Ce guide Policy Route vous montrera comment gérer le routage sur un USG / ATP. Il vous montrera des exemples des scénarios les plus courants comme SNAT, acheminer le trafic via une interface WAN spécifique et acheminer le trafic via un tunnel VPN.
1. Acheminement du trafic interne via un réseau étendu spécifique
2. Acheminer le trafic via VPN
3. Routage SNAT (Source Network Address Translation)
Aperçu
Utilisez des routes de stratégie pour remplacer le comportement de routage par défaut afin d'envoyer des paquets via l'interface et / ou les tunnels VPN appropriés.
Traditionnellement, le routage est basé uniquement sur l'adresse de destination et l'USG / ATP prend le chemin le plus court pour transmettre un paquet. Le routage de stratégie IP fournit un mécanisme pour remplacer le comportement de routage par défaut
et modifier le transfert de paquets en fonction de la politique définie par l'administrateur réseau. Le routage basé sur des règles est appliqué aux paquets entrants sur une interface, avant le routage normal.
Règles de routage
Vous trouverez ci-dessous des exemples de certains des scénarios les plus courants.
Acheminement du trafic interne via un réseau étendu spécifique
Selon votre implémentation, vous pouvez utiliser plusieurs connexions Internet et plusieurs réseaux internes (LAN1 et Guest par exemple). Pour optimiser les performances des réseaux internes (LAN1), vous souhaiterez peut-être forcer ce trafic via la connexion Internet la plus rapide et la plus fiable pendant que les clients utilisent une connexion Internet plus lente. Ceci peut être réalisé en créant deux routes de stratégie, une pour envoyer le trafic LAN1 hors de la connexion Internet rapide et la seconde pour envoyer le trafic invité sur la connexion plus lente.
Pour cet exemple, WAN1 est la connexion rapide et WAN2 est la connexion Internet plus lente.
Remarque: Cochez la case «Désactiver automatiquement la route de stratégie lorsque le lien d'interface est désactivé» pour que la route soit désactivée automatiquement, si l'interface WAN configurée est arrêtée pour utiliser l'autre interface WAN comme sauvegarde.
Créez une deuxième règle pour le réseau invité (que ce soit LAN2, DMZ, une interface de pont ou VLAN) en utilisant WAN2 pour le tronçon suivant.
Acheminer le trafic via VPN
L'USG / ATP ne peut malheureusement acheminer qu'un seul sous-réseau du réseau ou une plage d'adresses IP consécutives via le VPN. Si votre réseau a un 192.168.1.0/24, un 172.16.0.0/24 et un 10.0.0.0/24 comme réseau
sous-réseaux et doivent acheminer les trois à travers un tunnel VPN, cela ne serait pas possible sur la base des limitations VPN de l'USG / ATP.
La création d'une route de stratégie pour acheminer le trafic à partir des autres réseaux locaux via le tunnel VPN serait une solution de contournement. Le réseau distant derrière le VPN peut être atteint avec cette route de stratégie.
L'exemple ci-dessous achemine le trafic du sous-réseau LAN2 destiné au sous-réseau distant via le tunnel VPN spécifié.
Remarque: L'autre côté doit également définir un itinéraire pour le retour.
Routage SNAT (Source Network Address Translation)
Si vous avez plusieurs adresses IP publiques louées par le fournisseur de services Internet et que vous avez besoin du serveur de messagerie pour envoyer du trafic en utilisant l'une de ces adresses. Vous pouvez créer une route de stratégie à envoyer
tout le trafic provenant du serveur de messagerie sur le WAN en utilisant une adresse IP publique spécifique du bloc loué.
Créez d'abord des objets d'adresse pour l'adresse IP privée et l'adresse IP publique du serveur de messagerie.
Vous pouvez créer les objets sous:
Configuration -> Object -> Address
Objet de l'IP publique pour notre exemple
Objet de l'IP privée pour notre exemple
Créez l'itinéraire de stratégie comme suit:
AVERTISSEMENT:
Cher client, sachez que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Tous les textes peuvent ne pas être traduits avec précision. S'il y a des questions ou des divergences sur l'exactitude des informations dans la version traduite, veuillez consulter l'article original ici: Version originale