Datenverkehrsfluss für direkt verbundene Netzwerke zulassen: Routenpriorisierung festlegen

Wenn in SD-WAN-Richtlinienrouten das Zielnetzwerk auf Beliebig gesetzt ist, werden direkt verbundene Netzwerke über die WAN-Schnittstelle geroutet. Legen Sie die Routenpriorisierung auf der Kommandozeile fest, um den internen Datenverkehrsfluss zuzulassen.

Einleitung

XG Firewall wendet SD-WAN-Richtlinienrouten auf den gesamten (externen und internen) Datenverkehr an, wenn diese beiden Szenarien zusammentreffen:
  • Routenpriorisierung SD-WAN-Richtlinienrouten sind vor statischen Routen in der Kommandozeile festgelegt.
  • SD-WAN-Richtlinienrouten: Zielnetzwerke sind in der Web-Admin-Oberfläche auf Beliebig gesetzt.
Warnung Die standardmäßige Routenpriorisierung in 18.0 lautet statische Routen, SD-WAN-Richtlinienrouten und VPN. Bei der Migration einer früheren Version zu 18.0 behält XG Firewall die in der früheren Version festgelegte Routenpriorisierung bei. Alternativ könnten Sie in neuen 18.0-Installationen die Standardpriorisierung geändert haben.

Dies zwingt Ihre internen Quellen, das WAN-Gateway für interne Ziele zu verwenden, und kann den internen Datenverkehrsfluss unterbrechen.

Um den Datenverkehr zwischen direkt verbundenen Netzwerken zuzulassen, überprüfen Sie die Routenpriorisierung und legen Sie statische Routen vor SD-WAN-Richtlinienrouten fest.

Routenpriorisierung festlegen, um internen Datenverkehrsfluss zuzulassen

Zeigen Sie die aktuelle Routenpriorisierung an. Ändern Sie ggf. die Reihenfolge.

  1. Melden Sie sich über SSH an der Kommandozeile an. Alternativ können Sie zur Web-Admin-Oberfläche gehen und der oberen rechten Ecke auf admin > Konsole klicken.
  2. Geben Sie 4 für Appliance-Konsole ein.
  3. Verwenden Sie folgenden Befehl:

    console> system route_precedence show

  4. Optional Sie können die Routenpriorisierung auch in der Web-Admin-Oberfläche anzeigen. Gehen Sie zu Routing > SD-WAN-Richtlinienrouting und sehen Sie sich das Feld unter dem Menü an.
  5. Damit interne Quellen interne Netzwerke direkt erreichen können (interne Hosts, die auf interne Geräte und Server zugreifen), legen Sie die Routenpriorisierung mit statischem Routing vor SD-WAN-Richtlinienrouting auf der Kommandozeile fest.

    Beispiel: console> system route_precedence set static sdwan_policyroute vpn

  6. Optional Um die angepasste Reihenfolge der Route zu überprüfen, verwenden Sie den folgenden Befehl erneut:

    console> system route_precedence show

Sie müssen eine Firewallregel erstellen, um Datenverkehr zwischen internen Zonen zuzulassen, z.B. zwischen dem LAN und der DMZ.

XG Firewall wendet nun statische Routen an, bevor die richtlinienbasierten SD-WAN-Routen angewendet werden. Interner Datenverkehr wird direkt an das interne Ziel weitergeleitet.