W niniejszym przewodniku dotyczącym Policy Route pokażemy, jak obsługiwać routing na USG / ATP. Pokażemy przykłady najczęstszych scenariuszy, takich jak SNAT, kierowanie ruchu przez określony interfejs WAN oraz przez tunel VPN.
1. Przekierowywanie ruchu wewnętrznego przez określony interfejs WAN
2. Kierowanie ruchu do tunelu VPN
3. Routing SNAT (Source Network Address Translation)
Przegląd
Użyj funkcji Policy Route, aby zastąpić domyślne zachowanie routingu w celu wysyłania pakietów przez odpowiedni interfejs i / lub tunele VPN.
Tradycyjnie routing opiera się wyłącznie na adresie docelowym, a USG / ATP wybiera najkrótszą ścieżkę do przekazania pakietu. Policy Routing zapewnia mechanizm zastępujący domyślne zachowanie routingu
i zmienia sposób przekazywania pakietów na podstawie zasad określonych przez administratora sieci. Routing oparty na zasadach jest stosowany do przychodzących pakietów w interfejsie przed normalnym routingiem.
Reguły routingu
Poniżej znajdują się przykłady niektórych z najczęstszych scenariuszy.
Kierowanie ruchu wewnętrznego przez określony interfejs WAN
W zależności od implementacji możesz używać wielu połączeń internetowych i wielu sieci wewnętrznych (na przykład LAN1 i Guest). Aby zoptymalizować wydajność sieci wewnętrznych (LAN1), możesz wymusić ich ruch wychodzący przez najszybsze, najbardziej niezawodne połączenie internetowe, podczas gdy gość korzysta z wolniejszego połączenia. Można to osiągnąć, tworząc dwie reguły routingu, jedną do wysyłania ruchu LAN1 przez szybsze połączenie internetowe, a drugą do wysyłania ruchu gościa, korzystając z wolniejszego łącza.
W tym przykładzie WAN1 to szybkie łącze, a WAN2 - wolniejsze.
Uwaga: Zaznacz pole „Disable policy route automatically while Interface link down”, aby automatycznie wyłączyć tę regułę, jeśli skonfigurowany interfejs WAN jest wyłączony, aby użyć drugiego interfejsu WAN jako łącza zapasowego.
Utwórz drugą regułę dla sieci gości (bez względu na to, czy będzie to LAN2, DMZ, interfejs bridge czy VLAN), używając WAN2 do następnego przeskoku.
Kierowanie ruchu do tunelu VPN
USG / ATP może łączyć tylko jedną podsieć lub zakres kolejnych adresów IP przez VPN. Jeśli Twoja lokalna sieć ma adresacje 192.168.1.0/24, 172.16.0.0/24 oraz 10.0.0.0/24 oraz wszystkie trzy podsieci muszą być przesyłane przez przez tunel VPN, wówczas nie byłoby to możliwe w oparciu o ograniczenia VPN USG / ATP.
Obejściem może być konfiguracja oparta o reguły Policy Route do kierowania ruchu do VPN.
Poniższy przykład przekieruje ruch z podsieci LAN2 adresowany do zdalnej podsieci przez określony tunel VPN.
Uwaga: druga strona musi również wyznaczyć trasę do powrotu.
Routig SNAT (Source Network Address Translation)
Jeśli masz wiele publicznych adresów IP dzierżawionych przez dostawcę usług internetowych i potrzebujesz serwera pocztowego do wysyłania ruchu przy użyciu jednego z tych adresów, to wówczas możesz w tym celu utworzyć odpowiednią regułę Policy Route.
Najpierw utwórz obiekty adresowe dla prywatnego i publicznego adresu IP serwera pocztowego.
Możesz tworzyć obiekty w:
Configuration -> Object -> Address
Obiekt publicznego adresu IP dla naszego przykładu
Obiekt prywatnego adresu IP dla naszego przykładu
Utwórz regułę Policy Routei w następujący sposób: