I nostri firewall/gateway offrono molti modi diversi per manipolare l'instradamento dei pacchetti attraverso la rete. Uno di questi sono le route statiche e, in particolare, confrontando il routing statico con le "policy route", c'è spesso un po' di confusione su quali siano le route statiche e soprattutto quando utilizzarle.
Prerequisito
Sebbene questo articolo non riguardi le policy route, dobbiamo brevemente divagare nello spiegare il loro concetto: con policy route, hai la possibilità di modellare le rotte in un modo molto specifico, definendo parametri su quando l'instradamento dovrebbe essere utilizzato, come l'incoming interfaccia, IP di origine, IP di destinazione ecc.
Fondamentalmente, definisci tutti questi parametri e poi decidi su un cosiddetto "Next-Hop" - questo potrebbe essere un tunnel VPN, un'interfaccia WAN specifica ecc. - ecco come potrebbe apparire un esempio:
Qui, stiamo affermando che nel caso in cui la nostra sottorete LAN voglia accedere a 8.8.8.8, inviamo quel traffico attraverso un tunnel VPN.
Quindi questa è di per sé una misurazione molto efficiente e precisa quando si tratta di routing - quindi perché avremmo bisogno di un altro meccanismo di routing?
Percorsi statici - Spiegazione ed esempio
Le route statiche offrono un grande vantaggio rispetto alle route policy: sono semplici e vanno direttamente al punto da configurare. Ma hanno un attributo molto specifico: sono indipendenti dalla fonte . Ciò significa che puoi definire molto bene i percorsi universalmente concordati nella tua rete poiché non devi definire una fonte da cui provengono i pacchetti che dovrebbe utilizzare quella rotta. Un'altra differenza è che i percorsi delle politiche funzionano in modo ciclico, a partire dalla prima voce e poi fino in fondo, mentre i percorsi statici utilizzano metriche e calcoli dei costi.
I percorsi statici sono configurati tramite:
Configuration > Network > Routing > Static Route (Tab)
- IP di destinazione : definire l'indirizzo di rete della sottorete che si desidera raggiungere
- Subnet Mask : inserire la subnet mask della destinazione che si desidera raggiungere
- Gateway IP/Interface : scegli un'interfaccia da utilizzare o definisci un Gateway IP - si spera che l'esempio dia maggiori informazioni su cosa inserire qui
- Metrica : definire la priorità della regola immettendo la metrica. La metrica è un valore che definisce la priorità in cui verrà scelta rispetto ad altri percorsi con criteri di corrispondenza
La grande domanda è: quando dovresti usare le route statiche rispetto alle policy route?
Nota : anche se l'esempio che mostreremo può essere raggiunto anche tramite policy route, è importante sottolineare che le route statiche beneficiano della loro configurazione semplice e senza complicazioni. Fare lo stesso in una policy route finirebbe per creare più oggetti da interconnettere all'interno della policy route.
Immagina questa topologia:
Immagina di volere che i client della tua sottorete siano in grado di comunicare con la sottorete LAN2 del router sul lato destro. Per impostazione predefinita, qualsiasi richiesta dalla sottorete LAN1 di USG FLEX 200 che raggiunge 192.168.200.X/24 viene solitamente inoltrata da WAN-Port di USG FLEX, perché 192.168.200.X/24 per impostazione predefinita è un Subnet IP fuori dalla portata di qualsiasi LAN dell'USG FLEX.
Tuttavia, puoi ottenere il risultato desiderato impostando questo percorso statico:
Fondamentalmente, stiamo affermando "Se una qualsiasi sorgente desidera raggiungere la subnet di destinazione 192.168.200.0/24, sposta il traffico al gateway con l'IP 192.168.1.250". Tramite percorsi diretti nell'USG FLEX e una richiesta ARP all'interno della LAN, si scoprirà alla fine che il router di terze parti ha l'IP 192.168.1.250 e quindi il traffico viene inoltrato.
Tieni presente, tuttavia, che affinché funzioni, il router di terze parti ha bisogno di routing e policy firewall in atto per consentire anche il passaggio di questo traffico!
Fatto ciò, la route statica dovrebbe funzionare - nel caso vi stiate chiedendo cosa succede sulla via del ritorno, informatevi che si tratta di Direct Routes - anche queste sono route indipendenti dalla sorgente, che inoltrano il traffico destinato al traffico interno Le LAN dell'USG FLEX alla rispettiva interfaccia e vengono create automaticamente durante la creazione di un'interfaccia.
Alla fine, possiamo verificare che il percorso statico che abbiamo creato abbia effettivamente avuto luogo attraverso il menu di esplorazione del flusso di pacchetti tramite
Maintenance > Packet Flow Explore
DISCLAIMER:
Gentile cliente, tieni presente che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo può essere tradotto accuratamente. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, rivedere l'articolo originale qui: Versione originale
Commenti
0 commentiAccedi per aggiungere un commento.