc biệt giữa cEdge và Controllers – lại mở ra một loạt vấn đề khiến nhiều anh em phải vò đầu.
Cùng mổ xẻ case sau – một thiết kế phổ biến mà nhiều tổ chức đang áp dụng:
🏢 Kiến Trúc:
🔐 Yêu Cầu Bảo Mật:
⚠️ Hai Vấn Đề Kỹ Thuật Cực Kỳ Hay Gặp:
❌ Vấn đề 1: Không Có Route VPN0 đến Controllers
✅ Bài học rút ra:
💬 Bạn đã từng gặp lỗi “mọi thứ đều đúng mà vẫn không hình thành BFD/OMP giữa remote và hub” chưa? Rất có thể đây chính là nguyên nhân.
Anh em gặp vấn đề tương tự trong dự án thực tế, để lại bình luận bên dưới để cùng thảo luận thêm nhé!
Ở các doanh nghiệp lớn, đặc biệt là khi triển khai SD-WAN theo mô hình Hub & Spoke, việc bảo vệ trung tâm dữ liệu (Data Center) bằng Firewall là chuyện hiển nhiên. Nhưng khi bắt tay vào thiết kế thực tế, “gài” thêm FW giữa các thành phần SD-WAN – đặc biệt giữa cEdge và Controllers – lại mở ra một loạt vấn đề khiến nhiều anh em phải vò đầu.
Cùng mổ xẻ case sau – một thiết kế phổ biến mà nhiều tổ chức đang áp dụng:
🏢 Kiến Trúc:
- Các Controllers (vBond, vSmart, vManage) được đặt tại On-Prem DC.
- CEdge trung tâm (DC cEdge) kết nối WAN đa vùng: MPLS1, MPLS2, Metro-E, Internet.
- CEdge này phải đi qua một cụm Firewall DC (DC FW Cluster) trước khi tới các Controllers.
- Cạnh đó là hàng loạt remote cEdges ở các chi nhánh, kết nối về trung tâm theo mô hình Hub & Spoke.
🔐 Yêu Cầu Bảo Mật:
- Toàn bộ traffic từ WAN về Controllers phải qua Firewall.
- DC cEdge phải thiết lập kết nối TLS với Controllers trên mỗi TLOC – đây là yêu cầu bắt buộc để tunnel dataplane SD-WAN có thể hình thành.
⚠️ Hai Vấn Đề Kỹ Thuật Cực Kỳ Hay Gặp:
❌ Vấn đề 1: Không Có Route VPN0 đến Controllers
- Mỗi TLOC của DC cEdge (VPN0) không có tuyến đi đến bộ điều khiển nếu firewall không cho phép.
- Kết quả: DC cEdge không thể thiết lập TLS đến vSmart/vBond/vManage qua các đường này.
- Hệ quả: Remote cEdges sẽ không thể hình thành tunnel dữ liệu SD-WAN được.
- Giải pháp tạm: Cho phép remote cEdge thiết lập TLS tới Controllers thông qua Hub – nhưng đây là workaround, không bền vững.
- Ngay cả khi các tunnel từ xa gửi TLS/DTLS về, gói tin sẽ bị drop ngầm bởi ACL nội tại trên interface TLOC của DC cEdge.
- Lý do? Cisco SD-WAN có một implicit ACL trên tất cả TLOC interface, thường chỉ cho phép traffic "expected" (control plane từ DC) đi vào.
- Nếu không cấu hình rõ ràng (VD: policy-based access), traffic TLS/DTLS từ remote bị lọc sạch, không báo lỗi rõ ràng.
✅ Bài học rút ra:
- Khi thiết kế Hub Site có Firewall, anh em phải tính đến Control Plane Traffic đi vòng qua firewall: từ cEdge đến Controllers.
- ACL trên interface TLOC của cEdge cần được tùy chỉnh cho phép lưu lượng TLS/DTLS từ remote nếu mô hình dùng Hub Relay cho control plane.
- Đừng quên kiểm tra kỹ route trong VPN0, đây là một phần dễ bỏ sót khi firewall filter theo vùng mạng.
💬 Bạn đã từng gặp lỗi “mọi thứ đều đúng mà vẫn không hình thành BFD/OMP giữa remote và hub” chưa? Rất có thể đây chính là nguyên nhân.
Anh em gặp vấn đề tương tự trong dự án thực tế, để lại bình luận bên dưới để cùng thảo luận thêm nhé!