零信任接口IP和业务IP同段带来的问题
  

利威尔 2268

{{ttag.title}}
本帖最后由 利威尔 于 2024-4-30 15:50 编辑

问题现象:通过零信任控制台发布了一个8位掩码的内网大网段资源,拨入零信任后出现了同网段的资源有些IP(10.44.1.9/24)通,有些IP(10.44.1.6/24)不通。资源访问开启了以虚拟IP为源。
资源配置

接口配置

路由配置

拓扑如下:


问题原因:经对客户的内网拓扑分析与抓包查看,得出如下几点:
1.2个资源的访问零信任都有正常的代理转发,但未收到.6回包。
2. 零信任的业务口IP和资源IP同段,这样会导致零信任资源代理时会优先通过直连路由发包,而并非配置的默认路由。(图中红色为访问1.6资源的发包。绿色为1.6资源的回包,路径不一致导致零信任丢包,虽然1.6和1.9同段但网络拓扑的位置不同,1.9资源的访问就不会有路径不一致的问题产生)。


解决方法:在零信任上或零信任的网关设备上添加明细路由,可以解决。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

科思哲 发表于 2024-5-1 08:24
  
感谢分享,有助于工资和学习
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
每日一问
【 社区to talk】
干货满满
技术笔记
新版本体验
技术咨询
GIF动图学习
信服课堂视频
每周精选
标准化排查
功能体验
社区新周刊
测试报告
问题分析处理
高手请过招
产品连连看
安装部署配置
2023技术争霸赛专题
2024年技术争霸赛
POC测试案例
答题自测
运维工具
VPN 对接
SDP百科
技术晨报
自助服务平台操作指引
在线直播
资源访问
迁移
社区帮助指南
通用技术
秒懂零信任
齐鲁TV
畅聊IT
专家问答
技术圆桌
MVP
网络基础知识
升级
安全攻防
上网策略
日志审计
流量管理
每日一记
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
存储
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
华北区交付直播
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
全能先锋系列

本版版主

1
0
1

发帖

粉丝

关注

本版热帖

本版达人