Questa guida ai criteri ti mostrerà come gestire il routing su un USG / ATP. Ti mostrerà esempi degli scenari più comuni come SNAT, instradare il traffico attraverso una specifica interfaccia WAN e instradare il traffico attraverso un tunnel VPN.
1. Instradamento del traffico interno tramite WAN specifica
2. Instradare il traffico tramite VPN
3. Routing SNAT (Source Network Translation Translation)
Panoramica
Utilizzare le route dei criteri per sovrascrivere il comportamento di routing predefinito al fine di inviare pacchetti attraverso l'interfaccia e / oi tunnel VPN appropriati.
Tradizionalmente, il routing si basa solo sull'indirizzo di destinazione e USG / ATP utilizza il percorso più breve per inoltrare un pacchetto. IP Policy Routing fornisce un meccanismo per sovrascrivere il comportamento di routing predefinito
e modificare l'inoltro di pacchetti in base alla politica definita dall'amministratore di rete. Il routing basato su criteri viene applicato ai pacchetti in entrata su un'interfaccia, prima del routing normale.
Regole di routing
Di seguito sono riportati alcuni esempi per alcuni degli scenari più comuni.
Instradamento del traffico interno tramite WAN specifica
A seconda dell'implementazione, è possibile che si stiano utilizzando più connessioni Internet e più reti interne (ad esempio LAN1 e Guest). Per ottimizzare le prestazioni delle reti interne (LAN1) potresti voler forzare questo traffico attraverso la connessione Internet più veloce e affidabile mentre gli ospiti utilizzano una connessione Internet più lenta. Ciò può essere ottenuto creando due percorsi di policy, uno per inviare il traffico LAN1 alla connessione Internet veloce e il secondo per inviare il traffico guest alla connessione più lenta.
Per questo esempio WAN1 è la connessione veloce e WAN2 è la connessione Internet più lenta.
Nota: selezionare "Disabilita route politica automaticamente mentre il collegamento dell'interfaccia è inattivo" per disattivare automaticamente la route, se l'interfaccia WAN configurata è inattiva per utilizzare l'altra interfaccia WAN come backup.
Crea una seconda regola per la rete Guest (sia essa LAN2, DMZ, un'interfaccia bridge o VLAN) usando WAN2 per il Next-Hop.
Instradare il traffico tramite VPN
L'USG / ATP purtroppo può instradare solo una sottorete di rete o un intervallo di indirizzi IP consecutivi attraverso la VPN. Se la tua rete ha un 192.168.1.0/24, un 172.16.0.0/24 e un 10.0.0.0/24 come rete
sottoreti e devono instradare tutti e tre attraverso un tunnel VPN, ciò non sarebbe possibile in base ai limiti VPN di USG / ATP.
La creazione di un percorso di policy per instradare il traffico dalle altre reti locali attraverso il tunnel VPN sarebbe una soluzione alternativa. La rete remota dietro la VPN può essere raggiunta con questo percorso di politica.
L'esempio seguente indirizzerà il traffico dalla sottorete LAN2 destinata alla sottorete remota attraverso il tunnel VPN specificato.
Nota: anche l'altra parte deve impostare un percorso per il ritorno.
Routing SNAT (Source Network Translation Translation)
Se si dispone di più indirizzi IP pubblici noleggiati dal provider di servizi Internet e è necessario che il server di posta invii il traffico utilizzando uno di questi indirizzi. È possibile creare una route politica da inviare
tutto il traffico dal server di posta in uscita dalla WAN utilizzando un IP pubblico specifico del blocco noleggiato.
Innanzitutto creare oggetti indirizzo per l'indirizzo IP privato e l'indirizzo IP pubblico del server di posta.
Puoi creare gli oggetti sotto:
Configuration -> Object -> Address
Oggetto dell'IP pubblico per il nostro esempio
Oggetto dell'IP privato per il nostro esempio
Creare la route della politica come segue:
NOTA BENE:
Gentile cliente, tieni presente che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo può essere tradotto accuratamente. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, consultare l'articolo originale qui: Versione originale