Nebula [USGFLEX/ATP/VPN] - Конфигуриране на маршрутизацията и формирането на трафика

Маршрутизирането е една от най-важните функции на шлюза за сигурност. Опциите за конфигуриране, разгледани в тази статия, ще ви позволят да настроите поведението на трафика, преминаващ през шлюза, според вашите изисквания. Тази статия обхваща всички свързани с маршрутизацията опции за конфигуриране в Nebula Control Center, които включват функциите Policy Route (Маршрут на политиката), Static Route (Статичен маршрут), Traffic Shaping (Формиране на трафика) и WAN Load Balancing (Балансиране на натоварването на мрежата). За да получите достъп до тези опции, моля, влезте в Nebula Control Center, като използвате своите идентификационни данни на адрес https://nebula.zyxel.com/, и преминете към следното меню:

Site-wide > Configure > Firewall > Routing

Маршрут на политиката

За да създадете маршрут на политиката във вашия USG FLEX, просто щракнете върху бутона Add (Добавяне) в списъка Policy Route/Traffic Shaping (Маршрут на политиката/оформяне на трафика) и попълнете Matching Criteria (Критерии за съответствие), за да определите кой трафик трябва да бъде засегнат от това правило.

За адресите на източника и местоназначението можете да използвате ключовата дума Any (Всеки), за да съответствате на целия трафик, IP адрес на един хост, подмрежа във формат CIDR, IP обхват, определен от интервал на адресите, FQDN или име на държава за GeoIP.

Услугата може да бъде TCP, UDP, ICMP или друг протокол, който не е посочен в списъка, ако е необходимо. Полето за порт за TCP/UDP трафик приема стойности, разделени със запетая, интервал от портове или комбинация от двете.

Когато приключим с конфигурирането на критериите за съвпадение за нашия трафик, трябва да зададем къде да бъде насочен трафикът. Уверете се, че полето Policy Route (Маршрут на политиката) е маркирано, и изберете Type of the traffic (Тип на трафика) - дали той е предназначен да бъде маршрутизиран към WAN интерфейс (интернет трафик) или към друг шлюз в рамките на локалната мрежа (интранет трафик). В полето Next-Hop (Следваща спирка) изберете желания шлюз за трафика.

Статичен маршрут

За да създадете запис за статично маршрутизиране на вашия USG FLEX, просто щракнете върху бутона Добавяне в списъка със статични маршрути и попълнете подмрежата на източника. Next Hop Type (Тип следващ скок) ви позволява да изберете дали ще се използва статичен IP адрес, или IP адрес на интерфейсен шлюз, който може да се актуализира автоматично при всяка промяна от USG FLEX. Полето Метрика задава приоритета на правилото, като по-ниска метрика означава, че маршрутът е по-вероятно да бъде използван.

Оформяне на трафика

Подобно на правилата за маршрутизиране, за да създадете правило за оформяне на трафика на вашия USG FLEX, просто щракнете върху бутона Добавяне в списъка Маршрутизиране/оформяне на трафика и попълнете Критериите за съответствие, за да определите кой трафик трябва да бъде засегнат от това правило.

За адресите на източника и местоназначението можете да използвате ключовата дума Any (Всеки), за да съответствате на целия трафик, IP адрес на един хост, подмрежа във формат CIDR, IP обхват, определен от интервал на адресите, FQDN или име на държава за GeoIP.

Услугата може да бъде TCP, UDP, ICMP или друг протокол, който не е посочен в списъка, ако е необходимо. Полето за порт за TCP/UDP трафик приема стойности, разделени със запетая, интервал от портове или комбинация от двете.

Когато приключим с конфигурирането на критериите за съвпадение за нашия трафик, можем да активираме опцията Traffic Shaping (Формиране на трафика) във формата и ще се появят нови опции. Задайте ограниченията на скоростта и приоритета по ваш вкус и щракнете върху Създай, за да запазите правилото.

Балансиране на натоварването на WAN

При настоящата реализация балансирането на натоварването на WAN използва алгоритъм Weighted Round Robin и съответните стойности се изчисляват автоматично въз основа на стойностите на честотната лента надолу по веригата и честотната лента нагоре по веригата на съответния интерфейс. За да конфигурирате тази стойност, моля, редактирайте съответния WAN интерфейс в следното меню:

Side-wide > Configure > Firewall > Interfaces

В случай че имате един от WAN интерфейсите, който искате да използвате само като резервен вариант в краен случай, например поради ограничения в плана за данни, можете да определите този интерфейс като резервен интерфейс. При тази настройка интерфейсът няма да се използва, освен ако всички останали WAN интерфейси не са достъпни.