مدت زمان مطالعه:
Policy Route
Policy Route این امکان را میدهد که یک Interface خاص برای مسیردهی ترافیک مشخص کنید. این قابلیت زمانی مفید است که نیاز دارید برخی انواع ترافیک شبکه را متفاوت از مسیریابی معمول از طریق Routing Table هدایت کنید. شما میتوانید از پروتکل ترافیک ورودی، آدرس Source یا Destination، Source Interface، یا شماره پورت برای تعیین مسیر ترافیک استفاده کنید.
زمانی که یک Packet دریافت میشود، FortiGate از بالای لیست Policy Route شروع میکند و سعی میکند Packet را با یک Policy تطبیق دهد. برای یافتن یک تطبیق، Policy باید اطلاعات کافی برای مسیریابی Packet داشته باشد. حداقل نیاز است که Outgoing Interface برای ارسال ترافیک و Gateway برای هدایت ترافیک مشخص شده باشد. اگر یکی یا هر دوی این موارد در Policy Route مشخص نشده باشند، FortiGate به دنبال بهترین مسیر فعال در Routing Table میگردد که با Policy Route مطابقت دارد. اگر مسیری در Routing Table پیدا نشود، Policy Route با Packet مطابقت نخواهد داشت. FortiGate به بررسی لیست Policy Route ادامه میدهد تا به انتهای لیست برسد. اگر هیچ تطابقی یافت نشود، FortiGate از Routing Table برای جستجوی مسیر استفاده میکند.
نکته:
مسیرهای Policy گاهی به عنوان Policy-Based Routes (PBR) نیز شناخته میشوند.
پیکربندی یک Policy Route
در این مثال، یک Policy Route پیکربندی میشود تا تمام ترافیک FTP دریافتی از Port1 را از طریق Port4 به روتر بعدی با آدرس 172.20.120.23 ارسال کند. برای مسیریابی ترافیک FTP، پروتکل روی TCP (6) تنظیم شده و پورتهای مقصد روی 21 (پورت FTP) قرار داده میشوند.
برای پیکربندی یک Policy Route در GUI:
1. به Network > Policy Routes بروید.
2. روی Create New > Policy Route کلیک کنید.
3. فیلدهای زیر را پیکربندی کنید:
Incoming Interface:
Port1
Source Address:
0.0.0.0/0.0.0.0
Destination Address:
0.0.0.0/0.0.0.0
Protocol:
TCP
Destination Ports:
21 - 21
Type of Service:
0x00
Bit Mask:
0x00
Outgoing Interface:
Port4
Gateway Address:
172.20.120.23
4. روی OK کلیک کنید.
برای پیکربندی یک Policy Route در CLI:
config router policy
edit 1
set input-device "port1"
set src "0.0.0.0/0.0.0.0"
set dst "0.0.0.0/0.0.0.0"
set protocol 6
set start-port 21
set end-port 21
set gateway 172.20.120.23
set output-device "port4"
set tos 0x00
set tos-mask 0x00
next
end
جابجایی یک Policy Route
زمانی که یک Routing Policy ایجاد میشود، به انتهای جدول اضافه میشود. Routing Policyها را میتوان به مکان دیگری در جدول منتقل کرد تا ترتیب اولویتها تغییر کند. در این مثال، Routing Policy 3 قبل از Routing Policy 2 جابجا میشود.
برای جابجایی یک Policy Route در GUI:
1. به Network > Policy Routes بروید.
2. در جدول، Policy Route مورد نظر را انتخاب کنید.
3. Policy Route انتخاب شده را به موقعیت دلخواه بکشید و رها کنید.
برای جابجایی یک Policy Route در CLI:
config router policy
move 3 after 1
end
اگر Policy Route بهدرستی تنظیم نشود و ترافیک به مسیری هدایت شود که دوباره به نقطه شروع بازگردد، Loop ایجاد میشود. برای جلوگیری از این مشکل، باید ساختار مسیریابی شبکه را دقیق بررسی کنید، از Route Mapها برای کنترل دقیقتر استفاده کنید و Monitoring فعال برای شناسایی Loopها داشته باشید.
استفاده بیش از حد از Policy Route میتواند باعث افزایش بار پردازشی شود، زیرا هر بسته نیاز به تطبیق با لیست Policyها دارد. برای بهینهسازی، باید تعداد Policyها را به حداقل برسانید، از شرایط دقیق برای کاهش بررسیهای غیرضروری استفاده کنید و Policyهای پرکاربرد را در ابتدای لیست قرار دهید.
FortiGate از ترتیب لیست Policy Route برای تطبیق استفاده میکند؛ اولین Policy که شرایط تطبیق دارد، اعمال میشود. برای مدیریت Conflicts، باید Policyهای مهمتر را در اولویت بالاتر قرار دهید یا از شرایط دقیقتر برای تفکیک Policyها استفاده کنید.
میتوانید Policy Route را به گونهای تنظیم کنید که فقط ترافیک مشخصی را هدایت کند، در حالی که ترافیک دیگر از طریق پروتکلهای OSPF یا BGP مدیریت میشود. برای جلوگیری از تداخل، باید اولویتبندی صحیح در جدول Policy Route رعایت شود و Metricهای مناسب برای مسیرهای دینامیک تنظیم گردد.
Static Routing برای مسیریابی کلی و پیشفرض در شبکه استفاده میشود، در حالی که PBR به شما اجازه میدهد ترافیک خاص را بر اساس معیارهایی مثل پورت، پروتکل، یا آدرس IP به مسیرهای متفاوت هدایت کنید. از PBR معمولاً در سناریوهایی مثل جداسازی ترافیک VoIP از ترافیک دادهای یا هدایت ترافیک خاص به VPN استفاده میشود.
<p>بسیار عالی و مفید بود</p> <p > با تشکر از سایت خوبتون.</p>