Vores firewalls/gateways tilbyder mange forskellige måder at manipulere routingen af pakkerne i hele dit netværk. En af dem er statiske ruter, og især hvis man sammenligner den statiske routing med "politikruter", er der ofte en vis forvirring om, hvad statiske ruter er, og især hvornår de skal bruges.
Forudsætning
Selvom denne artikel ikke handler om policy-ruter, skal vi om kort tid komme nærmere ind på at forklare deres koncept: med policy-ruter har du mulighed for at forme ruter på en meget specifik måde ved at definere parametre for, hvornår ruten skal bruges, såsom den indgående rute. interface, Kilde IP, Destination IP osv.
Grundlæggende definerer du alle disse parametre og beslutter dig derefter for et såkaldt "Next-Hop" - det kan være en VPN-tunnel, et specifikt WAN-interface osv. - sådan kunne et eksempel se ud:
Her oplyser vi, at hvis vores LAN-undernet ønsker at få adgang til 8.8.8.8, skubber vi den trafik gennem en VPN-tunnel.
Så det er i sig selv en meget effektiv og præcis måling, når det kommer til routing - så hvorfor skulle vi have brug for en anden routingmekanisme?
Statiske ruter - Forklaring og eksempel
Statiske ruter har en stor fordel i forhold til politikruter - de er enkle og lige til at konfigurere. Men de har en meget specifik egenskab - de er kildeuafhængige . Det betyder, at du meget fint kan definere universelt aftalte routings i dit netværk, da du ikke behøver at definere en kilde, hvor pakkerne kommer fra, som skal bruge den rute. En anden forskel er, at de politiske ruter fungerer på en cyklisk måde, startende med den første indtastning og derefter arbejder vejen til bunden, mens statiske ruter bruger metriske og omkostningsberegninger.
Statiske ruter konfigureres via:
Configuration > Network > Routing > Static Route (Tab)
- Destinations-IP : Definer netværksadressen på dit undernet, du ønsker at nå
- Undernetmaske : Indtast undernetmasken for den destination, du vil nå
- Gateway IP/Interface : Vælg enten en grænseflade der skal bruges eller definer en Gateway IP - eksemplet vil forhåbentlig give mere indsigt i hvad der skal indtastes her
- Metrisk : Definer prioritet for reglen ved at indtaste metrikken. Metrikken er en værdi, der angiver den prioritet, som den vil blive valgt i sammenlignet med andre ruter med matchende kriterier
Det store spørgsmål er: Hvornår skal du bruge Static Routes over Policy Routes?
Bemærk : Selvom det eksempel, vi vil fremvise, også kan opnås ved hjælp af politikruter, er det vigtigt at påpege, at de statiske ruter drager fordel af deres nemme og ukomplicerede opsætning. At gøre det samme i en policy-rute ville ende med at skabe flere objekter til at sammenkæde inden for policy-ruten.
Forestil dig denne topologi:
Forestil dig, du ønsker, at klienterne fra dit undernet skal være i stand til at kommunikere til routerens LAN2-undernet på højre side. Som standard vil enhver forespørgsel fra LAN1-undernettet på USG FLEX 200, der når ud til 192.168.200.X/24, normalt blive videresendt fra WAN-Port af USG FLEX, fordi 192.168.2400.X som standard er en/2400.X IP-undernet uden for rækkevidden af ethvert LAN på USG FLEX.
Du kan dog opnå det ønskede resultat ved at opsætte denne statiske rute:
Grundlæggende siger vi "Hvis en kilde ønsker at nå destinationsundernet 192.168.200.0/24, så flyt trafikken til gatewayen med IP 192.168.1.250". Via direkte ruter i USG FLEX'en og en ARP-request indenfor LAN, vil det efterhånden blive fundet ud af, at tredjepartsrouteren har IP 192.168.1.250 og dermed sendes trafikken videre.
Bemærk dog, at for at dette kan fungere, skal tredjepartsrouteren have routing og firewall-politikker på plads, så denne trafik også kan passere!
Når dette er gjort, burde den statiske rute fungere - hvis du undrer dig over, hvad der sker på vejen tilbage, så bliv informeret om, at dette håndteres af Direct Routes - det er også kildeuafhængige ruter, som fremadrettet trafik er beregnet til den interne LAN'er af USG FLEX til den respektive grænseflade og oprettes automatisk, når der oprettes en grænseflade.
I sidste ende kan vi bekræfte, at den statiske rute, vi oprettede, faktisk fandt sted gennem menuen for pakkeflow-udforskning via
Maintenance > Packet Flow Explore
ANSVARSFRASKRIVELSE:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Ikke al tekst er muligvis oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her: Originalversion
Kommentarer
0 kommentarerLog ind for at kommentere.