SonicOS 6.5 路由配置
一、目的地路由配置
一般我们说的目的地路由,是静态路由中的一种,主要作用就是让设备知道某个目的地下一跳应该怎么走。例如常见环境中,防火墙下面存在三层交换机,防火墙并没有三层交换机上的网段信息,此时就需要配置静态路由让防火墙能正常回复三层交换机下网段发出的包。如果不做路由,就会出现三层交换机下的网段无法上网,无法访问到防火墙这样的情况。
例1:
拓扑如图,防火墙使用192.168.3.0段与三层交换机互联,其中防火墙是3.254,三层交换机是3.253,要让下面4、5、6段可以上网,就需要配置一条静态路由。
配置方法如下:
1、 建立地址对象,进入防火墙network→address object中点击add新建地址对象。Host 192.168.3.253,network 192.168.4.0/24,network 192.168.5.0/24,network 192.168.6.0/24
地址对象建立完成之后,新增一个地址组,将新建的网段放进去,这样使用地址组可以一次性做好路由。
之后在network→Routing中添加路由即可,源地址任意,目的地址是内网的网段,服务任意、接口是防火墙与交换机互联的接口,网关就是三层交换机的IP。Metric是度量值,一般填1或者10都可以,在源地址、目的地址、端口号相同的情况下,度量值是衡量路由优先级的标准,这个值越小越优先。
最后点击OK完成配置即可。
二、策略路由配置
策略路由主要是依靠源地址、目的地址、端口号配置策略指定路由的策略。
例2:
拓扑如图,当前网络中存在三条外网线,分别是X1 移动,X2 电信,X3 天威。现有以下需求:
1、 内网所有网段在访问网站www.secuunion.net的时候走X2电信线路
2、 文件服务器192.168.1.10全部流量走X1接口出去
3、 内网192.168.4.0段的邮件服务走X3线路出去
需求1:
其实是目的地址路由的一种,首先,还是建立地址对象,对于URL的地址对象我们可以建立FQDN或者直接ping这个网址,然后使用解析出来的IP。
还是在address object中建立地址对象,两种任意。如果有多个地址,可以使用地址组圈起来。
建立完成之后在routing中新增一条路由,源地址任意,目的地址www.secuunion.net,接口X2,网关X2 default gateway(即防火墙默认地址对象,X2接口网关地址,不要选X2 IP,那是X2的接口地址),metic 1。
点击OK确认,配置完成之后,所有人在访问www.secuunion.net的时候会固定轴X2的线路去访问。
需求2:
这种情况有时候又被称为源地址路由,相当于指定某个IP或者某个网段从某条线路出去。
首先还是建立地址对象,我们需要建立服务器192.168.1.10的地址对象,同理,有多个的话可以建立完地址对象之后建立一个地址组。
接下来就可以添加路由了。源地址就是服务器IP,目的地任意,服务任意,接口X1,网关X1 default gateway,度量值1。点击OK完成配置。
需求3:
需求3相当于是需求2个一个进阶版本,除了源地址之外还指定服务。
首先建立对象,之前已经建立过4段的地址对象,所以地址对象无需再建立一次,主要是需要建立邮件的服务对象。SonicWALL防火墙自带邮件服务,但是都是单一的端口,需要建立一个服务组。
之后,再新建一条路由策略,源地址是4段,目的地址任意,端口任意,度量值1,点击OK完成配置。
三、等价路由配置
等价路由,有时候也叫多路径路由,即ECMP即为到达同一个目的 IP 或者目的网段存在多条 Cost 值相等的不同路由路径。在SonicWALL上又叫做多路径路由(Multi-Path Route),利用等价路由,我们可以让发往该目的 IP 或者目的网段的三层转发流量就通过不同的路径分担,实现网络的负载均衡,并在其中某些路径出现故障时,由其它路径代替完成转发处理,实现路由冗余备份功能。
例3:
拓扑如图,公司A和公司B有两台NSA 2650 防火墙,公司A内网段是172.16.0.0/24,公司B网段为172.16.1.0/24,公司A和公司B之间有2条专线,两条专线接到两个公司的防火墙的X3口和X4口上。现在需要增加路由,让公司A和公司B可以互相访问。
常规来说,只要在X3口上写路由即可让两个公司互通,但是这样就相当于浪费了另外一条专线,对于这种情况我们就可以使用等价路由,一方面起到了冗余备份的效果,另外一方面可以同时使用两条线路的带宽,充分利用带宽资源。
首先还是要创建相关地址对象,创建地址对象,创建方法参考前文,此处不再赘述。创建完地址对象之后添加路由策略。
还是在network的routing中添加一条路由,源地址任意,目的地址为对方网段,服务任意,在下方选择Multi-Path Route,由于我们只有2条线,Gateway Number设置为2(SonicWALL最大支持4条线路的等价路由),之后就可以看到下面可以配置2个网关和接口,接口分别是X3和X4,gateway即对端接口IP地址,度量值 1,点击OK完成配置。
配置完成之后即可看到等价路由,与常规路由不同,等价路由可以看到有多个网关与接口,在其中一条线路不通的情况下,会自动走另外一条,如果两条线路都通,则会自动负载。
对于对端防火墙上的策略,也做类似配置即可,此处不再赘述,此外需要注意的是配置等价路由需要对端也支持等价路由才会生效,否则即使配置了也只会使用一条线路。
值得一提的是SonicWALL防火墙的等价路由可以应用在VPN上,将VPN配置为Tunnel interface模式,在等价路由中可以将Tunnel interface接口配置为路径,通过这种方法我们可以同时使用专线与IPsecVPN。
四、应用路由配置
除了常规路由之外,SonicWALL还支持应用路由,使用应用路由可以指定应用从某条线路上网。注意,此功能需要配合UTM使用。
例4:
拓扑如图,现在需要设置内网所有的Voip应用流量走X2线路。
首先,我们需要配置匹配对象Match Object,展开Firewall→Match Object,点击add按钮选择Application list object。
Application list object提供了Application和category两种类型的视图,前者可以选择具体的某些应用,后者为应用大类,如果是要匹配一整个应用类别,两者均可。
在 Category中勾选VoIP-APPS,点击name前面的“+”即可选中所有Voip类的应用。
或者也可以在Category中直接选项Voip-APPS。
去掉Auto-generate match object name选项可以自定义匹配对象的名称。点击OK完成匹配对象建立。
进入network→routing页面,点击add添加一条路由,源地址,目的地址任意,目的地址下方将Service改为App,此时下拉框中出现的就是刚才建立的匹配对象。接口选择X2,网关选择X2 default gateway,度量值1,点击OK确认添加。
配置完成之后即可看到一条应用路由,所有匹配到Voip的应用流量都将从X2线路出去。
五、网络探测配置
网络监测(network monitor)是SonicWALL上的一个辅助功能,在路由策略中可以选择一个网络探测,根据探测结果,防火墙会自动启用或者禁用路由条目,常用于备份路由。
以例2中的需求2为例,文件服务器192.168.1.10全部流量走X1接口出去,如果X1线路出现故障会导致文件服务器无法上网,此时我们可以做一个探测来解决这个问题。
首先,我们需要一个探测目标,探测目标可以选择一些常用外网IP或者域名。例如114114.114.114,www.baidu.com,使用地址组可以设置多个探测目标。
然后进入network→network monitor,点击add新增一个探测策略,配置如图,Name随意,Probe Target选择刚才创建用于探测的地址组,因为是用于探测X1线路,下一跳选择X1,出口选择X1,下面其他项目主要是设置探测间隔,超时时间等,可以保持默认也可以根据环境需求自定义。
点击OK完成创建,创建完成之后,可以看到status为黄色,这代表正在探测,当探测成功会变为绿色,鼠标放在状态上可以看到探测的详细信息。
进入network→routing,修改之前的路由策略,在Probe处选择我们建立的探测策略。
此时这条路由已经应用了网络探测,当探测失败,该路由会自动失效变为灰色。此时如果服务器上网就会匹配到默认路由,保证服务器在X1线路中断的情况下仍然可以上网。
如果不想服务器在断网之后走默认路由,也可以手动设置一条新的路由,例如指定服务器走X3线路,在Probe中同样选择X1 monitor,不同的是这条策略我们勾上“Disable route when probe succeeds”选项,勾选此选项之后,在探测成功的情况下会禁用这条路由,这样,当探测失败这条路由反而会被启用,让服务器走X3线路上网。
六、总结
SonicWALL的路由配置简单但是又功能强大,可以根据实际需要灵活的调整和组合。
786
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
