SonicOS 6.5 路由配置
一、目的地路由配置
一般我們說的目的地路由,是靜態路由中的一種,主要作用就是讓設備知道某個目的地下一跳應該怎麼走。例如常見環境中,防火牆下面存在三層交換機,防火牆並沒有三層交換機上的網段信息,此時就需要配置靜態路由讓防火牆能正常回復三層交換機下網段發出的包。如果不做路由,就會出現三層交換機下的網段無法上網,無法訪問到防火牆這樣的情況。
例1:
拓撲如圖,防火牆使用192.168.3.0段與三層交換機互聯,其中防火牆是3.254,三層交換機是3.253,要讓下面4、5、6段可以上網,就需要配置一條靜態路由。
配置方法如下:
1、 建立地址對象,進入防火牆network→address object中點擊add新建地址對象。Host 192.168.3.253,network 192.168.4.0/24,network 192.168.5.0/24,network 192.168.6.0/24
地址對象建立完成之後,新增一個地址組,將新建的網段放進去,這樣使用地址組可以一次性做好路由。
之後在network→Routing中添加路由即可,源地址任意,目的地址是內網的網段,服務任意、接口是防火牆與交換機互聯的接口,網關就是三層交換機的IP。Metric是度量值,一般填1或者10都可以,在源地址、目的地址、端口號相同的情況下,度量值是衡量路由優先級的標準,這個值越小越優先。
最後點擊OK完成配置即可。
二、策略路由配置
策略路由主要是依靠源地址、目的地址、端口號配置策略指定路由的策略。
例2:
拓撲如圖,當前網絡中存在三條外網線,分別是X1 移動,X2 電信,X3 天威。現有以下需求:
1、 內網所有網段在訪問網站www.secuunion.net的時候走X2電信線路
2、 文件服務器192.168.1.10全部流量走X1接口出去
3、 內網192.168.4.0段的郵件服務走X3線路出去
需求1:
其實是目的地址路由的一種,首先,還是建立地址對象,對於URL的地址對象我們可以建立FQDN或者直接ping這個網址,然後使用解析出來的IP。
還是在address object中建立地址對象,兩種任意。如果有多個地址,可以使用地址組圈起來。
建立完成之後在routing中新增一條路由,源地址任意,目的地址www.secuunion.net,接口X2,網關X2 default gateway(即防火牆默認地址對象,X2接口網關地址,不要選X2 IP,那是X2的接口地址),metic 1。
點擊OK確認,配置完成之後,所有人在訪問www.secuunion.net的時候會固定軸X2的線路去訪問。
需求2:
這種情況有時候又被稱爲源地址路由,相當於指定某個IP或者某個網段從某條線路出去。
首先還是建立地址對象,我們需要建立服務器192.168.1.10的地址對象,同理,有多個的話可以建立完地址對象之後建立一個地址組。
接下來就可以添加路由了。源地址就是服務器IP,目的地任意,服務任意,接口X1,網關X1 default gateway,度量值1。點擊OK完成配置。
需求3:
需求3相當於是需求2個一個進階版本,除了源地址之外還指定服務。
首先建立對象,之前已經建立過4段的地址對象,所以地址對象無需再建立一次,主要是需要建立郵件的服務對象。SonicWALL防火牆自帶郵件服務,但是都是單一的端口,需要建立一個服務組。
之後,再新建一條路由策略,源地址是4段,目的地址任意,端口任意,度量值1,點擊OK完成配置。
三、等價路由配置
等價路由,有時候也叫多路徑路由,即ECMP即爲到達同一個目的 IP 或者目的網段存在多條 Cost 值相等的不同路由路徑。在SonicWALL上又叫做多路徑路由(Multi-Path Route),利用等價路由,我們可以讓發往該目的 IP 或者目的網段的三層轉發流量就通過不同的路徑分擔,實現網絡的負載均衡,並在其中某些路徑出現故障時,由其它路徑代替完成轉發處理,實現路由冗餘備份功能。
例3:
拓撲如圖,公司A和公司B有兩臺NSA 2650 防火牆,公司A內網段是172.16.0.0/24,公司B網段爲172.16.1.0/24,公司A和公司B之間有2條專線,兩條專線接到兩個公司的防火牆的X3口和X4口上。現在需要增加路由,讓公司A和公司B可以互相訪問。
常規來說,只要在X3口上寫路由即可讓兩個公司互通,但是這樣就相當於浪費了另外一條專線,對於這種情況我們就可以使用等價路由,一方面起到了冗餘備份的效果,另外一方面可以同時使用兩條線路的帶寬,充分利用帶寬資源。
首先還是要創建相關地址對象,創建地址對象,創建方法參考前文,此處不再贅述。創建完地址對象之後添加路由策略。
還是在network的routing中添加一條路由,源地址任意,目的地址爲對方網段,服務任意,在下方選擇Multi-Path Route,由於我們只有2條線,Gateway Number設置爲2(SonicWALL最大支持4條線路的等價路由),之後就可以看到下面可以配置2個網關和接口,接口分別是X3和X4,gateway即對端接口IP地址,度量值 1,點擊OK完成配置。
配置完成之後即可看到等價路由,與常規路由不同,等價路由可以看到有多個網關與接口,在其中一條線路不通的情況下,會自動走另外一條,如果兩條線路都通,則會自動負載。
對於對端防火牆上的策略,也做類似配置即可,此處不再贅述,此外需要注意的是配置等價路由需要對端也支持等價路由纔會生效,否則即使配置了也只會使用一條線路。
值得一提的是SonicWALL防火牆的等價路由可以應用在VPN上,將VPN配置爲Tunnel interface模式,在等價路由中可以將Tunnel interface接口配置爲路徑,通過這種方法我們可以同時使用專線與IPsecVPN。
四、應用路由配置
除了常規路由之外,SonicWALL還支持應用路由,使用應用路由可以指定應用從某條線路上網。注意,此功能需要配合UTM使用。
例4:
拓撲如圖,現在需要設置內網所有的Voip應用流量走X2線路。
首先,我們需要配置匹配對象Match Object,展開Firewall→Match Object,點擊add按鈕選擇Application list object。
Application list object提供了Application和category兩種類型的視圖,前者可以選擇具體的某些應用,後者爲應用大類,如果是要匹配一整個應用類別,兩者均可。
在 Category中勾選VoIP-APPS,點擊name前面的“+”即可選中所有Voip類的應用。
或者也可以在Category中直接選項Voip-APPS。
去掉Auto-generate match object name選項可以自定義匹配對象的名稱。點擊OK完成匹配對象建立。
進入network→routing頁面,點擊add添加一條路由,源地址,目的地址任意,目的地址下方將Service改爲App,此時下拉框中出現的就是剛纔建立的匹配對象。接口選擇X2,網關選擇X2 default gateway,度量值1,點擊OK確認添加。
配置完成之後即可看到一條應用路由,所有匹配到Voip的應用流量都將從X2線路出去。
五、網絡探測配置
網絡監測(network monitor)是SonicWALL上的一個輔助功能,在路由策略中可以選擇一個網絡探測,根據探測結果,防火牆會自動啓用或者禁用路由條目,常用於備份路由。
以例2中的需求2爲例,文件服務器192.168.1.10全部流量走X1接口出去,如果X1線路出現故障會導致文件服務器無法上網,此時我們可以做一個探測來解決這個問題。
首先,我們需要一個探測目標,探測目標可以選擇一些常用外網IP或者域名。例如114114.114.114,www.baidu.com,使用地址組可以設置多個探測目標。
然後進入network→network monitor,點擊add新增一個探測策略,配置如圖,Name隨意,Probe Target選擇剛纔創建用於探測的地址組,因爲是用於探測X1線路,下一跳選擇X1,出口選擇X1,下面其他項目主要是設置探測間隔,超時時間等,可以保持默認也可以根據環境需求自定義。
點擊OK完成創建,創建完成之後,可以看到status爲黃色,這代表正在探測,當探測成功會變爲綠色,鼠標放在狀態上可以看到探測的詳細信息。
進入network→routing,修改之前的路由策略,在Probe處選擇我們建立的探測策略。
此時這條路由已經應用了網絡探測,當探測失敗,該路由會自動失效變爲灰色。此時如果服務器上網就會匹配到默認路由,保證服務器在X1線路中斷的情況下仍然可以上網。
如果不想服務器在斷網之後走默認路由,也可以手動設置一條新的路由,例如指定服務器走X3線路,在Probe中同樣選擇X1 monitor,不同的是這條策略我們勾上“Disable route when probe succeeds”選項,勾選此選項之後,在探測成功的情況下會禁用這條路由,這樣,當探測失敗這條路由反而會被啓用,讓服務器走X3線路上網。
六、總結
SonicWALL的路由配置簡單但是又功能強大,可以根據實際需要靈活的調整和組合。