Denne Policy Route guide viser dig, hvordan du håndterer routing på en USG / ATP. Den viser dig eksempler på de mest almindelige scenarier som SNAT, rutetrafik gennem et specifikt WAN-interface og rutetrafik gennem en VPN-tunnel.
1. Routing af intern trafik gennem specifik WAN
3. Routing af SNAT (Source Network Address Translation)
Oversigt
Brug policy routes til at tilsidesætte standard routing adfærden for at sende pakker gennem den relevante grænseflade og / eller VPN-tunnel(er).
Traditionelt er routing kun baseret på destinationsadressen, og USG / ATP tager den korteste vej for at videresende en pakke. IP Policy Routing giver en mekanisme til at tilsidesætte standard routing adfærden
og ændre pakkevideresendelsen baseret på den policy, der er defineret af netværksadministratoren. policy baseret routing anvendes på indgående pakker på en grænseflade forud for den normale routing.
Routing regler
Nedenfor er eksempler på nogle af de mest almindelige scenarier.
Routing intern trafik gennem specifik WAN
Afhængig af din implementering bruger du muligvis flere internetforbindelser og flere interne netværk (LAN1 og Guest for eksempel). For at optimere de interne netværks (LAN1) ydeevne kan du tvinge denne trafik gennem den hurtigere mest pålidelige internetforbindelse, mens gæsten bruger en langsommere internetforbindelse. Dette kan opnås ved at oprette to policy routes, den ene til at sende LAN1's trafik ud af den hurtige internetforbindelse og den anden for at sende gæstetrafikken ud af den langsommere forbindelse.
I dette eksempel er WAN1 den hurtige forbindelse, og WAN2 er den langsommere internetforbindelse.
Bemærk: Kontroller "Deaktiver policy route automatisk, mens grænsefladen link er nede" for at få ruten deaktiveret automatisk, hvis den konfigurerede WAN-grænseflade er nede for at bruge den anden WAN-grænseflade som sikkerhedskopi.
Opret en anden regel for gæstens netværk (uanset om det er LAN2, DMZ, en bridge-interface eller VLAN) ved hjælp af WAN2 til Next-Hop.
Rute trafik gennem VPN
USG / ATP kan desværre kun rute et netværksundernet eller en interval af fortløbende IP-adresser gennem VPN. Hvis dit netværk har en 192.168.1.0/24, en 172.16.0.0/24 og en 10.0.0.0/24 som netværk
undernet og er nødt til at rute alle tre gennem en VPN-tunnel, ville dette ikke være muligt baseret på VPN-begrænsningerne for USG / ATP.
Det ville være en løsning, at oprette en policy route til at dirigere trafikken fra de andre lokale netværk gennem VPN-tunnelen. Det eksterne netværk bag VPN kan nås med denne policy route.
Eksemplet nedenfor dirigerer trafik fra LAN2-undernettet, der er bestemt til det eksterne undernet gennem den specificerede VPN-tunnel.
Bemærk: Den anden side skal også indstille en rute for vej tilbage.
SNAT (Source Network Address Translation) routing
Hvis du har flere offentlige IP-adresser, der er suppleret af din internetudbyder, og du har brug for mailserveren for at sende trafik ved hjælp af en af disse adresser, kan du oprette en policy route, der skal sende al trafik fra mailserveren ud af WAN ved hjælp af en bestemt offentlig IP af den leasede blok.
Opret først adresseobjekter til den private IP-adresse og den offentlige IP-adresse på mailserveren.
Du kan oprette objekterne under:
Configuration -> Object -> Address
Formålet med den offentlige IP til vores eksempel
Formålet med den private IP til vores eksempel
Opret politikruten som følger: