测试目的:让处于 VRF Default 中的 192.168.10.254 与 处于 VRF IoT 中的 10.100.100.2 互通,实验拓扑如下
开启 Segmentation 功能
添加 Segment (在 Silver Peak 中 Segment = VRF)
将 Segment 分配至 EC 的 LAN 接口
以 IoT 为源定义 Inter-Segment Routing
以 IoT 为源定义防火墙策略
查看路由表,确保两端的 EC 相互学习到对方的路由
从 10.100.100.2 ping 192.168.10.254,可以 ping 通,查看 Flow
反过来从 192.168.10.254 则无法 ping 通 10.100.100.2, 查看 Flow
注意 Segments 里的信息,在这里数据的源于目的 Segment 都是 Default,原因是我们刚才只定义了以 IoT 为源的 Inter-segment Routing,我们需要以 Default 为源做同样的定义
防火墙策略也需要以 Default 为源进行定义
修改后 192.168.10.254 可以 ping 通 10.100.100.2
在 10.100.100.2 中抓包发现所 ping 的数据包源地址并非 192.168.10.254
原因是在默认情况下所有 Segment 里的 SNAT 功能都开启
该功能的作用是当数据包抵达目的 EC 并跨越 VRF 边界后对其进行 Source NAT,用出站接口地址替换源地址。所以我们会看到 192.168.10.254 被替