Inhaltsverzeichnis
Werbung
Referenzhandbuch
6 Routing und WAN-Verbindungen
1
Beim Load-Balancing wird der Datenverkehr für bestimmte Protokolle über einen bestimmten DSL-Port mit einem
zusätzlichen externen ADSL-Modem geleitet.
1
Ein Server im lokalen Netz, der über eine feste IP-Adresse aus dem WAN erreichbar sein sollte, wird über ein bestimmtes
WAN-Interface geroutet.
1
Der VPN-Verkehr wird mit dem Routing-Tag '0' durch einen VPN-Tunnel mit dynamischen Endpunkten geleitet, der
restliche Internetverkehr der Firma wird mit einem entsprechenden Routing-Tag auf eine andere Firewall umgeleitet.
Um die Kanalauswahl aufgrund anderer Informationen als nur der Ziel-IP-Adresse zu entscheiden, werden geeignete
Einträge in der Firewall angelegt. Den Firewall-Einträgen wird dabei ein spezielles „Routing-Tag" zugefügt, mit dem über
die Routing-Tabelle die gewünschte Kanalauswahl gesteuert werden kann. So wird z. B. über eine Regel dem gesamten
Datenverkehr einer lokalen Rechnergruppe (entsprechend dem IP-Adress-Bereich) das Routing-Tag '2' angehängt.
Alternativ definieren gezielt einige Protokolle ein anderes Routing-Tag.
Die Zeichnung zeigt die Anwendung des Policy-based Routing beim Load-Balancing:
1
Beim Aufbau der Verbindungen prüft zunächst die Firewall, ob die anstehenden Pakete zu einer Regel passen, in der
ein Routing-Tag enthalten ist. Das Routing-Tag wird in das Datenpaket eingetragen.
1
Mit dem gefundenen Routing-Tag und der Ziel-IP-Adresse kann in der IP-Routing-Tabelle die passende Gegenstelle
gefunden werden. Dazu wird die IP-Routing-Tabelle wie üblich von oben nach unten durchgearbeitet.
1
Wird ein übereinstimmender Eintrag für das Netzwerk gefunden, wird im zweiten Schritt das Routing-Tag geprüft.
Mit dem passenden Routing-Tag kann so die gewünschte Gegenstelle gefunden werden. Über die Gegenstelle kann
das Gerät beim Load-Balancing aus der Gegenstellenliste den richtigen DSL-Port ermitteln.
5
Wenn das Routing-Tag den Wert „0" hat (Default), dann gilt der Routing-Eintrag für alle Pakete.
1
Interne Dienste verwenden implizit immer das Default-Tag. Wenn der Anwender z. B. die Default-Route durch einen
VPN-Tunnel leiten will, der einen dynamischen Tunnelendpunkt hat, so nutzt das VPN-Modul standardmäßig die
Default-Route mit dem Routing-Tag „0".
Um die Default-Route dennoch durch den VPN-Tunnel zu führen, legen Sie eine zweite Default-Route mit dem
Routing-Tag „1" und der VPN-Gegenstelle als Router-Namen an. Mit einer passenden Firewall-Regel übertragen Sie
alle Dienste von allen Quell-Stationen zu allen Ziel-Stationen mit dem Routing-Tag „1".
1
Routing-Tags und RIP: Das Routing-Tag wird auch in RIP-Paketen versendet und beim Empfang ausgewertet, damit
z. B. die geänderten Distanzen in den richtigen Routen geändert werden können.
Routing-Tags für VPN- und PPTP-Verbindungen
Routing-Tags werden im Gerät genutzt, um neben der IP-Adresse weitere Kriterien zur Auswahl der Zielroute auswerten
zu können. Normalerweise werden die Routing-Tags den Datenpaketen über spezielle Regeln der Firewall hinzugefügt.
In manchen Fällen ist es aber erwünscht, die Routing-Tags auf direkterem Wege zuzuweisen.
1
Routing-Tags bei VPN-Verbindungen
310
Werbung
Inhaltsverzeichnis
