Onze firewalls/gateways bieden veel verschillende manieren om de routering van de pakketten door uw netwerk te manipuleren. Een daarvan is statische routes, en vooral wanneer de statische routering wordt vergeleken met "beleidsroutes", is er vaak enige verwarring over wat statische routes zijn, en vooral wanneer ze moeten worden gebruikt.
Eerste vereiste
Hoewel dit artikel niet over Beleidsroutes gaat, moeten we binnenkort afdwalen in het uitleggen van hun concept: met beleidsroutes heb je de mogelijkheid om routes op een heel specifieke manier vorm te geven, door parameters te definiëren over wanneer de routering moet worden gebruikt, zoals de inkomende interface, bron-IP, bestemmings-IP enz.
In principe definieert u al deze parameters en beslist u vervolgens over een zogenaamde "Next-Hop" - dit kan een VPN-tunnel zijn, een specifieke WAN-interface enz. - zo zou een voorbeeld eruit kunnen zien:
Hier stellen we dat als ons LAN-subnet toegang wil tot 8.8.8.8, we dat verkeer door een VPN-tunnel duwen.
Dus dat is op zich een zeer efficiënte en nauwkeurige meting als het gaat om routering - dus waarom zouden we een ander routeringsmechanisme nodig hebben?
Statische routes - uitleg en voorbeeld
Statische routes hebben een groot voordeel ten opzichte van beleidsroutes - ze zijn eenvoudig en direct te configureren. Maar ze hebben een heel specifiek kenmerk: ze zijn brononafhankelijk . Dit betekent dat je heel mooi universeel overeengekomen routeringen in je netwerk kunt definiëren, omdat je geen bron hoeft te definiëren waar de pakketten vandaan komen die die route moeten gebruiken. Een ander verschil is dat de beleidsroutes op een cyclische manier werken, beginnend met de eerste invoer en dan helemaal naar beneden werken, terwijl statische routes gebruik maken van metrische en kostenberekening.
Statische routes worden geconfigureerd via:
Configuration > Network > Routing > Static Route (Tab)
- Bestemmings-IP : definieer het netwerkadres van uw subnet dat u wilt bereiken
- Subnetmasker : voer het subnetmasker in van de bestemming die u wilt bereiken
- Gateway IP/Interface : kies een interface die moet worden gebruikt of definieer een Gateway IP - het voorbeeld geeft hopelijk meer inzicht in wat u hier moet invoeren
- Metriek : definieer de prioriteit van de regel door de metriek in te voeren. De metriek is een waarde die de prioriteit bepaalt waarin deze wordt gekozen in vergelijking met andere routes met overeenkomende criteria
De grote vraag is: wanneer moet je statische routes gebruiken in plaats van beleidsroutes?
Opmerking : hoewel het voorbeeld dat we zullen laten zien ook kan worden bereikt door beleidsroutes, is het belangrijk om aan te geven dat de statische routes profiteren van hun eenvoudige en ongecompliceerde opzet. Hetzelfde doen in een beleidsroute zou uiteindelijk leiden tot het creëren van meerdere objecten om binnen de beleidsroute met elkaar te verbinden.
Stel je deze topologie voor:
Stel je voor, je wilt dat de clients van je subnet kunnen communiceren met het LAN2 Subnet van de router aan de rechterkant. Standaard wordt elke aanvraag van het LAN1-subnet van de USG FLEX 200 die contact opneemt met 192.168.200.X/24 gewoonlijk doorgestuurd vanuit de WAN-Port van USG FLEX, omdat 192.168.200.X/24 standaard een IP-subnet buiten het bereik van elk LAN van de USG FLEX.
U kunt echter het gewenste resultaat bereiken door deze statische route in te stellen:
Kortom, we stellen: "Als een bron het bestemmingssubnet 192.168.200.0/24 wil bereiken, verplaats dan het verkeer naar de gateway met het IP-adres 192.168.1.250". Via directe routes in de USG FLEX en een ARP-request binnen LAN zal uiteindelijk blijken dat de third-party router IP 192.168.1.250 heeft en dus het verkeer wordt doorgestuurd.
Houd er echter rekening mee dat om dit te laten werken, de router van derden routering en firewallbeleid nodig heeft om dit verkeer ook door te laten!
Als dit eenmaal gedaan is, zou de statische route moeten werken - mocht je je afvragen wat er op de terugweg gebeurt, informeer dan dat dit wordt afgehandeld door Direct Routes - dit zijn ook brononafhankelijke routes, waarbij voorwaarts verkeer bedoeld is voor de interne LAN's van de USG FLEX naar de betreffende interface en worden automatisch aangemaakt bij het aanmaken van een interface.
Uiteindelijk kunnen we verifiëren dat de statische route die we hebben gemaakt, daadwerkelijk plaatsvond via het menu voor het verkennen van de pakketstroom via
Maintenance > Packet Flow Explore
VRIJWARING:
Geachte klant, houd er rekening mee dat we machinevertaling gebruiken om artikelen in uw lokale taal aan te bieden. Niet alle tekst is mogelijk nauwkeurig vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, lees dan het originele artikel hier: Originele versie
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.