Нашите защитни стени/шлюзове предлагат много различни начини за манипулиране на маршрутизирането на пакетите във вашата мрежа. Един от тях са статични маршрути и особено когато се сравнява статичното маршрутизиране с "маршрути на политиката", често има известно объркване какво представляват статични маршрути и особено кога да се използват.
Предпоставка
Въпреки че тази статия не е за маршрутите на правилата, накратко трябва да се отклоним от обяснението на тяхната концепция: с маршрутите на политиката имате възможност да оформяте маршрути по много специфичен начин, като дефинирате параметри за това кога трябва да се използва маршрутизацията, като например входящите интерфейс, IP адрес на източника, IP адрес на местоназначение и др.
По принцип вие дефинирате всички тези параметри и след това решавате за така наречения "Next-Hop" - това може да бъде VPN тунел, специфичен WAN интерфейс и т.н. - ето как може да изглежда един пример: 
Тук заявяваме, че в случай че нашата LAN-подмрежа иска достъп до 8.8.8.8, ние прокарваме този трафик през VPN тунел.
Така че това само по себе си е много ефективно и точно измерване, когато става въпрос за маршрутизиране - така че защо ще имаме нужда от друг механизъм за маршрутизиране?
Статични маршрути - обяснение и пример
Статичните маршрути имат голямо предимство пред маршрутите на политиката - те са лесни и директни за конфигуриране. Но те имат много специфичен атрибут - те са независими от източника . Това означава, че можете много добре да дефинирате универсално договорени маршрути във вашата мрежа, тъй като не е нужно да дефинирате източник, откъдето идват пакетите, който трябва да използва този маршрут. Друга разлика е, че маршрутите на политиките работят по цикличен начин, като се започне от първото вписване и след това се движи до самото дъно, докато статичните маршрути използват изчисление на метрики и разходи.
Статичните маршрути се конфигурират чрез:
Configuration > Network > Routing > Static Route (Tab)
- Целеви IP адрес : Определете мрежовия адрес на вашата подмрежа, която искате да достигнете
- Subnet Mask : Въведете маската на подмрежата на дестинацията, която искате да достигнете
- Gateway IP/интерфейс : Или изберете интерфейс, който трябва да се използва, или дефинирайте Gateway IP - надяваме се примерът да даде повече представа за това какво да въведете тук
- Показател : Определете приоритета на правилото, като въведете метриката. Показателят е стойност, определяща приоритета, при който ще бъде избран в сравнение с други маршрути със съвпадащи критерии
Големият въпрос е: Кога трябва да използвате статични маршрути вместо маршрути с правила?
Забележка : Въпреки че примерът, който ще покажем, може да бъде постигнат и чрез маршрути на политиката, важно е да се посочи, че статичните маршрути се възползват от тяхната лесна и неусложнена настройка. Правенето на същото в маршрут на политика ще доведе до създаване на множество обекти за взаимно свързване в маршрута на политиката.
Представете си тази топология:
Представете си, че искате клиентите от вашата подмрежа да могат да комуникират с LAN2 подмрежата на рутера от дясната страна. По подразбиране всяко запитване от LAN1 подмрежата на USG FLEX 200, достигащо до 192.168.200.X/24, обикновено се препраща от WAN-Port на USG FLEX, тъй като 192.168.200 по подразбиране е. IP-подмрежа извън обхвата на която и да е локална мрежа на USG FLEX.
Въпреки това, можете да постигнете желания резултат чрез настройване на този статичен маршрут:
По принцип ние заявяваме „Ако някой източник иска да достигне Подмрежа на дестинацията 192.168.200.0/24, тогава преместете трафика към шлюза с IP 192.168.1.250“. Чрез директни маршрути в USG FLEX и ARP-заявка в LAN, в крайна сметка ще се установи, че рутерът на трета страна има IP 192.168.1.250 и по този начин трафикът ще бъде пренасочен.
Моля, имайте предвид обаче, че за да работи това, рутерът на трета страна се нуждае от маршрути и правила за защитна стена, които да позволят и този трафик да преминава!
След като това е направено, статичният маршрут трябва да работи - в случай че се чудите какво се случва на връщане, тогава бъдете информирани, че това се занимава с директни маршрути - това също са независими от източника маршрути, които пренасочват трафик, предназначени за вътрешния LAN мрежи на USG FLEX към съответния интерфейс и се създават автоматично при създаване на интерфейс.
В крайна сметка можем да проверим, че статичният маршрут, който създадохме, всъщност се е осъществил през менюто за изследване на пакетния поток чрез
Maintenance > Packet Flow Explore
ОПРОВЕРЖЕНИЕ:
Уважаеми клиенти, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Не целият текст може да бъде преведен точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия
Коментари
0 коментараВлезте в услугата, за да оставите коментар.