Настройка политик маршрутизации Policy Route в аппаратных шлюзах серии ZyWALL USG и NXC5200

Как настроить политики маршрутизации Policy Route в аппаратных шлюзах серии ZyWALL USG? В статье приведены описания полей и логика работы Policy Route в устройствах серии USG и NXC5200.


В данной статье приведены описания полей и указана логика работы функции политики маршрутизации Policy Route в аппаратных шлюзах серии ZyWALL USG и контроллере NXC5200.

C помощью правил политики маршрутизации можно при необходимости выделить трафик по определенным критериям и маршрутизировать его на определенный шлюз, интерфейс, GRE-туннель, транк, VPN IPSec-туннель, а также настроить SNAT (трансляцию IP-адреса источника).

Маршруты политики маршрутизации Policy Route действуют только на устройстве и в отличие от маршрутов, настроенных в Static Route, не передаются на другие маршрутизаторы по протоколом обмена маршрутами (например, RIP). Политики маршрутизации Policy Route более приоритетны, чем Static Route, и чем настройки Trunk. Это значит, что если трафик подпадает под критерии настроенные в политике маршрутизации, то он будет отправлен на Next-Hop по этому правилу; соответственно маршрут в Statc Route или настройки очередности в Trunk учитываться не будут.

Настройка политик маршрутизации Policy Route производится в веб-конфигураторе устройства в меню Configuration > Network > Routing на закладке Policy Route.

При нажатии на Show Advanced Settings появляется возможность включения параметра Use Policy Route to Override Direct Route. При включении этого параметра правила политики маршрутизации будут обрабатываться перед автоматическими правилами, которые создаются при создании интерфейса и его подсети. Это может быть необходимо, если, например, IP-адреса удаленной VPN-подсети совпадают с IP-адресами одного из интерфейсов; в этом случае можно по критериям маршрутизировать в туннель запросы только на определенные IP-адреса из этой подсети. Чтобы такое правило могло сработать (стать более приоритетным для пакетов, чем автоматическое правило на интерфейсе), нужно включить эту функцию, но при этом нужно остальные политики создавать с учетом этой настройки.

Для создания политики нажмите кнопку Add.

Описание полей при настройке политики маршрутизации (Policy Route):

Enable: Активирует маршрут.
Description: Текстовое поле для описания.

Раздел Criteria служит для описания критериев, по которым устройство должно выбрать трафик, который затем будет маршрутизироваться.

User: В этом поле можно указать учетную запись авторизованного через http/https пользователя ZyWALL USG. Значение any означает любой.
Incoming: конкретный интерфейс либо туннель, откуда приходит сетевой трафик.
Source Address: адрес источника.
Destination Address: адрес назначения.
DSCP Code: DSCP-маркер для приоритизации трафика. Можно выбрать трафик только с определенным предустановленным маркером либо указать маркер вручную, установив значение User Define. Значение preserved означает все пакеты с любыми маркерами или без, default - значения маркера 0; как правило, это наиболее приоритетный трафик.
Schedule: Правила расписания - если нужно, чтобы данное правило маршрутизации срабатывало по установленному расписанию, а не постоянно.
Service: В этом поле указывается сервис, на который приходит трафик (номер порта назначения). Нужный сервис можно создать в меню Configuration > Object > Service.
Source Port: Это поле появляется при нажатии на Show Advanced Settings. Можно указать номер порта источника. Как правило, этот номер генерируется хостом в произвольном порядке из свободного диапазона, но некоторые приложения используют свой специальный порт источника.

В разделе Next-Hop указывается следующий узел, на который нужно маршрутизировать трафик, выбранный по критериям, указанным выше.
В поле Type указывается тип узла:
Auto — ZyWALL USG сам выбирает, куда маршрутизировать трафик по уже автоматически созданным маршрутам. Трафик будет перенаправлен в глобальный интерфейс по умолчанию.
Gateway - шлюз. Указывается IP-адрес, на который нужно маршрутизировать трафик (устройство само поймет, по IP-адресу с какого интерфейса этот шлюз должен быть доступен). Чтобы указать шлюз в поле Gateway, нужно, чтобы он предварительно был создан как объект типа Host с IP-адресом шлюза в меню Configuration > Object > Address.
При указании типа VPN Tunnel (IPSec VPN-туннель) появляется возможность в поле Destination Address включить Auto Destination Address. Это нужно в случае если у вас используется динамический VPN-туннель.

В поле DSCP Marking можно указать, как маркировать пакет при передаче на следующий узел (Next-Hop).

В разделе Address Translation настраивается трансляция IP-адреса источника (SNAT) и Port Triggering.
Source Network Address Translation: в этом поле можно указать значение outgoing-interface — это IP-адрес интерфейса, указанного в Next-Hop. Для указания конкретного IP-адреса нужно предварительно в меню Configuration > Object > Address создать адресный объект типа Host с этим IP-адресом, тогда его можно будет указать в этом поле. Если указать значение none, то трансляция адресов осуществляться не будет.
В Port Triggering настраиваются порты для работы функции динамического перенаправления портов (тригера портов) с обозначенного выше IP-адреса.

В разделе Healthy Check представлены настройки для активации функции Connectivity Check и автоматического отключения маршрута, когда интерфейс неактивен (поле Disable policy route automatically while Interface link down появляется при указании в разделе Next-Hop типа Trunk или Interface).

Раздел Bandwidth Shaping (присутствует только на контроллере NXC5200) появляется при нажатии на Show Advanced Settings. Здесь можно назначить данному маршруту максимальную пропускную способность (в поле Maximum Bandwidth), приоритет (в поле Bandwidth Priority) и включить возможность выходить за рамки настройки максимальной пропускной способности (активировать поле Maximize Bandwidth Usage), если существует неиспользованная полоса.

 

KB-2703

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 5

Комментарии

0 комментариев