UniFi Gateway - Маршрутизация на основе политик

Маршруты на основе политик позволяют гибко направлять трафик через определенные сетевые интерфейсы — такие как конкретный WAN-порт или VPN-туннель — на основе пользовательских правил и условий.

Требования

• Шлюз UniFi нового поколения или UniFi Cloud Gateway

Когда использовать маршрутизацию на основе политик

Существует множество возможных применений маршрутизации на основе политик, однако к распространенным сценариям использования относятся:

• Разделение трафика между несколькими WAN-каналами: Направление определенных типов трафика через разные WAN-интерфейсы (например, WAN1 или WAN2).
  • Отправка трафика видеоконференций (Zoom, Teams) через выделенный оптоволоконный WAN-канал с низкой задержкой, в то время как весь остальной трафик идет через основной WAN.
  • Принудительное направление трафика гостевой VLAN через фильтруемый или ограниченный по скорости WAN-канал.
• Проксирование трафика через VPN: Принудительная маршрутизация трафика определенных устройств или пунктов назначения через VPN-туннель вместо основного WAN-канала.
  • Отправка исходящего трафика для определенных служб (например, CRM, HR-порталы) через защищенный туннель к обмену в рамках Zero-Trust (например, Zscaler или Cloudflare).
  • Использование VPN-клиента (например, NordVPN) для обхода географических ограничений на контент.

Настройка маршрутов на основе политик

1. Перейдите к правилам маршрутизации на основе политик: Следуйте пути в зависимости от версии UniFi Network:
   1. Network 9.4: Настройки > Таблица политик > Создать новую политику > Маршрут
   2. Network 9.3: Настройки > Механизм политик > Маршруты на основе политик > Создать маршрут
2. Создайте имя: Назначьте имя правилу.
3. Выберите интерфейс: Это VPN-туннель, WAN (Интернет) или локальный сетевой интерфейс, через который будет направляться указанный трафик.
4. (Опционально) Настройте переключатель «Аварийное отключение» (Kill Switch)
   1. Включено: Если указанный интерфейс перестает работать, трафик полностью останавливается.
   2. Отключено: Если указанный интерфейс перестает работать, трафик будет перенаправлен через интерфейс по умолчанию или интерфейс со следующим по приоритету маршрутом в соответствии с другими правилами маршрутизации.
5. Настройте источник и назначение: Трафик, соответствующий всем указанным критериям, будет маршрутизирован через интерфейс, настроенный в пункте (2).
   1. Источник
      1. Любой: Применяется к любому трафику, исходящему из локальной сети.
      2. Устройство / Сеть: Укажите определенные сети (VLAN) и/или устройства.
   2. Назначение
      1. Любое: Применяется к любому трафику, независимо от его назначения.
      2. IP: Укажите определенные IP-адреса или диапазоны IP-адресов, а также порты, связанные с трафиком назначения.
      3. Домен: Укажите один или несколько доменов, связанных с трафиком назначения.
         Примечание: Требуется, чтобы клиентские устройства использовали UniFi Gateway в качестве DNS-сервера.
      4. Регион: Укажите одну или несколько стран, связанных с трафиком назначения.

Примеры

Отправка стримингового трафика через VPN

Если вы хотите отправлять определенный стриминговый трафик с вашего Apple TV через VPN-туннель клиента, создайте маршрут на основе политик со следующими параметрами:

• Тип: Конкретный трафик
• Категория: Доменное имя
• Доменное имя: Добавьте один или несколько доменов, используемых стриминговым сервисом
• Цель: Apple TV
• Интерфейс: VPN-клиент

Маршрутизация всего трафика из виртуальной сети на вторичный WAN-порт

Если вы хотите отправлять весь трафик из виртуальной сети на вторичный WAN-порт, создайте маршрут на основе политик со следующими параметрами:

• Тип: Весь трафик
• Цель: Выберите имя виртуальной сети
• Интерфейс: WAN2

Часто задаваемые вопросы