深入了解USG/ATP路由調整：策略路由應用指南

Zyxel小編 Corey

前言

本篇文章將向您介紹如何調整 USG/ATP 上的路由。最常見的使用情境範例，例如 SNAT、透過特定 WAN 介面路由傳輸以及透過 VPN 通道路由傳輸。

備註 : 本篇文章截圖畫面使用 ATP200、V5.37(ABFW.1) 版本

功能介紹

使用策略路由覆蓋預設路由行為，以便透過適當的介面和/或 VPN 通道傳送封包。
傳統上，路由僅基於目的位址，USG/ATP 採用最短路徑來轉送封包。

策略路由提供了一種覆蓋預設路由行為的機制，它根據網路管理員定義的策略來調整封包的轉送

策略路由優先於正常路由應用於介面上的傳入的封包。

功能應用情境

以下向各位介紹一些常見場景的範例。

• 透過特定 WAN 介面傳輸內部流量
• 透過 VPN 通道傳輸流量
• SNAT（來源網路位址轉譯）路由

策略路由設定位置請前往 : 設定 > 網路 > 路由 > 策略路由

透過特定 WAN 介面傳輸內部流量

根據您的網路架構，您可能會使用多個 WAN 介面和多個內部網段（例如 LAN1 和訪客網段）。為了優化內部網路 (LAN1) 效能，您可能希望強制讓此流量透過更快、最可靠的網路傳輸，而訪客則使用較慢的網路。

這可以透過建立兩個策略路由來實現，一個將 LAN1 的流量透過較快速的WAN介面傳輸，第二個將訪客流量傳送到較慢的WAN介面。

在此範例中，WAN1 屬於網速較快的線路，WAN2 則屬於網速較慢的網路。

• 內送 : 選擇封包從哪個介面進入符合此規則，範例 GE3 為 LAN 介面。
• 來源位址 : 設定哪些來源位址符合此規則，假設您的 LAN 介面網段為 192.168.1.0/24，請選擇 192.168.1.0/24的位址物件。
• 下一個躍點 : 選擇封包要從哪個介面送出，範例 ge1 為 WAN1，因此選擇 ge1。
• 來源網路位址轉譯 : 封包從 WAN 介面離開時，來源 IP 需要轉換成 WAN IP 才能在網路傳輸，因此請保留預設值 outgoing-interface 。
  

建議啟用進階設定的健全狀況檢查，如果已設定的 WAN 介面無法正常傳輸，防火牆將自動停用此策略路由，使用其他 WAN 介面作為備份。

透過 VPN 通道傳輸流量

透過策略路由可以將特定來源或目的地，透過原本已經建立完成的 VPN 通道，路由到另一台防火牆底下的網路。

以下範例將指定的 LAN2 網段透過 VPN 通道路由，將封包傳送往遠端子網路。

備註：為了實現正常傳輸，對方也必須設定相對應的路由規則，以確保雙向通訊。

SNAT（來源網路位址轉譯）路由

如果您 WAN 介面擁有多個由網路服務供應商提供的公共 IP 位址，並且希望某些流量連接網路時，轉換成特定的公共 IP，您可以建立策略路由，透過 SNAT 功能，將內部來源 IP 轉換成指定的外部 公共 IP。

首先為郵件伺服器的私人IP位址和公用IP位址建立位址物件 :

新增策略路由，可於上方快捷路徑建立新物件，新建內部設備 IP 物件與希望轉換的 WAN IP 物件。

將物件套用套策略路由設定 :

• 來源位址 : 選擇內部設備的 IP 物件
• 下一躍點 : 選擇流量從哪個外網介面送出
• 來源網路位址轉譯 : 選擇該 WAN 介面其他公共 IP，當流量從介面離開，防火牆將封包轉換成此 IP 位址。