Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》18版後的路由優先順序 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》18版後的路由優先順序引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在17版前多WAN的情境下,對外要走哪個WAN?
可以直接在防火牆規則中指定,相當直覺方便∼

但在18版後,NAT與防火規則分拆開來,
對外要從哪個WAN出去變的麻煩多了...

要從哪個WAN出去,18版後只能在policy routing中額外去定義。
那麼policy route,vpn route跟static route三種路由的優先順序,在18版中又有什麼變化呢?


在XG中,可透過以下指令於console設定static route,VPN與policy route的優先順序。

system route_precedence set static vpn sdwan_policyroute

17版預設的優先順序為policyroute vpn static,
18版後預設的優先順序則改為static sdwan_policyroute vpn。

問題來了,18版中預設的路由優先順序是否符合一般情境?


順子認為,在只有一條WAN,且沒有site to site VPN的情境下,
維持預設設定是OK的,畢竟環境單純。

但若有多條WAN,內部網路或主機會依不同需求透過對應的WAN連外,且有site to site VPN的情境下,
這預設的路由順序是要需要調整的。

在有site to site VPN的情境下,VPN tunnel兩端網段的通導最為重要,
所以VPN要設定為最優先。

若內部有其它router來通導到內部其它網段,而policy route只是用來指定對要走的WAN,
那麼static route的優先權要大於policy route,
不然去到內部其它網段的路由會被policy route搶走而從指定的外網出去。

總結來說,順子建議18版後的路由優先順序可調整為vpn static sdwan_policyroute
這樣的優先順序比較符合大部分的情境。


PS.
17版就沒有這些困擾,Sophos真的是在搬磚砸腳!
不知道會不會有一天,又把NAT跟Firewall rule綁在一起了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-01-31, 17:33 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR