檢視次數:

Zero Trust Secure Access 中的內部應用程式不能共享重疊的 IP 位址。了解如何檢測衝突、可能發生的衝突類型以及如何解決這些衝突。

Zero Trust Secure Access 不支援在配置內部應用程式時使用重疊的 IP 位址。內部應用程式應該是獨立分段的網路;不同的內部應用程式不應有重疊的 IP 範圍。這是系統要求,以防止路由衝突並確保可靠地存取您的應用程式。
Zero Trust Secure Access 透過分析自動偵測衝突:
  • IP 位址(單一 IP、範圍或 CIDR 區塊)
    網域(單一 FQDN,通配 FQDN)
  • 埠號
  • 協議 (TCP/UDP)
  • 連接器群組分配
應用程式衝突可能導致不可預測的流量路由、連接失敗或流量被導向錯誤的應用程式。
新增內部應用程式時,您可能會與現有的內部應用程式產生一個或多個衝突。Zero Trust Secure Access 會掃描您的內部環境並列出衝突的應用程式。

IP 位址格式支援

系統支援三種 IP 位址格式:

格式
範例
說明
單一 IP
192.168.1.10
個別 IP 位址
多個 IP
192.168.1.10, 192.168.1.20
多個 IP 位址
IP 範圍
192.168.1.1-192.168.1.10
連續 IP 位址範圍
CIDR 封鎖
192.168.1.0/24
網路封鎖(涵蓋 192.168.1.0192.168.1.255

FQDN 格式支援

格式
範例
說明
單一 FQDN
app.example.com
個別完整的網域名稱
多個 FQDN
app.example.com,
app1.example.com,
app2.example.com
多個完整的網域名稱
通配符 FQDN
8.example.com
代表example.com所有子域的萬用字元域名
FQDN 衝突偵測使用「exact string matching」。通配符 FQDN(*.example.com)和單一 FQDN(app.example.com)可能都匹配相同的網域,但「exact FQDN always takes priority」優先於通配符。這是可預測的行為,並且「not」衝突。通配符 FQDN(例如,*.example.com)和單一 FQDN(例如,app.example.com)被視為獨立的條目,彼此之間不會衝突。

應用程式衝突類型

  1. 不同的連接器群組衝突:
    • When it happens:在不同連接器群組中具有任何重疊 IP 位址的應用程式,無論是埠或協定。
    • 影響:流量路由變得不可預測——系統無法確定哪個連接器群組應該處理重疊 IP 的流量,可能導致:
      • 流量被路由到錯誤的應用程式
      • 連線失敗
  2. 相同的連接器群組衝突:
    • When it happens:在相同連接器群組中使用相同通訊協定的應用程式,其 IP 位址和埠口重疊。
    • 影響:流量處理是根據規則優先級進行的——優先級較高的規則會先被處理。這可能導致:
      • 流量被導向至非預期的應用程式
      • 根據規則順序,應用程式存取不一致
      • 疑難排解連線問題的困難

如何解決衝突

為每個應用程式指派唯一的 IP 位址或不重疊的範圍。
  • For single IP addresses:使用不同且不重疊的 IP 位址。
  • For IP ranges:調整範圍以排除重疊的地址。
  • For CIDR blocks:使用更具體或不同的 CIDR 封鎖,避免重疊。
如果應用程式在同一個連接器群組中,請配置應用程式使用不同的端口:
  • 更改一個應用程式的 TCP 埠以避免重疊。
  • 更改一個應用程式的UDP端口以避免重疊。
  • 對於重疊的端口使用不同的協議(TCP vs. UDP)。
如果您故意在同一連接器群組中配置重疊的IP位址,請確認規則優先順序(進階,同一連接器群組內):
  1. 導航至「Zero Trust Secure Access」 > 「私密存取」 > 「規則」
  2. 驗證您內部應用程式規則的優先順序。
  3. 確保規則優先順序符合您預期的流量處理。
  4. 根據需要調整規則優先級,以確保流量被導向至預期的應用程式。
  • 設定特定或限制性規則為較高優先級,較廣泛的許可規則為較低優先級。
    注意
    注意
    此方法需要仔細規劃和持續維護。

最佳實務

  • Network planning
    • Plan your IP address scheme:在新增應用程式之前,請規劃您的 IP 位址分配,以減少潛在的應用程式衝突。
    • Use unique IP addresses when possible:在可行的情況下,為不同群組中的應用程式指派唯一的 IP 位址。
    • Use network segmentation:為獨立的網路區段部署獨立的連接器(例如,無法相互通信的獨立 VLAN)。
    • Connector placement:在與將要公開的服務相同的 VLAN/網路區段內部署連接器。
    • Connector group assignment:將應用程式指派到與服務在同一個 VLAN 中部署的連接器群組。
    • Use logical grouping:將相關應用程式分組,以便在需要重疊 IP 但使用不同埠時使用。
    • Document your IP address allocations:維護文件以記錄哪些應用程式使用哪些 IP 位址。
  • Configuration guidelines
    • Start with unique IPs:始終嘗試先使用唯一的 IP 位址。
    • Avoid unnecessary overlaps:僅在絕對必要時使用重疊配置。
    • Port planning:在同一群組內,規劃您的埠使用,以避免使用相同 IP 位址時發生重疊。
    • Test thoroughly:確認在配置變更後流量路由是否正確。
    • Monitor regularly:定期檢查規則優先順序和流量模式。
    • Review rule priorities:如果在相同的連接器群組中故意使用重疊的 IP 配置,請定期檢查規則優先順序,以確保它們符合您的存取需求。