Naše brány firewall/brány ponúkajú mnoho rôznych spôsobov, ako manipulovať so smerovaním paketov vo vašej sieti. Jednou z nich sú statické cesty a najmä pri porovnaní statického smerovania s „cestami politiky“ často dochádza k nejasnostiam v tom, čo sú statické cesty a najmä kedy ich použiť.
Predpoklad
Aj keď tento článok nie je o smerovaní politiky, v krátkom čase musíme odbočiť k vysvetleniu ich konceptu: s cestami politiky máte možnosť tvarovať cesty veľmi špecifickým spôsobom, pričom definujete parametre, kedy sa má smerovanie použiť, ako napríklad prichádzajúce rozhranie, zdrojová IP, cieľová IP atď.
V podstate definujete všetky tieto parametre a potom sa rozhodnete pre takzvaný „Next-Hop“ – môže to byť VPN tunel, špecifické WAN rozhranie atď. – takto môže vyzerať príklad:
Tu uvádzame, že v prípade, že naša LAN-Subnet chce mať prístup k 8.8.8.8, pretlačíme túto prevádzku cez VPN tunel.
Takže to je samo o sebe veľmi efektívne a presné meranie, pokiaľ ide o smerovanie – tak prečo by sme potrebovali iný mechanizmus smerovania?
Statické trasy - vysvetlenie a príklad
Statické trasy majú veľkú výhodu oproti politickým trasám – dajú sa jednoducho a priamo k bodu konfigurovať. Majú však veľmi špecifický atribút - sú nezávislé od zdroja . To znamená, že môžete veľmi pekne definovať univerzálne dohodnuté smerovanie vo vašej sieti, pretože nemusíte definovať zdroj, odkiaľ pakety prichádzajú, ktorý by mal túto cestu využívať. Ďalším rozdielom je, že politické cesty fungujú cyklickým spôsobom, počnúc prvým vstupom a potom pokračujú až úplne nadol, zatiaľ čo statické cesty využívajú metrický a nákladový výpočet.
Statické trasy sa konfigurujú pomocou:
Configuration > Network > Routing > Static Route (Tab)
- Cieľová IP : Definujte sieťovú adresu vašej podsiete, ktorú chcete dosiahnuť
- Maska podsiete : Zadajte masku podsiete cieľa, ktorý chcete dosiahnuť
- Gateway IP/rozhranie : Buď si vyberte rozhranie, ktoré by sa malo použiť, alebo definujte Gateway IP - príklad snáď poskytne viac informácií o tom, čo sem zadať
- Metrika : definujte prioritu pravidla zadaním metriky. Metrika je hodnota určujúca prioritu, v ktorej sa bude vyberať v porovnaní s inými trasami so zodpovedajúcimi kritériami
Veľká otázka znie: Kedy by ste mali používať statické smerovanie pred cestami zásad?
Poznámka : Aj keď príklad, ktorý ukážeme, možno dosiahnuť aj cestami politiky, je dôležité zdôrazniť, že statické cesty ťažia z ich jednoduchého a nekomplikovaného nastavenia. Ak by ste urobili to isté v politickej trase, skončilo by to vytvorením viacerých objektov na prepojenie v rámci politickej trasy.
Predstavte si túto topológiu:
Predstavte si, že chcete, aby klienti z vašej podsiete mohli komunikovať do podsiete LAN2 smerovača na pravej strane. V predvolenom nastavení sa akýkoľvek dopyt z podsiete LAN1 USG FLEX 200, ktorý siaha do 192.168.200.X/24, zvyčajne preposiela z WAN-Port USG FLEX, pretože 192.168.200.X/24 je štandardne IP-podsieť mimo dosahu akejkoľvek LAN USG FLEX.
Požadovaný výsledok však môžete dosiahnuť nastavením tejto statickej trasy:
V podstate hovoríme: „Ak chce nejaký zdroj dosiahnuť cieľovú podsieť 192.168.200.0/24, presuňte prevádzku na bránu s IP 192.168.1.250“. Priamymi cestami v USG FLEX a požiadavkou ARP v rámci LAN sa nakoniec zistí, že smerovač tretej strany má IP 192.168.1.250 a teda bude prevádzka presmerovaná.
Upozorňujeme však, že na to, aby to fungovalo, musí smerovač tretej strany zaviesť pravidlá smerovania a brány firewall, ktoré umožnia prechod aj tejto prevádzke!
Keď to urobíte, statická trasa by mala fungovať - v prípade, že vás zaujíma, čo sa stane na ceste späť, buďte informovaní, že to riešia priame cesty - sú to tiež cesty nezávislé od zdroja, ktoré smerujúcu premávku znamenali pre interné LAN siete USG FLEX k príslušnému rozhraniu a sú automaticky vytvorené pri vytváraní rozhrania.
Nakoniec môžeme overiť, že statická cesta, ktorú sme vytvorili, sa skutočne uskutočnila prostredníctvom ponuky preskúmania toku paketov cez
Maintenance > Packet Flow Explore
ZRIEKNUTIE SA ZODPOVEDNOSTI:
Vážený zákazník, uvedomte si, že na poskytovanie článkov vo vašom miestnom jazyku používame strojový preklad. Nie všetky texty môžu byť preložené presne. Ak existujú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si pôvodný článok tu: Pôvodná verzia
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.