การที่จะกำหนดเส้นทางเพื่อให้ Traffic ไปออก WAN เส้นที่ 2 ขององค์กร นั้นมีConceptอยู่ 4 อย่าง ได้แก่
1. Interface IP - จะต้องกรอก IP Range ที่ซื้อมาเพิ่มในหน้า Interface เช่น Physical Interface
2. Routing - ต้องมี Routing เพื่อกำหนดว่า Traffic จะต้องไปตาม Policy ของ Routing อย่างไร เช่น ทำ Policy-Based Routes ไม่เช่นนั้นจะมีแค่ Default Route ที่ไปออก WAN Next-hop เดิม
3. SNAT - ต้องเปิดให้ Allow SNAT จาก Source Internal เพื่อออก Internet ขา WAN ใหม่ที่เพิ่ม
4. Application Control Policy - ตั้งค่า Allow Source Internal ว่า Allow การออก Internet ไปที่ Zone WAN ใหม่
Interface IP
1. ไปที่ Physical Interface > เลือก eth ที่ไป WAN ใหม่ (หรือ VLAN Interface ถ้าใช้เป็น Trunk เข้ามา)
2. เลือก Zone WAN ใหม่ (จะใช้ของเดิมหรือสร้างใหม่ก็ได้)
3. เลือก WAN Attribute, กรอก IP ที่ซื้อมา (กรอกไล่ลงมา หรือเขียนเป็น Range), กรอก Gateway ISP
Routing
1. โดยปกติใน site ที่มี WAN แค่ link เดียวจะมีตั้งค่าแค่ Static Route เพื่อชี้ Subnet ที่อยู่ใต้ CoreSwitch กับ Default Route 0.0.0.0/0 ว่าจะต้องไปออก next hop (gateway) ของ ISP เดิม
2. ดังนั้นจะต้องทำ Policy-Based Routes เพื่อเพิ่ม Route ให้กับ Traffic ก่อนที่จะเลือกไปออก Default Route
3. ลำดับการทำงานของ NGAF Routing
4. การตั้งค่า Policy-Based Route นั้นมี 2 แบบ คือ Source-Based route และ Link Load-balance
- Source-Based route คือเลือกว่า IP ชุดไหน (Source/Destination) จะต้องไปออกที่ WAN ใหม่ ที่ Interface หรือ Next hop ไหน (เลือกออกได้แค่ 1 Link)
- Link Load-balance จะเป็นการระบุว่า Source/Destination ที่เลือกให้ไปทำ Load Balance ด้วย 2+ WAN link ด้วยวิธีการไหน
อ่านเพิ่มเติม Link load-balancing route
5. ถ้าต้องการให้เป็น link standby ให้เลือก link loadbalance method เป็น Prefer link at top แล้วเลือก WAN ทั้ง 2 เส้นเข้ามา และจะต้องทำ Link State Detection ที่ขา interface ด้วย (เลือกเป็น gateway ISP ก็ได้ หรือ DNS ที่ไม่ได้ใช้งานหลัก)
SNAT Policy
1. หลังจากที่มี IP และ Route แล้วจะต้องทำ SNAT ให้กับ Zone WAN ใหม่ด้วย
(ถ้าไม่ได้ serious เรื่องการทำ SNAT แบบละเอียด สามารถเพิ่ม Zone WAN ใหม่ เข้าไปที่ Policy ข้อ SNAT เดิมได้)
โดยที่
โดยที่ Translate Src IP จะต้องเป็น Outbound Interface เพราะออก 2 WAN ใน policy เดียวกัน
2. หรือสามารถสร้าง SNAT Policy ข้อใหม่ เพื่อทำให้กับ Source Zone ไปยัง Destination WAN Zone ใหม่
Application Control Policy
1. ทำ Access Control เพื่อ Allow ให้ IP Subnet (หรือ All) สามารถออก WAN ใหม่ได้
การ Troubleshoot
1. ทำ Route Testing เพื่อตรวจสอบว่า Routing ถูกหรือไม่ ออกตาม Policy ที่เขียนหรือไม่
2. ใช้ Troubleshooting เพื่อดูว่าติดที่การทำ SNAT หรือ Application Control หรือไม่
การ Passthrough จะช่วยได้แต่ถ้าติดที่ App Control ถ้าติดที่SNAT ก็จะยังออกเน็ต ไม่ได้เหมือนเดิมเพราะเป็นเรื่อง routing
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น