Silver Peak SD-WAN 在SNAT模式下进行VRF间路由

测试目的:让处于 VRF Default 中的 192.168.10.254 与 处于 VRF IoT 中的 10.100.100.2 互通,实验拓扑如下

开启 Segmentation 功能


添加 Segment (在 Silver Peak 中 Segment = VRF)


将 Segment 分配至 EC 的 LAN 接口


以 IoT 为源定义 Inter-Segment Routing


以 IoT 为源定义防火墙策略


查看路由表,确保两端的 EC 相互学习到对方的路由




从 10.100.100.2 ping 192.168.10.254,可以 ping 通,查看 Flow

反过来从 192.168.10.254 则无法 ping 通 10.100.100.2, 查看 Flow


注意 Segments 里的信息,在这里数据的源于目的 Segment 都是 Default,原因是我们刚才只定义了以 IoT 为源的 Inter-segment Routing,我们需要以 Default 为源做同样的定义

防火墙策略也需要以 Default 为源进行定义


修改后 192.168.10.254 可以 ping 通 10.100.100.2


在 10.100.100.2 中抓包发现所 ping 的数据包源地址并非 192.168.10.254


原因是在默认情况下所有 Segment 里的 SNAT 功能都开启


该功能的作用是当数据包抵达目的 EC 并跨越 VRF 边界后对其进行 Source NAT,用出站接口地址替换源地址。所以我们会看到 192.168.10.254 被替

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注