Tweet
🔥 Tình huống đặt ra – Một site có 3 VPN (VPN1, VPN2, VPN3) với các yêu cầu NAT khác nhau:
🚫 Vấn đề phát sinh trước version 17.14:
Trên các phiên bản trước 17.14, Cisco SD-WAN (vManage/vSmart) chỉ hỗ trợ duy nhất một kiểu NAT trong chính sách dữ liệu (data-policy). Điều này dẫn đến giới hạn lớn:
📌 Minh hoạ trên hình:
🧠 Kết luận kỹ thuật:
Giải pháp là:
📢 Gợi ý cho cộng đồng:
Anh em SD-WAN triển khai các giải pháp NGFW, DIA và NAT đa dạng nên chú ý version của vEdge/vSmart. Việc nâng lên 17.14 không chỉ fix các bug cũ mà còn giúp tùy biến linh hoạt chính sách NAT, đặc biệt là trong các môi trường multi-tenancy hoặc hybrid cloud.
- User-1 (VPN1) cần NAT ra ngoài qua Pool10, load-share cả hai ISP1 và ISP2.
- User-2 (VPN1) khi dùng Webex thì cần NAT với IP của Gig1 – nghĩa là phải pin vào ISP1.
- User-3 (VPN2) truy cập Internet phải NAT qua IP của Gig2 – dùng đường ISP2.
- Web Server (VPN3) thì ngược lại – không được NAT khi đi ra ngoài, ví dụ khi public Web.
- Tất cả traffic DIA (Direct Internet Access) phải được kiểm tra bởi NGFW.
🚫 Vấn đề phát sinh trước version 17.14:
Trên các phiên bản trước 17.14, Cisco SD-WAN (vManage/vSmart) chỉ hỗ trợ duy nhất một kiểu NAT trong chính sách dữ liệu (data-policy). Điều này dẫn đến giới hạn lớn:
- Không thể kết hợp nhiều phương pháp NAT trong một chính sách.
- Không hỗ trợ phân biệt khi nào dùng pool, khi nào dùng interface IP.
- Không có fallback nếu một điều kiện NAT không áp dụng được.
- Không thể dùng match cụ thể theo app (Webex) hay VPN khác nhau một cách hiệu quả.
📌 Minh hoạ trên hình:
- Gig1 → ISP1
- Gig2 → ISP2
- Pool10 NAT được chia sẻ giữa cả ISP1 và ISP2
- User-1/2 trên VPN1, nhưng hành vi NAT khác nhau
- User-3 trên VPN2, cần NAT qua Gig2
- Web server trên VPN3, không NAT
🧠 Kết luận kỹ thuật:
Khi hệ thống SD-WAN chưa hỗ trợ nhiều phương thức NAT linh hoạt trong một chính sách (pre-17.14), thì việc đáp ứng các yêu cầu như load-sharing, application pinning, hoặc NAT theo VPN là bất khả thi hoặc rất phức tạp nếu không dùng các thủ thuật không chính thức.
Giải pháp là:
- Nâng cấp lên vEdge 17.14+, vì sau version này Cisco SD-WAN bắt đầu hỗ trợ nhiều phương thức NAT trong một data policy, cho phép:
- Match theo VPN, App, prefix list, interface
- Chọn NAT theo pool hoặc interface
- Hỗ trợ fallback method
📢 Gợi ý cho cộng đồng:
Anh em SD-WAN triển khai các giải pháp NGFW, DIA và NAT đa dạng nên chú ý version của vEdge/vSmart. Việc nâng lên 17.14 không chỉ fix các bug cũ mà còn giúp tùy biến linh hoạt chính sách NAT, đặc biệt là trong các môi trường multi-tenancy hoặc hybrid cloud.