Våra brandväggar/gateways erbjuder många olika sätt att manipulera routningen av paketen i hela ditt nätverk. En av dem är statiska rutter, och speciellt om man jämför den statiska ruttningen med "policyrutter", finns det ofta en viss förvirring om vad statiska rutter är, och speciellt när de ska användas.
Nödvändig förutsättning
Även om den här artikeln inte handlar om policyrutter, måste vi inom kort gå ut och förklara deras koncept: med policyrutter har du möjlighet att forma rutter på ett mycket specifikt sätt, definiera parametrar för när routingen ska användas, till exempel den inkommande gränssnitt, käll-IP, destinations-IP etc.
I grund och botten definierar du alla dessa parametrar och bestämmer dig sedan för en så kallad "Next-Hop" - detta kan vara en VPN-tunnel, ett specifikt WAN-gränssnitt etc. - så här kan ett exempel se ut:
Här anger vi att om vårt LAN-undernät vill ha åtkomst till 8.8.8.8, driver vi den trafiken genom en VPN-tunnel.
Så det är i sig en mycket effektiv och exakt mätning när det kommer till routing - så varför skulle vi behöva någon annan routingmekanism?
Statiska rutter - Förklaring och exempel
Statiska rutter har en stor fördel jämfört med policyrutter - de är enkla och raka att konfigurera. Men de har en mycket specifik egenskap - de är källaoberoende . Det betyder att du på ett mycket bra sätt kan definiera universellt överenskomna routningar i ditt nätverk eftersom du inte behöver definiera en källa varifrån paketen kommer som ska använda den vägen. En annan skillnad är att policyrutterna fungerar på ett cykliskt sätt, börjar med den första posten och går sedan till botten, medan statiska rutter använder metrisk och kostnadsberäkning.
Statiska rutter konfigureras via:
Configuration > Network > Routing > Static Route (Tab)
- Destination IP : Definiera nätverksadressen för ditt subnät du vill nå
- Nätmask : Ange nätmasken för den destination du vill nå
- Gateway IP/gränssnitt : Välj antingen ett gränssnitt som ska användas eller definiera en Gateway IP - exemplet kommer förhoppningsvis att ge mer insikt om vad som ska anges här
- Metrisk : Definiera prioritet för regeln genom att ange måtten. Mätvärdet är ett värde som anger den prioritet som det kommer att väljas i jämfört med andra rutter med matchande kriterier
Den stora frågan är: När ska du använda statiska rutter över policyrutter?
Obs : Även om exemplet vi kommer att visa upp också kan uppnås med policyrutter, är det viktigt att fastställa att de statiska rutterna drar nytta av deras enkla och okomplicerade installation. Om du gör samma sak i en policyrutt skulle det sluta med att flera objekt skapades för sammanlänkning inom policyrutten.
Föreställ dig denna topologi:
Föreställ dig att du vill att klienterna från ditt undernät ska kunna kommunicera med LAN2-undernätet på routern på höger sida. Som standard kommer alla förfrågningar från LAN1-undernätet på USG FLEX 200 som når ut till 192.168.200.X/24 vanligtvis att vidarebefordras från WAN-Port för USG FLEX, eftersom 192.168.2400.X som standard är en/2400.X IP-subnät utanför räckvidden för något LAN för USG FLEX.
Du kan dock uppnå önskat resultat genom att ställa in den här statiska vägen:
I grund och botten säger vi "Om någon källa vill nå destinationsundernätet 192.168.200.0/24, flytta sedan trafiken till gatewayen med IP 192.168.1.250". Via direkta rutter i USG FLEX och en ARP-förfrågan inom LAN kommer det så småningom att upptäckas att tredjepartsroutern har IP 192.168.1.250 och därmed vidarebefordras trafiken.
Observera dock att för att detta ska fungera behöver tredjepartsroutern rutter och brandväggspolicyer på plats för att även denna trafik ska kunna passera!
När detta är gjort bör den statiska rutten fungera - om du undrar vad som händer på vägen tillbaka, informera dig om att detta hanteras av Direct Routes - dessa är också källoberoende rutter, som framåttrafik avsedd för den interna LAN för USG FLEX till respektive gränssnitt och skapas automatiskt när ett gränssnitt skapas.
I slutändan kan vi verifiera att den statiska rutten vi skapade faktiskt ägde rum genom menyn för paketflödesutforskning via
Maintenance > Packet Flow Explore
VARNING:
Kära kund, tänk på att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. All text kanske inte översätts korrekt. Om det finns frågor eller avvikelser om riktigheten av informationen i den översatta versionen, läs originalartikeln här: Originalversion
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.