Deze beleidsroutegids laat u zien hoe u kunt omgaan met routing op een USG / ATP. Het toont u voorbeelden van de meest voorkomende scenario's zoals SNAT, routeverkeer via een specifieke WAN-interface en routeverkeer via een VPN-tunnel.
1. Intern verkeer routeren via specifiek WAN
3. SNAT-routing (bronnetwerkadresvertaling)
Overzicht
Gebruik beleidsroutes om het standaardrouteringsgedrag te onderdrukken om pakketten via de juiste interface en / of VPN-tunnel (s) te verzenden.
Traditioneel is routing alleen gebaseerd op het bestemmingsadres en neemt de USG / ATP het kortste pad om een pakket door te sturen. IP-beleidsroutering biedt een mechanisme om het standaardrouteringsgedrag te overschrijven
en het doorsturen van pakketten wijzigen op basis van het beleid dat is gedefinieerd door de netwerkbeheerder. Op beleid gebaseerde routering wordt toegepast op inkomende pakketten op een interface, voorafgaand aan de normale routering.
Routing regels
Hieronder staan voorbeelden van enkele van de meest voorkomende scenario's.
Intern verkeer routeren via specifiek WAN
Afhankelijk van uw implementatie gebruikt u mogelijk meerdere internetverbindingen en meerdere interne netwerken (bijvoorbeeld LAN1 en Guest). Om de prestaties van de interne netwerken (LAN1) te optimaliseren, wilt u misschien dit verkeer via de snellere, meest betrouwbare internetverbinding dwingen terwijl gasten een langzamere internetverbinding gebruiken. Dit kan worden bereikt door twee beleidsroutes te maken, een om LAN1-verkeer via de snelle internetverbinding te verzenden en de tweede om het gastverkeer via de langzamere verbinding te verzenden.
Voor dit voorbeeld is WAN1 de snelle verbinding en WAN2 is de langzamere internetverbinding.
Opmerking: vink de optie "Beleidsroute automatisch uitschakelen terwijl interfacekoppeling omlaag" aan om de route automatisch uit te schakelen, als de geconfigureerde WAN-interface niet beschikbaar is om de andere WAN-interface als back-up te gebruiken.
Maak een tweede regel voor het gastnetwerk (of het nu LAN2, DMZ, een bridge-interface of VLAN is) met WAN2 voor de Next-Hop.
Routeverkeer via VPN
De USG / ATP kan helaas slechts één netwerksubnet of een reeks opeenvolgende IP-adressen via de VPN routeren. Als uw netwerk een 192.168.1.0/24, een 172.16.0.0/24 en een 10.0.0.0/24 als netwerk heeft
subnetten en alle drie door een VPN-tunnel moeten leiden, zou dit niet mogelijk zijn op basis van de VPN-beperkingen van de USG / ATP.
Het creëren van een beleidsroute om het verkeer van de andere lokale netwerken via de VPN-tunnel te routeren zou een oplossing zijn. Het externe netwerk achter de VPN kan worden bereikt met deze beleidsroute.
In het onderstaande voorbeeld wordt verkeer van het LAN2-subnet dat bestemd is voor het externe subnet door de opgegeven VPN-tunnel geleid.
Opmerking: de andere kant moet ook een route instellen voor de terugweg.
SNAT (Source Network Address Translation) Routing
Als u meerdere openbare IP-adressen hebt gehuurd door de internetprovider en u de mailserver nodig hebt om verkeer te verzenden met behulp van een van deze adressen. U kunt een beleidsroute maken om te verzenden
al het verkeer van de mailserver via het WAN met behulp van een specifiek openbaar IP-adres van het geleasde blok.
Maak eerst adresobjecten voor het privé-IP-adres en het openbare IP-adres van de mailserver.
U kunt de objecten maken onder:
Configuration -> Object -> Address
Object van het openbare IP-adres voor ons voorbeeld
Object van het privé-IP voor ons voorbeeld
Maak de beleidsroute als volgt: