Esta guía de ruta política le mostrará cómo manejar el enrutamiento en un USG / ATP. Le mostrará ejemplos de los escenarios más comunes como SNAT, enrutar el tráfico a través de una interfaz WAN específica y enrutar el tráfico a través de un túnel VPN.
1. Enrutamiento del tráfico interno a través de WAN específica
2. Ruta del tráfico a través de VPN
3. Enrutamiento SNAT (traducción de direcciones de red de origen)
Visión general
Use rutas de política para anular el comportamiento de enrutamiento predeterminado para enviar paquetes a través de la interfaz apropiada y / o túnel (s) VPN.
Tradicionalmente, el enrutamiento se basa únicamente en la dirección de destino y el USG / ATP toma la ruta más corta para reenviar un paquete. El enrutamiento de políticas IP proporciona un mecanismo para anular el comportamiento de enrutamiento predeterminado
y modifique el reenvío de paquetes según la política definida por el administrador de la red. El enrutamiento basado en políticas se aplica a los paquetes entrantes en una interfaz, antes del enrutamiento normal.
Reglas de enrutamiento
A continuación se presentan ejemplos de algunos de los escenarios más comunes.
Enrutamiento de tráfico interno a través de WAN específica
Dependiendo de su implementación, puede estar utilizando múltiples conexiones a Internet y múltiples redes internas (LAN1 e Invitado, por ejemplo). Para optimizar el rendimiento de las redes internas (LAN1), es posible que desee forzar este tráfico a través de la conexión a Internet más rápida y confiable mientras los invitados usan una conexión a Internet más lenta. Esto se puede lograr creando dos rutas de políticas, una para enviar el tráfico de LAN1 a través de la conexión rápida a Internet y la segunda para enviar el tráfico de invitados a través de la conexión más lenta.
Para este ejemplo, WAN1 es la conexión rápida y WAN2 es la conexión a Internet más lenta.
Nota: Marque la casilla "Deshabilitar ruta política automáticamente mientras el enlace de interfaz está inactivo" para que la ruta se deshabilite automáticamente, si la interfaz WAN configurada está inactiva para usar la otra interfaz WAN como respaldo.
Cree una segunda regla para la red Invitado (ya sea LAN2, DMZ, una interfaz de puente o VLAN) utilizando WAN2 para el Next-Hop.
Enrutar el tráfico a través de VPN
Lamentablemente, el USG / ATP solo puede enrutar una subred de red o un rango de direcciones IP consecutivas a través de la VPN. Si su red tiene 192.168.1.0/24, 172.16.0.0/24 y 10.0.0.0/24 como red
subredes y la necesidad de enrutar los tres a través de un túnel VPN, esto no sería posible en función de las limitaciones de VPN de USG / ATP.
Crear una ruta de política para enrutar el tráfico desde las otras redes locales a través del túnel VPN sería una solución alternativa. Se puede llegar a la red remota detrás de la VPN con esta ruta de política.
El siguiente ejemplo enrutará el tráfico desde la subred LAN2 destinada a la subred remota a través del túnel VPN especificado.
Nota: El otro lado también tiene que configurar una ruta para el camino de regreso.
Enrutamiento SNAT (traducción de direcciones de red de origen)
Si tiene múltiples direcciones IP públicas alquiladas por el proveedor de servicios de Internet y necesita que el servidor de correo envíe tráfico utilizando una de estas direcciones. Puede crear una ruta de política para enviar
todo el tráfico del servidor de correo sale de la WAN utilizando una IP pública específica del bloque arrendado.
Primero cree objetos de dirección para la dirección IP privada y la dirección IP pública del servidor de correo.
Puede crear los objetos en:
Configuration -> Object -> Address
Objeto de la IP pública para nuestro ejemplo
Objeto de la IP privada para nuestro ejemplo
Cree la ruta de la política de la siguiente manera:
DESCARGO DE RESPONSABILIDAD:
Estimado cliente, tenga en cuenta que utilizamos la traducción automática para proporcionar artículos en su idioma local. No todo el texto puede traducirse con precisión. Si hay preguntas o discrepancias sobre la precisión de la información en la versión traducida, revise el artículo original aquí: Versión original