【控制篇 / 策略】(7.4) ❀ 03. 地理地址对象在路由中的应用 ❀ FortiGate 防火墙
【简介】如何做到访问国内走Wan1,访问国际走Wan2 ?当企业有多条宽带,特别是有国际专线的时候,这个需求就很普遍了。通过地理地址对象可以快速的解决这些问题。
策略路由
当我们有多条宽带的时候,我们有两种方法分流,一个是策略路由,一个是SDWAN。
① 最常见的宽带是PPPoE拨号宽带,防火墙只需要在接口配置PPPoE,会自动生成默认路由。这里我们需要注意的是管理路离这个参数,当有多条宽带时,默认路由的管理距离必须相同,才能同时访问多条宽带,否则路由表中只有管理距离数值最小的那条路由。因此在配置PPPOE拨号时,管理距离由默认的5,更改为10。
② 除了PPPoE外,其它宽带配置的时候,都需要手动创建一条默认静态路由,管理距离默认为10,优先级默认为1。
③ 选择菜单【仪表板】-【网络】,点击【路由】小部件。
④ 在路由窗口右上角下拉选项,可以选择路由的类型,默认为【静态&动态】,在静态路由表中,可以看到有两条宽带的默认路由,说明两条宽带可以同时使用。这是因为它们的管理距离都是10。如果PPPoE拨号默认管理距离5没有修改,这里将只会显示管理距离数值最小的默认路由,也就是PPPoE拨号自动生成的路由。
⑤ 在路由列表上方的标题栏点击鼠标右键,弹出菜单中钩选【优先级】。
⑥ 可以看到,PPPoE默认生成的路由优先级为1,手动创建的静态路由默认优先级也是1,那么在同时两条宽带都上网的情况下,上网流量会不知道走哪条默认路由。最常见的情况就是有些网站能访问,而有些网站又不能访问。
⑦ 要让不同的访问走不同的宽带,就要用到策略路由,选择菜单【网络】-【策略路由】,点击【新建】。如果菜单上没有显示策略路由,可以点击菜单【系统管理】-【可见功能】,启用【高级路由】。
⑧ 策略路由的流入接口,选择内网和WiFi,源地址选择all,目的地址选择地理地址对象CHINA,流出接口选择Wan1,由于Wan1是PPPoE拨号,所以网关地址默认保持0.0.0.0,这条策略路由的功能,就是内网和WiFi的所有IP,访问国内IP时,走Wan1接口。
⑨ 再创建一条策略路由,功能是内网和WiFi的所有IP,访问所有IP,都走Wan2接口。由于Wan2非PPPoE,所以需要填写网关地址。
⑩ 策略路由的匹配顺序同样是从上到下,由于最上面的是访问国内IP的策略路由,因此防火墙会将访问IP与IP地址位置数据库的CN下的IP进行对比,对比成功,说明是国内IP,匹配第一条策略路由,走Wan1出去。对比不成功,说明是非国内IP,匹配第二条策略路由,走Wan2出去。也就达到了访问内国IP走Wan1,访问国际IP走Wan2的功能了。
⑪ 策略路由的优先级最大,只要有策略路由在,一定是先执行策略路由。这里就出现一个问题,那就是第二条策略路由,内网和WiFi访问所有IP,都会走Wan2,那么访问内网IP,同样也会因为匹配第二策略路由,而走Wan2出去了。这样就需要再创建一条策略路由,功能是内网和WiFi的所有IP,访问内网IP地址时,停止策略路由,这样就走静态或直连路由了。
⑫ 策略路由是从上往下匹配,需要把有明确的源或IP地址的策略路由移动到上方。鼠标点击策略路由最前面的序号,按住拖动,可以更改上下顺序,最后创建的访问内网IP的停止策略路由,移动到最上方。这样策略路由就配置好了。
⑬ 分别访问国内和国外的网站,然后选择菜单【仪表板】-【FortiView源】,双击本机的源IP。如果没有显示内容,右上角下拉菜单选择【现在】。
⑭ 选择【目标地址】,可以看到这个IP访问的所有IP,但是并没有显示走哪个接口出去。
⑮ 在标题上点击鼠标右键,弹出菜单钩选【目标接口】。点击【应用】。
⑯ 这样就可以看到,访问国内IP时走Wan1出去,访问其非国内IP时,走Wan2出去了。这就证明了地理地址对象CHINA在策略路由中发挥了作用。
SDWAN
当有多条宽带的时候,配置SDWAN可以更加充分的利用带宽。
① SDWAN的本质是将多条宽带接口加入到一个虚拟wan接口,统一进行管理。
② 这样做的好处是,只需要对虚拟wan接口创建默认路由,而不用单独为每条宽带创建默认路由。
③ 策略也只需要配置虚拟wan口,而不用为每条宽带独立配置策略。
④ 还可以监控每条宽带的状态,当某条宽带断开时,自动切换到正常的网带上网。
⑤ 流量怎么走,是由SDWAN规则来控制的。选择菜单【网络】-【SD-WAN】,右边窗口选择【SD-WAN规则】-【新建】。
⑥ 这条SDWAN的规则的作用是,指定IP访问国内网站时,走Wan1口,是不是看着很眼熟?和策略路由非常相似,只少了源接口和宽带网关IP。
⑦ 再创建一条访问所有IP走Wan2接口的规则。和策略路由不同的是,这里的流出接口可以选择多个,当第Wan2断网时,会继续走Wan1。
⑧ SDWAN规则和策略路由一样,匹配顺序也是从下往下区配,鼠标点击最左边序号,按住拖动可以改变顺序。和策略路由一样的地方是,并不影响访问内网IP,访问内网IP不需要建立类似于停止策略路由的操作。
⑨ 回到【仪表格】-【网络】下的路由小部件,右边下拉选项选择【策略路由】。
⑩ 可以看到SDWAN规则归类于策略路由,优先级低于策略路由,高于静态路由。
⑪ 可以看到地理地址对象CHINA在SDWAN规则中成功的起到了分流的作用。
【总结】地理地址对象使用防火墙上的IP地理位置数据库,来判断IP属于哪个国家,同其它地址对象一样,可以在路由中使用,对指定国家的IP的访问进行分流。
