Tento průvodce trasami zásad vám ukáže, jak zpracovat směrování na USG / ATP. Ukáže vám příklady nejčastějších scénářů, jako je SNAT, směrování provozu přes konkrétní rozhraní WAN a směrování provozu přes tunel VPN.
1. Směrování interního provozu prostřednictvím specifické sítě WAN
3. Směrování SNAT (Source Network Address Translation)
Přehled
Použijte směrování zásad k přepsání výchozího směrování, abyste mohli odesílat pakety přes příslušné rozhraní nebo VPN tunely.
Směrování je tradičně založeno pouze na cílové adrese a USG / ATP se vydává nejkratší cestou k předání paketu. Směrování zásad IP poskytuje mechanismus potlačení výchozího chování při směrování
a změnit předávání paketů na základě zásady definované správcem sítě. Směrování založené na zásadách je aplikováno na příchozí pakety na rozhraní před běžným směrováním.
Pravidla pro směrování
Níže jsou uvedeny příklady nejběžnějších scénářů.
Směrování interního provozu prostřednictvím specifické sítě WAN
V závislosti na vaší implementaci můžete používat více připojení k internetu a více interních sítí (například LAN1 a Guest). Chcete-li optimalizovat výkon interních sítí (LAN1), možná budete chtít tento přenos vynutit nejrychlejším a nejspolehlivějším internetovým připojením, zatímco host používá pomalejší připojení k internetu. Toho lze dosáhnout vytvořením dvou strategických tras, jeden pro odeslání provozu LAN1 z rychlého internetového připojení a druhý pro odeslání návštěvního provozu z pomalejšího připojení.
Pro tento příklad je WAN1 rychlé připojení a WAN2 je pomalejší připojení k internetu.
Poznámka: Zaškrtněte políčko „Zakázat trasu automaticky automaticky, zatímco propojení rozhraní dolů“, aby se trasa automaticky deaktivovala, pokud je nakonfigurované rozhraní WAN deaktivováno pro použití druhého rozhraní WAN jako zálohy.
Vytvořte druhé pravidlo pro síť Guest (ať už jde o LAN2, DMZ, mostové rozhraní nebo VLAN) pomocí WAN2 pro Next-Hop.
Směrujte provoz přes VPN
USG / ATP může bohužel směrovat přes VPN pouze jednu síťovou podsíť nebo řadu po sobě jdoucích IP adres. Pokud má síť 192.168.1.0/24, 172.16.0.0/24 a 10.0.0.0/24 jako síť
podsítí a potřebovat směrovat všechny tři tunelem VPN, nebylo by to možné na základě omezení VPN v USG / ATP.
Vytvoření trasy zásad pro směrování provozu z ostatních místních sítí přes tunel VPN by bylo řešením. Vzdálenou síť za sítí VPN lze dosáhnout touto cestou zásad.
Níže uvedený příklad bude směrovat provoz ze podsítě LAN2 určené pro vzdálenou podsíť přes určený tunel VPN.
Poznámka: Druhá strana musí také nastavit cestu zpět.
Směrování SNAT (Source Network Address Translation)
Pokud máte od poskytovatele internetových služeb pronajato více veřejných IP adres a potřebujete poštovní server, aby odesílal provoz pomocí jedné z těchto adres. Můžete si vytvořit cestu politiky k odeslání
veškerý provoz z poštovního serveru z WAN pomocí konkrétní veřejné IP pronajatého bloku.
Nejprve vytvořte adresové objekty pro soukromou IP adresu a veřejnou IP adresu poštovního serveru.
Objekty můžete vytvořit pod:
Configuration -> Object -> Address
Předmět veřejné IP pro náš příklad
Objekt soukromé IP pro náš příklad
Vytvořte cestu zásad takto:
PODMÍNKY:
Vážený zákazníku, uvědomte si, že k poskytování článků ve vašem místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. Pokud existují otázky nebo nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde: Původní verze