Denne retningslinjen viser deg hvordan du håndterer ruting på en USG / ATP. Den vil vise deg eksempler på de vanligste bruksområdene som SNAT, rutetrafikk gjennom et spesifikt WAN-grensesnitt og rutetrafikk gjennom en VPN-tunnel.
1. Ruting intern trafikk gjennom spesifikk WAN
3. SNAT (Source Network Address Translation) ruting
Oversikt
Bruk retningslinjer for å overstyre standard ruting atferd for å sende pakker gjennom riktig grensesnitt og / eller VPN-tunnel (er).Tradisjonelt er ruting kun basert på destinasjonsadressen, og USG / ATP tar den korteste veien for å videresende en pakke. IP Policy Routing gir en mekanisme for å overstyre standard ruting atferd og endre pakkevideresending basert på retningslinjene som er definert av nettverksadministratoren. Retningslinjebasert ruting brukes på innkommende pakker på et grensesnitt, før den normale rutingen.
Regler for ruting
Nedenfor er eksempler på noen av de vanligste scenariene.
Ruting intern trafikk gjennom spesifikk WAN
Avhengig av implementeringen din, kan det være at du bruker flere internettforbindelser og flere interne nettverk (LAN1 og Gjest for eksempel). For å optimalisere ytelsen til interne nettverk (LAN1) kan det være lurt å tvinge denne trafikken gjennom den raskeste og mest pålitelige internettforbindelsen mens gjestene bruker en tregere internettforbindelse. Dette kan oppnås ved å lage to retningslinjer, en for å sende LAN1s trafikk ut av den raske internettforbindelsen og den andre for å sende gjestetrafikken ut av den langsommere forbindelsen.
For dette eksempelet er WAN1 den raske tilkoblingen, og WAN2 er den tregere internettforbindelsen.
Merk: Sjekk "Deaktiver policyrute automatisk mens grensesnittkoblingen er nede" for å få ruten deaktivert automatisk, hvis det konfigurerte WAN-grensesnittet er nede for å bruke det andre WAN-grensesnittet som sikkerhetskopi.
Lag en andre regel for Gjestenettverket (enten det er LAN2, DMZ, et brogrensesnitt eller VLAN) ved å bruke WAN2 for Next-Hop.
Rute trafikk gjennom VPN
USG / ATP kan dessverre bare rute ett nettverksundernett eller en rekke fortløpende IP-adresser gjennom VPN. Hvis nettverket ditt har en 192.168.1.0/24, en 172.16.0.0/24 og en 10.0.0.0/24 som nettverks undernett og trenger å rute alle tre gjennom en VPN-tunnel, ville dette ikke være mulig basert på VPN-begrensningene for USG / ATP. Å lage en retningslinje for å dirigere trafikken fra de andre lokale nettverk gjennom VPN-tunnelen ville være en løsning. Det eksterne nettverket bak VPN kan nås med denne retningslinjen.
Eksemplet nedenfor vil rute trafikk fra LAN2-undernettet som er bestemt for det eksterne undernettet gjennom den spesifiserte VPN-tunnelen.
Merk: Den andre siden må også sette opp en rute for veien tilbake.
SNAT (Source Network Address Translation) ruting
Hvis du har flere offentlige IP-adresser fra internettleverandøren, og du har bruk for at e-postserveren sender ut trafikk ved hjelp av en av disse adressene. Du kan opprette en retningslinje for å sende all trafikk fra e-postserveren ut via WAN ved hjelp av en spesifikk offentlig IP for den spesifikke blokken. Opprett først adresseobjekter for den private IP-adressen og den offentlige IP-adressen til e-postserveren.
Du kan opprette objektene under:
Configuration -> Object -> Address
Objekt for offentlig IP for eksempel
Objekt for den private IP-en for vårt eksempel
Opprett retningslinjen som følger: