Bu dökümanda, bir USG / ATP'de "Policy Route" kurallarının nasıl yapılandırılacağı gösterilmektedir. SNAT, belirli bir WAN arayüzü üzerinden rota trafiği ve bir VPN tüneli üzerinden rota trafiği gibi en yaygın senaryoların örneklerini gösterecektir.
1. Dahili Trafiği Belirli WAN ile Yönlendirme
3. SNAT (Kaynak Ağ Adresi Çevirisi) Yönlendirme
Genel Bakış
Policy Route kurallarını, belirli interface veya vpn tünellerini varsayılan yönlendirmelerin dışında yönlendirme yapmak istediğinizde kullanabilirsiniz.
Varsayılanda, yönlendirme yalnızca hedef adrese dayanır ve USG / ATP bir paketi iletmek için en kısa yolu kullanır. IP İlke Yönlendirme, varsayılan yönlendirme davranışını geçersiz kılmak için bir mekanizma sağlar
ve paket yönlendirmesini ağ yöneticisi tarafından tanımlanan ilkeye göre değiştirmenize olanak sağlar.
Policy Route, normal yönlendirme öncesinde bir interface adresinden gelen paketlere uygulanır.
Yönlendirme Kuralları
Aşağıda en yaygın senaryolardan bazılarına örnekler verilmiştir.
Dahili Trafiği Belirli WAN ile Yönlendirme
Uygulamanıza bağlı olarak, birden çok internet bağlantısı ve birden çok dahili ağ kullanıyor olabilirsiniz (örneğin LAN1 ve Misafir). Dahili ağların (LAN1) performansını optimize etmek için, konuklar daha yavaş bir internet bağlantısı kullanırken bu trafiği daha hızlı en güvenilir internet bağlantısı üzerinden zorlamak isteyebilirsiniz. Bu, biri LAN1'in trafiğini hızlı internet bağlantısından göndermek için diğeri konuk trafiğini daha yavaş bağlantıdan göndermek için olmak üzere iki policy route kuralı oluşturularak gerçekleştirilebilir.
Bu örnek için WAN1 hızlı bağlantı ve WAN2 daha yavaş internet bağlantısıdır.
Not: Yapılandırılan WAN arabiriminin yedek olarak diğer WAN arabirimini kullanması durumunda, rotanın otomatik olarak devre dışı bırakılması için “Disable policy route automatically while Interface link down” seçeneğini işaretleyin .
Next-Hop için WAN2'yi kullanarak Konuk ağı için (LAN2, DMZ, köprü arabirimi veya VLAN olsun) ikinci bir kural oluşturun.
VPN Üzerinden Rota Trafiği
USG / ATP maalesef VPN üzerinden yalnızca bir subneti veya bir dizi ardışık IP adreslerini yönlendirebilir. Ağınızda 192.168.1.0/24, ağ olarak 172.16.0.0/24 ve 10.0.0.0/24 varsa
alt ağları ve her üçünü de bir VPN tüneli üzerinden yönlendirmeniz gerekiyorsa, bu USG / ATP'nin VPN sınırlamalarına dayanarak mümkün olmazdı.
VPN tüneli üzerinden diğer yerel ağlardan gelen trafiği yönlendirmek için bir policy route kuralı oluşturmak geçici bir çözüm olacaktır. VPN'nin arkasındaki uzak ağa bu ilke yoluyla erişilebilir.Aşağıdaki örnek, uzak alt ağ için hedeflenen LAN2 alt ağından gelen trafiği belirtilen VPN tüneli üzerinden yönlendirecektir.
Not: Diğer taraf da geri dönüş için bir rota belirlemelidir.
SNAT (Kaynak Ağ Adresi Çevirisi) Yönlendirme
İnternet servis sağlayıcısı tarafından kiralanmış birden fazla WAN-IP adresiniz varsa ve bu adreslerden birini mail serverınızda mail göndermek için kullanmak istiyorsanız bir policy route kuralı oluşturabilirsiniz.
Posta sunucusundan gelen tüm trafiği kiralanan bloğun bir WAN-IP'sine yönlendirebilirsiniz.
Önce posta sunucusunun LAN-IP adresi ve WAN-IP adresi için adres nesneleri oluşturunuz.
Aşağıdaki menü yolundan nesneleri oluşturabilirsiniz:
Configuration -> Object -> Address
Örneğimiz için WAN-IP'nin nesnesi;
Örneğimiz için LAN-IP'nin nesnesi ;
Policy Route kuralını aşağıdaki gibi oluşturun: