Denna policyvägguide visar hur du hanterar routing på en USG / ATP. Det visar dig exempel på de vanligaste scenarierna som SNAT, ruttrafik genom ett specifikt WAN-gränssnitt och ruttrafik genom en VPN-tunnel.
1. Dirigera intern trafik genom specifik WAN
3. Routning av SNAT (Source Network Address Translation)
Översikt
Använd policyvägar för att åsidosätta standardrutningsbeteendet för att skicka paket genom lämpligt gränssnitt och / eller VPN-tunnel (er).
Traditionellt baseras routing endast på destinationsadressen och USG / ATP tar den kortaste vägen för att vidarebefordra ett paket. IP Policy Routing tillhandahåller en mekanism för att åsidosätta standardrutingsbeteendet
och ändra paket vidarebefordran baserat på policyn definierad av nätverksadministratören. Policybaserad routing tillämpas på inkommande paket i ett gränssnitt före den normala routingen.
Ruttningsregler
Nedan följer exempel på några av de vanligaste scenarierna.
Dirigera intern trafik genom specifik WAN
Beroende på din implementering kanske du använder flera internetanslutningar och flera interna nätverk (LAN1 och Gäst till exempel). För att optimera prestandan för interna nätverk (LAN1) kanske du vill tvinga denna trafik genom den snabbare och mest pålitliga internetuppkopplingen medan gästen använder en långsammare internetuppkoppling. Detta kan uppnås genom att skapa två policyrutter, en för att skicka LAN1: s trafik via den snabba internetuppkopplingen och den andra för att skicka gästtrafiken ut från den långsammare anslutningen.
I det här exemplet är WAN1 den snabba anslutningen och WAN2 är den långsammare internetuppkopplingen.
Obs: Kontrollera "Avaktivera policyrutten automatiskt medan gränssnittet länk ner" för att få rutten att inaktiveras automatiskt, om det konfigurerade WAN-gränssnittet är nere för att använda det andra WAN-gränssnittet som säkerhetskopia.
Skapa en andra regel för Gästnätverket (vare sig det är LAN2, DMZ, ett brygggränssnitt eller VLAN) med WAN2 för Next-Hop.
Rutt trafik genom VPN
USG / ATP kan tyvärr bara dirigera ett nätverksundernät eller en rad på varandra följande IP-adresser via VPN. Om ditt nätverk har en 192.168.1.0/24, en 172.16.0.0/24 och en 10.0.0.0/24 som nätverk
subnät och behöver dirigera alla tre genom en VPN-tunnel, detta skulle inte vara möjligt baserat på VPN-begränsningarna för USG / ATP.
Att skapa en policyväg för att dirigera trafiken från andra lokala nätverk genom VPN-tunneln skulle vara en lösning. Det fjärranslutna nätverket bakom VPN kan nås med denna policyväg.
Exemplet nedan dirigerar trafik från LAN2-subnätet som är avsett för fjärrundernätet genom den angivna VPN-tunneln.
Obs: Den andra sidan måste också ställa in en rutt för vägen tillbaka.
SNAT-routing (Source Network Address Translation)
Om du har flera offentliga IP-adresser hyrda av internetleverantören och du behöver e-postservern för att skicka ut trafik med en av dessa adresser. Du kan skapa en policyrutt att skicka
all trafik från postservern via WAN med hjälp av en specifik offentlig IP för det hyrda blocket.
Skapa först adressobjekt för den privata IP-adressen och den offentliga IP-adressen för postservern.
Du kan skapa objekten under:
Configuration -> Object -> Address
Syftet med den offentliga IP för vårt exempel
Syftet med den privata IP för vårt exempel
Skapa policyvägen enligt följande: