Tweet
🔴 Anh em SD-WAN, chú ý lỗi kinh điển này!
Bạn có từng gặp trường hợp:
✅ Web server có IP công cộng
✅ Route 0.0.0.0/0 đi ra Internet là đúng
❌ Nhưng client ngoài Internet vẫn không thể truy cập Web server?
👉 Nguyên nhân không phải do NAT. Không phải do Firewall. Mà là:
Không có tuyến đường đến Web Server trong Global Routing Table (VPN0)!
💥 Tình huống thực tế:
➡️ Gói đến bị rớt ngay tại cửa, dù chiều về có thể đúng nếu NAT policy chuẩn.
✅ Giải pháp: Route Leak giữa Transport VPN (VPN0) và Service VPN (VPN3)
Cấu hình giải pháp:
vrf definition 3
description Web Server VRF
rd 1:10
address-family ipv4
route-replicate from vrf global unicast static
route-target export 100:10
route-target import 100:10 !
exit-address-family
!
global-address-family ipv4
route-replicate from vrf 3 unicast connected
📌 Giải thích:
⚙️ NAT Policy không giúp nếu thiếu route!
vpn-list VPN3
sequence 1
match source-ip 64.100.100.10
!
action accept nat use-vpn 0
nat bypass
✅ Cấu hình này chỉ cho phép gói từ Web Server được đi ra Internet qua VPN0, không xử lý được chiều đến nếu VPN0 không thấy route đến đích.
📌 Kết luận cho anh em:
Trong thiết kế SD-WAN, đặc biệt khi chia nhiều VRF / VPN, đừng quên:
🔧 TIP thực chiến
Nếu bạn dùng Cisco SD-WAN / vEdge / C8K / 8200 → hãy kiểm tra:
show ip route <web_server_ip> vpn 0
Nếu không thấy route đến IP web server, hãy kiểm tra lại config route-replicate hoặc export/import RT.
💬 Bạn từng gặp lỗi tương tự chưa?
Comment chia sẻ thêm tình huống của bạn để anh em học hỏi cùng nhau nhé!
Bạn có từng gặp trường hợp:
✅ Web server có IP công cộng
✅ Route 0.0.0.0/0 đi ra Internet là đúng
❌ Nhưng client ngoài Internet vẫn không thể truy cập Web server?
👉 Nguyên nhân không phải do NAT. Không phải do Firewall. Mà là:
Không có tuyến đường đến Web Server trong Global Routing Table (VPN0)!
💥 Tình huống thực tế:
- Web Server đặt trong VPN 3 (VRF riêng).
- Interface Internet (Gi1) nằm trong VPN 0 (Global).
- Client ngoài Internet gửi gói đến 64.100.100.10.
- Nhưng lệnh show ip route 64.100.100.10 trong VPN 0 không thấy gì → DROP!
➡️ Gói đến bị rớt ngay tại cửa, dù chiều về có thể đúng nếu NAT policy chuẩn.
✅ Giải pháp: Route Leak giữa Transport VPN (VPN0) và Service VPN (VPN3)
Cấu hình giải pháp:
vrf definition 3
description Web Server VRF
rd 1:10
address-family ipv4
route-replicate from vrf global unicast static
route-target export 100:10
route-target import 100:10 !
exit-address-family
!
global-address-family ipv4
route-replicate from vrf 3 unicast connected
📌 Giải thích:
- route-replicate from vrf 3: leak các route “connected” từ VPN3 vào VPN0 (Global).
- Kết hợp thêm route-replicate from vrf global unicast static để leak chiều ngược lại nếu cần.
⚙️ NAT Policy không giúp nếu thiếu route!
vpn-list VPN3
sequence 1
match source-ip 64.100.100.10
!
action accept nat use-vpn 0
nat bypass
✅ Cấu hình này chỉ cho phép gói từ Web Server được đi ra Internet qua VPN0, không xử lý được chiều đến nếu VPN0 không thấy route đến đích.
📌 Kết luận cho anh em:
Trong thiết kế SD-WAN, đặc biệt khi chia nhiều VRF / VPN, đừng quên:
- Leaking Route là bắt buộc nếu muốn các VPN “nói chuyện” với nhau.
- NAT không thể hoạt động nếu không có route đúng!
🔧 TIP thực chiến
Nếu bạn dùng Cisco SD-WAN / vEdge / C8K / 8200 → hãy kiểm tra:
show ip route <web_server_ip> vpn 0
Nếu không thấy route đến IP web server, hãy kiểm tra lại config route-replicate hoặc export/import RT.
💬 Bạn từng gặp lỗi tương tự chưa?
Comment chia sẻ thêm tình huống của bạn để anh em học hỏi cùng nhau nhé!