Nebula [USGFLEX/ATP/VPN] - Konfiguration von Routing und Traffic Shaping

Das Routing ist eine der wichtigsten Funktionen des Sicherheits-Gateways. Mit den in diesem Artikel behandelten Konfigurationsoptionen können Sie das Verhalten des Datenverkehrs, der durch Ihr Gateway geleitet wird, an Ihre Anforderungen anpassen. Dieser Artikel behandelt alle Routing-bezogenen Konfigurationsoptionen im Nebula Control Center, einschließlich der Funktionen Policy Route, Static Route, Traffic Shaping und WAN Load Balancing. Um auf diese Optionen zuzugreifen, loggen Sie sich bitte mit Ihren Anmeldedaten unter https://nebula.zyxel.com/ in das Nebula Control Center ein und navigieren Sie zum folgenden Menü:

Site-wide > Configure > Firewall > Routing

Richtlinie Route

Um eine Policy Route auf Ihrer USG FLEX zu erstellen, klicken Sie einfach auf die Schaltfläche Hinzufügen in der Liste Policy Route/Traffic Shaping und füllen Sie die Matching Criteria aus, um zu bestimmen, welcher Verkehr von dieser Regel betroffen sein soll.

Für Quell- und Zieladressen können Sie das Schlüsselwort Any verwenden, um allen Datenverkehr zu entsprechen, eine einzelne Host-IP-Adresse, ein CIDR-formatiertes Subnetz, einen durch ein Adressintervall definierten IP-Bereich, einen FQDN oder einen Ländernamen für GeoIP.

Service kann entweder TCP, UDP, ICMP oder ein nicht aufgeführtes Protokoll sein, falls erforderlich. Das Port-Feld für TCP/UDP-Verkehr akzeptiert durch Komma getrennte Werte, ein Intervall von Ports oder eine Kombination aus beidem.

Wenn wir mit der Konfiguration der Abgleichskriterien für unseren Datenverkehr fertig sind, müssen wir festlegen, wohin der Datenverkehr weitergeleitet werden soll. Vergewissern Sie sich, dass das Feld Policy Route markiert ist, und wählen Sie den Typ des Datenverkehrs aus - ob er über die WAN-Schnittstelle (Internetverkehr) oder zu einem anderen Gateway im lokalen Netzwerk (Intranetverkehr) geleitet werden soll. Wählen Sie im Feld Next-Hop das gewünschte Gateway für den Datenverkehr aus.

Statische Route

Um einen statischen Routing-Datensatz auf Ihrem USG FLEX zu erstellen, klicken Sie einfach auf die Schaltfläche Hinzufügen in der Liste Statische Route und geben Sie das Quell-Subnetz ein. Unter Next Hop Type können Sie auswählen, ob eine statische IP-Adresse oder die IP des Schnittstellen-Gateways verwendet werden soll, die automatisch aktualisiert werden kann, wenn sie von USG FLEX geändert wird. Das Feld Metrik legt die Priorität der Regel fest, wobei eine niedrigere Metrik bedeutet, dass die Route mit größerer Wahrscheinlichkeit verwendet wird.

Traffic Shaping

Um eine Traffic-Shaping-Regel auf Ihrer USG FLEX zu erstellen, klicken Sie ähnlich wie beim Richtlinien-Routing einfach auf die Schaltfläche Hinzufügen in der Liste Richtlinien-Route/Traffic Shaping und geben Sie die Übereinstimmungskriterien ein, um zu bestimmen, welcher Verkehr von dieser Regel betroffen sein soll.

Für Quell- und Zieladressen können Sie das Schlüsselwort Any verwenden, um den gesamten Datenverkehr abzugleichen, eine einzelne Host-IP-Adresse, ein CIDR-formatiertes Subnetz, einen durch ein Adressintervall definierten IP-Bereich, einen FQDN oder einen Ländernamen für GeoIP.

Service kann entweder TCP, UDP, ICMP oder ein nicht aufgeführtes Protokoll sein, falls erforderlich. Das Port-Feld für TCP/UDP-Verkehr akzeptiert durch Komma getrennte Werte, ein Intervall von Ports oder eine Kombination aus beidem.

Wenn wir mit der Konfiguration der passenden Kriterien für unseren Datenverkehr fertig sind, können wir die Option Traffic Shaping im Formular aktivieren, woraufhin neue Optionen erscheinen. Legen Sie die Ratengrenzen und die Priorität nach Ihren Wünschen fest und klicken Sie auf Erstellen, um die Regel zu speichern.

WAN-Lastausgleich

In der aktuellen Implementierung verwendet der WAN-Lastausgleich den gewichteten Round-Robin-Algorithmus, und die entsprechenden Werte werden automatisch auf der Grundlage der Downstream-Bandbreite und der Upstream-Bandbreite der jeweiligen Schnittstelle berechnet. Um diesen Wert zu konfigurieren, bearbeiten Sie bitte die entsprechende WAN-Schnittstelle im folgenden Menü:

Side-wide > Configure > Firewall > Interfaces

Für den Fall, dass Sie eine WAN-Schnittstelle haben, die Sie nur als letzten Ausweg nutzen wollen, z.B. aufgrund von Datenplanbeschränkungen, können Sie diese Schnittstelle als Backup-Schnittstelle festlegen. Mit dieser Einstellung wird die Schnittstelle nicht verwendet, es sei denn, alle anderen WAN-Schnittstellen sind nicht verfügbar.