UniFi – USG Advanced: Politika Tabanlı Yönlendirme / Advanced: Policy-Based Routing

UniFi – USG Advanced: Politika Tabanlı Yönlendirme

Genel bakış

Bu makalede, UniFi Güvenlik Ağ Geçidi’nde ( USG ,  USG ‑ PRO ‑ 4 , USG-XG-8 ) politika tabanlı yönlendirmenin nasıl yapılandırılacağı açıklanmaktadır.

NOTLAR VE GEREKLİLİKLER:  Bu makale gelişmiş yapılandırmaları kapsar ve yalnızca ileri düzey kullanıcılar tarafından kullanılmalıdır. Config.gateway.json  dosyasını düzenlemek gerekli olacaktır.

İçindekiler

1. Giriş
2. Kaynak Ağa Dayalı Trafiği WAN2’den Yönlendirme
3. Kaynak Ağı, Hedef Bağlantı Noktası ve Protokol Tabanlı Trafiği WAN2’den Yönlendirme
4. Trafiği Kaynağa Dayalı Olarak VPN Arayüzünden (vti) Yönlendirme
5. Trafiği Öncelikle WAN2’den ve Kaynağa Dayalı Yük Devretme’den WAN1’e Yönlendirme
6. Yük Dengelemeden Bazı Trafik Hariç Tutma
7. İlgili Makaleler

Giriş

İlke tabanlı yönlendirme, ağ yöneticileri tarafından yöneticinin kendi tanımladığı paketleri yönlendirmek için kullanılır. Politika tabanlı yönlendirme yönlendirme tablosunu ve IPsec tarafından tanımlanan rotaları geçersiz kılar.

Bu makale, ilke yönlendirmenin bu hedeflerden herhangi biriyle nasıl yapılandırılacağını içerir:

1. Kaynak ağı temel alarak WAN2 trafiğini yönlendirin.
2. Kaynak ağı, hedef port ve protokolü temel alarak WAN2’yi yönlendirin.
3. Trafiği kaynağa göre VPN arayüzünden (vti) yönlendirin.
4. Trafiği esas olarak WAN2’yi ve ikincil olarak (yerine çalışma durumunda) WAN1’i kaynağa göre yönlendirin.
5. Bazı trafiği yük dengelemeden hariç tutun.

Politika tabanlı yönlendirme sadece kaynak adresi, kaynak portu, kaynak ağı vb. İle yapılandırılamaz, ayrıca diğerleri arasında hedef adresi, hedef portu veya protokolü temel alarak yapılandırılabilir.

NOT:  Bu yapılandırmalar, config.gateway.json dosyasına eklenene kadar kalıcı olmayacaktır. Kullanıcılar önce yapılandırmayı test etmeli, beklendiği gibi çalıştığını doğrulamalı ve ardından yapılandırmayı reprovisions ve yeniden başlatmalar yoluyla kalıcı hale getirmek için config.gateway.json dosyasını düzenlemeye devam etmelidir. Config.gateway.json oluşturma ve düzenleme konusunda yardım için bu makaleye bakın .

Makale boyunca, aşağıdaki senaryolarda alt ağlar kullanılacaktır. Komutların USG-PRO-4 için olduğuna dikkat edin. USG, WAN1 için eth0 ve WAN2 için eth2 kullanacaktır.

WAN1 (eth2) adresi: 100.64.1.5
WAN1 ağ geçidi: 100.64.1.1/24 WAN2
(eth3) adresi: 200.64.2.5/24 WAN2
ağ geçidi: 200.64.2.1/24
LAN1 (eth1) ağı: 192.168.1.0/24
Vlan2 (eth1) .2) ağ: 192.168.2.0/24
VTI0: VPN’i siteye otomatik olarak gönderme

Kaynak Ağa Dayalı Trafiği WAN2’den Yönlendirme

Aşağıdaki örnek, LAN1 ağından kaynaklanan trafiğin WAN2’den nasıl yönlendirileceğini göstermektedir.

Not: T O LOAD_BALANCE kural takımı yapılandırılmış WAN2 olan yapılandırmalarında sadece mevcut. Politika yönlendirmesinde, “yalnızca yerine çalışma” veya “ağırlıklı yük dengesi” olması fark yaratmaz.

DİKKAT: Statik tablo 1’i USG’deki varsayılan rotayı geçersiz kılabileceği için yapılandırmaktan kaçının. Tablo 2 veya üstü kullanın.

yapılandırmak
seti protokolleri statik tablo 5 rota 0.0.0.0/0 sonraki atlama 200.64.2.1
LOAD_BALANCE kuralını 2500 eylemini değiştirmek firewall set, değiştirmek
Tablo 5 değiştirmek LOAD_BALANCE kuralı 2500 modifiye duvarı ayarlamak
LOAD_BALANCE kuralını 2500 kaynak adresi 192.168.1.0/24 değiştirmek firewall set
set firewall değişiklik: LOAD_BALANCE kural 2500 protokolünün tümü tamamlandı
;

Kaynak Ağı, Hedef Bağlantı Noktası ve Protokol Tabanlı Trafiği WAN2’den Yönlendirme

Aşağıdaki örnek, VLAN2 ağından kaynaklanan ve WAN2 üzerinden 80 ve 443 numaralı TCP bağlantı noktalarına yönlendirilmiş trafiğin nasıl yönlendirileceğini gösterir.

Aşağıdaki örnek, VLAN2 çıkışından vti0 kaynaklı trafiğin nasıl yönlendirileceğini göstermektedir. Birkaç not:

• Bu, yalnızca WAN1 kurulumunda, WAN2 yapılandırılmadıysa LOAD_BALANCE kural kümesi yok. WAN2 yapılandırılmışsa, set interfacesadımı atlayabilir ve firewall modifykuralları VPN_Gateway yerine LOAD_BALANCE kuralına uygulayabilirsiniz.
• vti0Otomatik VPN’ler için kullanılan vti64başlangıç ​​numaralı arayüzdür ve manuel VPN’ler için kullanılan başlangıç ​​numaralı arayüzdür.

yapılandırmak 
, değiştirmek güvenlik duvarı VPN_Gateway kuralını 2502 eylemini değiştirmek seti 
Tablo 5 değiştirmek VPN_Gateway kuralı 2502 modifiye duvarı ayarlamak 
VPN_Gateway kuralı 2502 kaynak adresini 192.168.2.0/24 değiştirmek firewall set 
VPN_Gateway kurala tüm 2502 protokolü değiştirmek firewall set 
set protokolleri statik tablo 5 arayüzü rota 0.0.0.0 / 0 next-hop-arayüzü vti0 
set arayüzleri ethernet eth1 vif 2 güvenlik duvarı VPN_Gateway 
taahhüt değiştirmede ;

NOT:  multiWAN özelliğini etkinleştirmediyseniz ve yalnızca bir WAN kullanıyorsanız, USG'ye SSH ile bağlanarak ve aşağıdaki komutları uygulayarak kaynak doğrulamanın devre dışı bırakılması gerekir:

yapılandırmak 
set duvarı kaynak doğrulama devre dışı 
işlemek; çıkış 
berrak bağlantı izleme

Kaynak doğrulama, MultiWAN etkin değilse, varsayılan olarak katı olarak ayarlanmıştır. Bu, eğer bir paket internetten gelen ve varsayılan rotanın işaret etmediği bir arayüze giriş yaparsa, USG bu paketi düşürür. Kaynak doğrulama birden fazla yönlendirme tablosunu anlamıyor, bu nedenle denetleyici multiWAN kullanırken (bir WAN2’yi yapılandırırken) kaynak doğrulamasını devre dışı bırakır.

Trafiği Öncelikle WAN2’den ve Kaynağa Dayalı Yük Devretme’den WAN1’e Yönlendirme

Aşağıdaki örnek, LAN1 kaynaklı WAN2 çıkışlı trafiğin öncelikle ve WAN1’in kaynağa dayalı olarak ikincil (yük devretme durumunda) nasıl yönlendirileceğini göstermektedir. Bu, ters katlamada, varsayılandan daha fazla yük devretme seçeneğinin olması açısından faydalıdır. Bu, WAN2’yi birincil ve WAN1’i ikincil olarak sıralayacak ve ayrıca her WAN ağ geçidini otomatik olarak izleme avantajına sahip olacak, böylece manuel bir rotaya gerek kalmayacak.

NOT:  Aşağıdaki komutların USG-PRO-4 için özel olduğunu unutmayın. USG, WAN1 için eth0 ve WAN2 için eth2 kullanacaktır.

yapılandırmak 
ayarlanan yük dengesi grubu wan2_failover arayüz eth3 
arayüzü eth2 yük devretme okunur wan2_failover seti yük dengesi grup 
, değiştirmek LOAD_BALANCE kuralını 2000 eylemi değiştirmek duvarı set 
wan2_failover lb-grubu değiştirmek LOAD_BALANCE kuralı 2000 modifiye duvarı set 
set LOAD_BALANCE kuralı 2000 kaynak adresi 192.168.1.0'ın değiştirmek firewall / 24 
taahhüt; çıkış

Yük Dengelemeden Bazı Trafik Hariç Tutma

Aşağıdaki örnek, VLAN2’nin LAN trafiğinin yük dengeleme işleminden nasıl tamamen çıkarıldığını göstermektedir. Bu, yukarıdaki politika temelli yönlendirme kurallarından birini yapılandırdıysanız ve vlanlar arası iletişimi durdurduysa, aşağıdaki örnekte olduğu gibi kaynağa ve hedefe göre bir dışlama yapılandırmak isteyebilirsiniz. Bunu istediğiniz alt ağ veya IP ile yapabilir, hatta UniFi kontrol cihazında bir adres grubu oluşturabilir ve hatta kaynak veya hedef olarak kullanabilirsiniz; bu, birbirleriyle iletişim kurması gereken birden fazla vlansınız olduğunda, bu yararlı olabilir. kuraldaki kaynak ve hedef olarak adres grubunu (tüm VLAN’ları / LAN’ı içeren) kullanın.

Daha önce LOAD_BALANCE tablosuna eklediğiniz başka özel kurallarınız varsa, kural sırası en düşükten en yüksek sayıya kadar işlendiğinden, hariç tutmak istediğiniz trafik bu kurallardan önce gelmelidir (ör. Kural 2450 kural 2500’den daha önceliklidir).

yapılandırmadan 
2450 eylem kabul edin LOAD_BALANCE kuralını değiştirmek duvarı ayarlamak 
LOAD_BALANCE kuralını 2450 kaynak adresini 192.168.2.0/24 değiştirmek duvarı ayarlamak 
LOAD_BALANCE kuralı 2450 hedef adresi 192.168.1.0/24 değiştirmek firewall set 
işlemek; exit