防火墙路由之静态路由(一)
一、路由表结构总览
shell
0.0.0.0/0 [10/0] via 222.178.157.65, port2, [1/0]
[10/0] via 183.230.155.1, port1, [2/0]
10.253.132.0/23 [1/0] via hengan-dx tunnel 202.109.209.46, [1/0]
[1/0] via hengan-yd tunnel 36.249.61.66, [1/0]
172.18.20.0/23 [1/0] via hengan-dx tunnel 202.109.209.46, [1/0]
[1/0] via hengan-yd tunnel 36.249.61.66, [1/0]
192.168.0.0/16 [1/0] via hengan-dx tunnel 202.109.209.46, [1/0]
[1/0] via hengan-yd tunnel 36.249.61.66, [1/0]
192.168.251.12/30 [5/0] via hengan-dx tunnel 202.109.209.46, [1/0]
192.168.252.12/30 [5/0] via hengan-yd tunnel 36.249.61.66, [1/0]解析静态路由表
路由表的一般格式如下:
shell
网络地址/掩码 [管理距离/度量值] via 出口接口 目标网关IP, [管理距离/度量值]- 网络地址/掩码:目标子网
- 管理距离(Administrative Distance, AD):决定多个路由的优先级,数值越小优先级越高
- 度量值(Metric):用于度量路由的开销,通常 OSPF、BGP 等动态路由协议使用
- via 出口接口:流量要通过哪个接口出去
- 目标网关 IP:数据包应该转发到的下一跳地址
您的路由表包含三类核心条目:
- 默认路由(0.0.0.0/0)——处理所有非本地流量。
- 特定子网路由(如10.253.132.0/23)——指向VPN隧道的专用路径。
- 点对点路由(如192.168.251.12/30)——维持隧道端点间通信。
二、分析你的路由
1. 默认路由:双ISP出口冗余
bash
0.0.0.0/0 [10/0] via 222.178.134.65, port2, [1/0]
[10/0] via 183.230.134.1, port1, [2/0]- 字段拆解:
- 0.0.0.0/0 代表默认路由,适用于所有无法匹配其他规则的流量。
- 两个出站路径:
222.178.157.65通过port2(优先级[1/0])。183.230.155.1通过port1(优先级[2/0])。
- 管理距离(Administrative Distance,AD)为
10,表明这是一条手动配置的静态路由。 - 度量值(Metric)分别为
1和2,日常流量全走port2,port2故障时15秒内切port1
1. 10.253.132.0/23
shell
10.253.132.0/23 [1/0] via hengan-dx tunnel 202.109.209.46, [1/0]
[1/0] via hengan-yd tunnel 36.249.61.66, [1/0]
172.18.20.0/23 [1/0] via hengan-dx tunnel 202.109.209.46, [1/0]
[1/0] via hengan-yd tunnel 36.249.61.66, [1/0]
192.168.0.0/16 [1/0] via hengan-dx tunnel 202.109.209.46, [1/0]
[1/0] via hengan-yd tunnel 36.249.61.66, [1/0]2. 核心子网走向
| 目标网络 | 传输路径 | 特点 |
|---|---|---|
10.253.132.0/23 | 双隧道: hengan-dx / hengan-yd | 自动负载均衡/故障切换 |
172.18.20.0/23 | 同上 | 业务系统专用通道 |
192.168.0.0/16 | 同上 | 覆盖所有192.168.x.x流量 |
📌 说明:
该网络的流量可以走 hengan-dx 或 hengan-yd,这通常用于双链路备份,如果 hengan-dx 断开,流量会自动切换到 hengan-yd。 如果你的网络中有多个 192.168.x.x 段,这意味着所有这些私有网络的流量都会通过 VPN 隧道传输。
3. 隧道管理走向
shell
S 192.168.251.12/30 [5/0] via hengan-dx tunnel 202.109.209.46, [1/0]
S 192.168.252.12/30 [5/0] via hengan-yd tunnel 36.249.61.66, [1/0]- 目标网络
192.168.251.12/30(子网范围很小,通常用于点对点连接,如 VPN 隧道接口) - 管理距离是
5,低于其他路由(管理距离1),因此它的优先级更低
📌 说明:
192.168.251.12/30 → 强制走 hengan-dx (低优先级)
192.168.252.12/30 → 强制走 hengan-yd (低优先级)
总结
你有两条主隧道:
hengan-dx和hengan-yd- 主要流量(
10.253.132.0/23、172.18.20.0/23、192.168.0.0/16)会走 两条隧道,用于负载均衡或备份。 - 这些路由的管理距离是
1,优先级较高,保证流量优先使用这些路径。
- 主要流量(
你有两个备用路由:
192.168.251.12/30和192.168.252.12/30- 这两个路由的管理距离是
5,优先级低,可能是用于某些特定业务的备用路径。
- 这两个路由的管理距离是
如果
hengan-dx失效,流量会自动切换到hengan-yd,反之亦然。
- 如果启用了 SD-WAN,你应该检查 SD-WAN 规则是否影响了流量分配。
1. 路由优先级匹配规则
在 FortiGate 的路由表中,前后顺序没有直接关系,真正决定路由优先级的因素是管理距离(Administrative Distance, AD) 和 子网掩码(前缀长度),它们按照下面的规则进行匹配:
(1)最精确匹配(最长前缀匹配)
- 优先选择子网掩码最长的路由(即范围最小、最精确的路由)。
- 例如:
192.168.1.0/24(掩码 255.255.255.0)192.168.1.0/26(掩码 255.255.255.192)/26更精确,所以它的优先级更高,即使/24的管理距离更低。
📌 结论:
更精确的路由会优先使用,即使它的管理距离较高!
(2)管理距离(Administrative Distance, AD)
- 如果多个路由匹配相同的目标网络,优先选择管理距离较低的路由。
- 管理距离(AD)值越小,优先级越高。
常见的管理距离:路由类型 管理距离 直连路由(Connected) 0 静态路由(Static) 1 OSPF 110 BGP 外部(eBGP) 20 BGP 内部(iBGP) 200 RIP 120 策略路由(Policy Route) 特殊情况
📌 结论:
如果多个路由的前缀长度相同,管理距离最小的路由被优先使用!
(3)度量值(Metric)
- 如果多个路由的前缀长度和管理距离都相同,则比较“度量值”(Metric),度量值越小优先级越高。
- 在静态路由中,度量值通常为 0,不会影响选择,但在 OSPF、BGP 等动态路由协议中,度量值是重要的因素。
度量值仅在前缀长度和管理距离都相同时才会影响路由选择!
按照优先级排序:
192.168.251.12/30和192.168.252.12/30→ 更精确,但管理距离5,优先级低10.253.132.0/23、172.18.20.0/23、192.168.0.0/16→ 管理距离1,优先级高
2. 结论
✅ 前后顺序无关紧要,真正影响路由选择的是:
- 子网掩码(前缀长度),更精确的路由优先
- 管理距离(Administrative Distance, AD),数值越小优先级越高
- 度量值(Metric),如果前缀长度和管理距离都相同,度量值小的优先
因此,你的路由表里即使 192.168.251.12/30 在 192.168.0.0/16 之后,它仍然会被优先匹配,因为 /30 比 /16 更精确。
