深入了解USG/ATP路由調整:策略路由應用指南

選項
Zyxel小編 Corey
Zyxel小編 Corey 文章數: 146  Zyxel Employee
First Anniversary Friend Collector First Comment
已編輯 1月 26 日 防火牆 常見問題

前言

本篇文章將向您介紹如何調整 USG/ATP 上的路由。最常見的使用情境範例,例如 SNAT、透過特定 WAN 介面路由傳輸以及透過 VPN 通道路由傳輸。

備註 : 本篇文章截圖畫面使用 ATP200、V5.37(ABFW.1) 版本

功能介紹

使用策略路由覆蓋預設路由行為,以便透過適當的介面和/或 VPN 通道傳送封包。
傳統上,路由僅基於目的位址,USG/ATP 採用最短路徑來轉送封包。

策略路由提供了一種覆蓋預設路由行為的機制,它根據網路管理員定義的策略來調整封包的轉送

策略路由優先於正常路由應用於介面上的傳入的封包。

功能應用情境

以下向各位介紹一些常見場景的範例。

  • 透過特定 WAN 介面傳輸內部流量
  • 透過 VPN 通道傳輸流量
  • SNAT(來源網路位址轉譯)路由

策略路由設定位置請前往 : 設定 > 網路 > 路由 > 策略路由

透過特定 WAN 介面傳輸內部流量

根據您的網路架構,您可能會使用多個 WAN 介面和多個內部網段(例如 LAN1 和訪客網段)。為了優化內部網路 (LAN1) 效能,您可能希望強制讓此流量透過更快、最可靠的網路傳輸,而訪客則使用較慢的網路。

這可以透過建立兩個策略路由來實現,一個將 LAN1 的流量透過較快速的WAN介面傳輸,第二個將訪客流量傳送到較慢的WAN介面。

在此範例中,WAN1 屬於網速較快的線路,WAN2 則屬於網速較慢的網路。

  • 內送 : 選擇封包從哪個介面進入符合此規則,範例 GE3 為 LAN 介面。
  • 來源位址 : 設定哪些來源位址符合此規則,假設您的 LAN 介面網段為 192.168.1.0/24,請選擇 192.168.1.0/24的位址物件。
  • 下一個躍點 : 選擇封包要從哪個介面送出,範例 ge1 為 WAN1,因此選擇 ge1。
  • 來源網路位址轉譯 : 封包從 WAN 介面離開時,來源 IP 需要轉換成 WAN IP 才能在網路傳輸,因此請保留預設值 outgoing-interface

建議啟用進階設定的健全狀況檢查,如果已設定的 WAN 介面無法正常傳輸,防火牆將自動停用此策略路由,使用其他 WAN 介面作為備份。

透過 VPN 通道傳輸流量

透過策略路由可以將特定來源或目的地,透過原本已經建立完成的 VPN 通道,路由到另一台防火牆底下的網路。

以下範例將指定的 LAN2 網段透過 VPN 通道路由,將封包傳送往遠端子網路。


備註:為了實現正常傳輸,對方也必須設定相對應的路由規則,以確保雙向通訊。

SNAT(來源網路位址轉譯)路由

如果您 WAN 介面擁有多個由網路服務供應商提供的公共 IP 位址,並且希望某些流量連接網路時,轉換成特定的公共 IP,您可以建立策略路由,透過 SNAT 功能,將內部來源 IP 轉換成指定的外部 公共 IP。

首先為郵件伺服器的私人IP位址和公用IP位址建立位址物件 :

新增策略路由,可於上方快捷路徑建立新物件,新建內部設備 IP 物件與希望轉換的 WAN IP 物件


將物件套用套策略路由設定 :

  • 來源位址 : 選擇內部設備的 IP 物件
  • 下一躍點 : 選擇流量從哪個外網介面送出
  • 來源網路位址轉譯 : 選擇該 WAN 介面其他公共 IP,當流量從介面離開,防火牆將封包轉換成此 IP 位址。