《分享》18版後的路由優先順序
在17版前多WAN的情境下,對外要走哪個WAN?
可以直接在防火牆規則中指定,相當直覺方便∼
但在18版後,NAT與防火規則分拆開來,
對外要從哪個WAN出去變的麻煩多了...
要從哪個WAN出去,18版後只能在policy routing中額外去定義。
那麼policy route,vpn route跟static route三種路由的優先順序,在18版中又有什麼變化呢?
在XG中,可透過以下指令於console設定static route,VPN與policy route的優先順序。
17版預設的優先順序為policyroute vpn static,
18版後預設的優先順序則改為static sdwan_policyroute vpn。
問題來了,18版中預設的路由優先順序是否符合一般情境?
順子認為,在只有一條WAN,且沒有site to site VPN的情境下,
維持預設設定是OK的,畢竟環境單純。
但若有多條WAN,內部網路或主機會依不同需求透過對應的WAN連外,且有site to site VPN的情境下,
這預設的路由順序是要需要調整的。
在有site to site VPN的情境下,VPN tunnel兩端網段的通導最為重要,
所以VPN要設定為最優先。
若內部有其它router來通導到內部其它網段,而policy route只是用來指定對要走的WAN,
那麼static route的優先權要大於policy route,
不然去到內部其它網段的路由會被policy route搶走而從指定的外網出去。
總結來說,順子建議18版後的路由優先順序可調整為vpn static sdwan_policyroute,
這樣的優先順序比較符合大部分的情境。
PS.
17版就沒有這些困擾,Sophos真的是在搬磚砸腳!
不知道會不會有一天,又把NAT跟Firewall rule綁在一起了...