iKuai爱快流控路由

标题: 爱快主网关对旁路网关下设备进行协议管理 [打印本页]

作者: xibanya 时间: 2023-4-6 20:13
标题: 爱快主网关对旁路网关下设备进行协议管理
本帖最后由 xibanya 于 2023-4-6 20:31 编辑

最近看到有坛友问，爱快作为主网关，内网设备网关指向旁路网关时，如何进行行为管理。特定搭了个简化环境测试了下。
只有文字描述，论坛的图片上传一直搞不懂顺序，懒得折腾了。想必会用旁路网关的坛友也能看的懂。

实验基本环境：

（1）爱快lan：172.16.66.254/24 （2）openwrt -lan:172.16.66.253 (3)PC1 172.16.66.1/24 网关指向openwrt （4）PC2 172.16.66.2/24

openwrt lan口可选择是否开启Masquerading（我实验没开，这个实验用不到这个）

重点：（1）给openwrt添加nat规则。例如，PC1上网，过了op后，让op将源地址转成192.168.10.1。PC2过op后，源地址转为192.168.10.2

192.168.10.x不需要配置在op的任何实际接口上。类似于防火墙snat配置。按道理最好在op上配置去往192.168.10.1和10.2的黑洞路由、。。。。

op-防火墙-NAT-rules，添加一条规则：名称自己写，协议任意，zone：lan，source address ：172.16.66.1（PC1的IP）；Action：SNAT-Rewrite to XXXX

Rewrite IP Address :192.168.10.1

意思是：当去往非直连的目标网段（比如去外网）的源地址为PC1的地址172.16.66.1时，进行源NAT转换，将源地址替换为192.168.10.1

同理添加pc2的nat规则

（2）在爱快路由器添加静态路由。例如，添加一条静态：线路lan1，目的地址：192.168.10.0；掩码24；网关172.16.66.253（即告诉爱快，去往192.168.10.0/24要去找openwrt）

可选--opwrt上配置黑洞路由，防止爱快-OP之间形成路由环路：

openwrt---网络---路由----静态IPv4路由，添加一条：接口无需指定，目标192.168.10.0/24，网关无，类型选择backhole

比如，你的pc2，PC3.。。。。。去ping 192.168.10.1，如果没有这个黑洞路由，那就会在op和爱快之间形成一个路由环路。。。。

（3）此时，PC1去往公网，经过op后，源地址就变为了自定义的192.168.10.1，如果有PC2去往公网，就替换成192.168.10.2

爱快上针对这两台PC进行行为管理，只要对192.168.10.1和192.168.10.2进行管理即可

备注：192.168.10.1和192.168.10.2的mac地址一样，均为op的mac地址，这个没办法。过了网关源mac就会被替换成网关的mac，这是基本的通信原理

基于ip来做一些协议控制还是可以的。

作者: 爱快技术支持01 时间: 2023-4-7 10:03
感谢楼主分享经验

作者: jamesxu8365 时间: 2023-4-7 17:20
:)谢谢分享，学习下，理解下

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)