Naše brány firewall/brány nabízejí mnoho různých způsobů, jak manipulovat se směrováním paketů ve vaší síti. Jedním z nich jsou statické cesty a zejména při srovnání statického směrování s „cestami zásad“ často dochází k nejasnostem v tom, co jsou statické cesty a zejména kdy je použít.
Předpoklad
I když tento článek není o trasách zásad, zakrátko musíme odbočit k vysvětlení jejich konceptu: s trasami zásad máte možnost tvarovat trasy velmi specifickým způsobem, definovat parametry, kdy by se mělo směrování použít, jako je například příchozí rozhraní, zdrojová IP, cílová IP atd.
V podstatě si nadefinujete všechny tyto parametry a poté se rozhodnete pro tzv. „Next-Hop“ – může to být VPN tunel, konkrétní WAN rozhraní atd. – takto by mohl vypadat příklad:
Zde uvádíme, že v případě, že naše LAN-Subnet chce mít přístup k 8.8.8.8, protlačíme tento provoz přes VPN tunel.
To je samo o sobě velmi efektivní a přesné měření, pokud jde o směrování – tak proč bychom potřebovali nějaký jiný směrovací mechanismus?
Statické trasy - vysvětlení a příklad
Statické trasy mají oproti trasám zásad velkou výhodu – jsou jednoduché a přímo k věci se konfigurují. Ale mají velmi specifický atribut - jsou nezávislé na zdroji . To znamená, že můžete velmi pěkně definovat univerzálně dohodnuté směrování ve vaší síti, protože nemusíte definovat zdroj, odkud pakety přicházejí, který by měl tuto cestu využívat. Dalším rozdílem je, že trasy politik fungují cyklickým způsobem, počínaje prvním vstupem a poté se propracovávají až na samé dno, zatímco statické trasy využívají metrický a nákladový výpočet.
Statické trasy se konfigurují pomocí:
Configuration > Network > Routing > Static Route (Tab)
- Cílová IP : Definujte síťovou adresu vaší podsítě, kterou chcete dosáhnout
- Maska podsítě : Zadejte masku podsítě cíle, kterého chcete dosáhnout
- Gateway IP/rozhraní : Buď vyberte rozhraní, které by se mělo použít, nebo definujte Gateway IP - příklad snad poskytne více informací o tom, co zde zadat
- Metrika : Definujte prioritu pravidla zadáním metriky. Metrika je hodnota, která určuje prioritu, ve které bude vybrána ve srovnání s jinými trasami s odpovídajícími kritérii
Velká otázka zní: Kdy byste měli používat statické cesty před cestami zásad?
Poznámka : I když příklad, který předvedeme, lze dosáhnout také cestami zásad, je důležité zdůraznit, že statické cesty těží z jejich snadného a nekomplikovaného nastavení. Udělat totéž v cestě politiky by skončilo vytvořením více objektů, které by se v rámci trasy politiky propojily.
Představte si tuto topologii:
Představte si, že chcete, aby klienti z vaší podsítě mohli komunikovat s podsítí LAN2 routeru na pravé straně. Ve výchozím nastavení by jakýkoli dotaz z podsítě LAN1 USG FLEX 200 dosahující na 192.168.200.X/24 byl obvykle předán z WAN-Port USG FLEX, protože 192.168.200.X/24 IP podsíť mimo dosah jakékoli LAN USG FLEX.
Požadovaného výsledku však můžete dosáhnout nastavením této statické trasy:
V zásadě říkáme „Pokud nějaký zdroj chce dosáhnout cílové podsítě 192.168.200.0/24, přesuňte provoz na bránu s IP 192.168.1.250“. Přes přímé cesty v USG FLEX a ARP-požadavek v rámci LAN se nakonec zjistí, že router třetí strany má IP 192.168.1.250 a tím bude provoz přesměrován.
Vezměte prosím na vědomí, že aby to fungovalo, router třetí strany potřebuje směrování a zásady brány firewall, které umožňují průchod i tomuto provozu!
Jakmile to uděláte, statická trasa by měla fungovat - v případě, že vás zajímá, co se stane na zpáteční cestě, pak buďte informováni, že to řeší Direct Routes - to jsou také trasy nezávislé na zdroji, které dopředný provoz znamenal pro interní LAN USG FLEX do příslušného rozhraní a jsou automaticky vytvořeny při vytváření rozhraní.
Nakonec můžeme ověřit, že statická cesta, kterou jsme vytvořili, skutečně proběhla prostřednictvím nabídky prozkoumat tok paketů přes
Maintenance > Packet Flow Explore
ODMÍTNUTÍ ODPOVĚDNOSTI:
Vážený zákazníku, uvědomte si prosím, že k poskytování článků ve vašem místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. Pokud existují otázky nebo nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde: Původní verze
Komentáře
0 komentářůProsím přihlaste se, abyste mohli napsat komentář.