Våre brannmurer/gatewayer tilbyr mange forskjellige måter å manipulere rutingen av pakkene i hele nettverket. En av dem er statiske ruter, og spesielt når man sammenligner den statiske rutingen med "policy-ruter", er det ofte en viss forvirring om hva statiske ruter er, og spesielt når de skal brukes.
Forutsetning
Selv om denne artikkelen ikke handler om policy-ruter, må vi om kort tid se nærmere på konseptet deres: med policy-ruter har du muligheten til å forme ruter på en veldig spesifikk måte, ved å definere parametere for når rutingen skal brukes, for eksempel den innkommende ruten. grensesnitt, kilde-IP, destinasjons-IP osv.
I utgangspunktet definerer du alle disse parameterne og bestemmer deg for en såkalt "Next-Hop" - dette kan være en VPN-tunnel, et spesifikt WAN-grensesnitt osv. - slik kan et eksempel se ut:
Her sier vi at i tilfelle LAN-undernettet vårt ønsker å få tilgang til 8.8.8.8, skyver vi den trafikken gjennom en VPN-tunnel.
Så det er i seg selv en veldig effektiv og presis måling når det kommer til ruting - så hvorfor skulle vi trenge noen annen rutingmekanisme?
Statiske ruter - Forklaring og eksempel
Statiske ruter har en stor fordel i forhold til policy-ruter – de er enkle og rett på sak å konfigurere. Men de har en veldig spesifikk egenskap - de er kildeuavhengige . Dette betyr at du veldig fint kan definere universelt avtalte rutinger i nettverket ditt siden du ikke trenger å definere en kilde hvor pakkene kommer fra som skal bruke den ruten. En annen forskjell er at policy-rutene fungerer på en syklisk måte, starter med den første oppføringen og deretter jobbe seg helt til bunnen, mens statiske ruter bruker metriske og kostnadsberegninger.
Statiske ruter konfigureres via:
Configuration > Network > Routing > Static Route (Tab)
- Destinasjons-IP : Definer nettverksadressen til subnettet du ønsker å nå
- Nettverksmaske : Skriv inn nettverksmasken til destinasjonen du vil nå
- Gateway IP/grensesnitt : Velg enten et grensesnitt som skal brukes eller definer en Gateway IP - eksemplet vil forhåpentligvis gi mer innsikt i hva du skal skrive inn her
- Metrikk : Definer prioriteten til regelen ved å angi metrikken. Beregningen er en verdi som angir prioriteten den vil bli valgt i sammenlignet med andre ruter med samsvarende kriterier
Det store spørsmålet er: Når bør du bruke Static Routes over Policy Routes?
Merk : Selv om eksemplet vi vil vise frem også kan oppnås med policy-ruter, er det viktig å påpeke at de statiske rutene drar nytte av deres enkle og ukompliserte oppsett. Å gjøre det samme i en policy-rute ville ende opp med å lage flere objekter for sammenkobling innenfor policy-ruten.
Se for deg denne topologien:
Tenk deg at du vil at klientene fra subnettet ditt skal kunne kommunisere med LAN2-undernettet til ruteren på høyre side. Som standard vil enhver henvendelse fra LAN1-undernettet til USG FLEX 200 som når ut til 192.168.200.X/24 vanligvis videresendes ut av WAN-Port til USG FLEX, fordi 192.168.2400.X som standard er en/2400.X IP-undernett utenfor rekkevidden til ethvert LAN til USG FLEX.
Du kan imidlertid oppnå ønsket resultat ved å sette opp denne statiske ruten:
I utgangspunktet sier vi "Hvis en kilde ønsker å nå destinasjonsundernett 192.168.200.0/24, flytt trafikken til gatewayen med IP 192.168.1.250". Via direkteruter i USG FLEX og en ARP-forespørsel innenfor LAN vil det etter hvert bli funnet ut at tredjepartsruteren har IP 192.168.1.250 og dermed blir trafikken videresendt.
Vær imidlertid oppmerksom på at for at dette skal fungere, trenger tredjepartsruteren rutinger og brannmurpolicyer på plass for å la denne trafikken også passere!
Når dette er gjort skal den statiske ruten fungere - i tilfelle du lurer på hva som skjer på vei tilbake, så få beskjed om at dette håndteres av Direct Routes - dette er også kildeuavhengige ruter, som videresende trafikk ment for den interne LAN til USG FLEX til det respektive grensesnittet og opprettes automatisk når du oppretter et grensesnitt.
Til slutt kan vi bekrefte at den statiske ruten vi opprettet faktisk fant sted gjennom pakkeflytutforskingsmenyen via
Maintenance > Packet Flow Explore
ANSVARSFRASKRIVELSE:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Ikke all tekst kan oversettes nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, vennligst les den originale artikkelen her: Originalversjon
Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.