【简介】如何做到访问国内走Wan1，访问国际走Wan2 ？当企业有多条宽带，特别是有国际专线的时候，这个需求就很普遍了。通过地理地址对象可以快速的解决这些问题。

---

 策略路由

　　当我们有多条宽带的时候，我们有两种方法分流，一个是策略路由，一个是SDWAN。

　　① 最常见的宽带是PPPoE拨号宽带，防火墙只需要在接口配置PPPoE，会自动生成默认路由。这里我们需要注意的是管理路离这个参数，当有多条宽带时，默认路由的管理距离必须相同，才能同时访问多条宽带，否则路由表中只有管理距离数值最小的那条路由。因此在配置PPPOE拨号时，管理距离由默认的5，更改为10。

　　② 除了PPPoE外，其它宽带配置的时候，都需要手动创建一条默认静态路由，管理距离默认为10，优先级默认为1。

　　③ 选择菜单【仪表板】-【网络】，点击【路由】小部件。

　　④ 在路由窗口右上角下拉选项，可以选择路由的类型，默认为【静态&动态】，在静态路由表中，可以看到有两条宽带的默认路由，说明两条宽带可以同时使用。这是因为它们的管理距离都是10。如果PPPoE拨号默认管理距离5没有修改，这里将只会显示管理距离数值最小的默认路由，也就是PPPoE拨号自动生成的路由。

　　⑤ 在路由列表上方的标题栏点击鼠标右键，弹出菜单中钩选【优先级】。

　　⑥ 可以看到，PPPoE默认生成的路由优先级为1，手动创建的静态路由默认优先级也是1，那么在同时两条宽带都上网的情况下，上网流量会不知道走哪条默认路由。最常见的情况就是有些网站能访问，而有些网站又不能访问。

　　⑦ 要让不同的访问走不同的宽带，就要用到策略路由，选择菜单【网络】-【策略路由】，点击【新建】。如果菜单上没有显示策略路由，可以点击菜单【系统管理】-【可见功能】，启用【高级路由】。

　　⑧ 策略路由的流入接口，选择内网和WiFi，源地址选择all，目的地址选择地理地址对象CHINA，流出接口选择Wan1，由于Wan1是PPPoE拨号，所以网关地址默认保持0.0.0.0，这条策略路由的功能，就是内网和WiFi的所有IP，访问国内IP时，走Wan1接口。

　　⑨ 再创建一条策略路由，功能是内网和WiFi的所有IP，访问所有IP，都走Wan2接口。由于Wan2非PPPoE，所以需要填写网关地址。

　　⑩ 策略路由的匹配顺序同样是从上到下，由于最上面的是访问国内IP的策略路由，因此防火墙会将访问IP与IP地址位置数据库的CN下的IP进行对比，对比成功，说明是国内IP，匹配第一条策略路由，走Wan1出去。对比不成功，说明是非国内IP，匹配第二条策略路由，走Wan2出去。也就达到了访问内国IP走Wan1，访问国际IP走Wan2的功能了。

　　⑪ 策略路由的优先级最大，只要有策略路由在，一定是先执行策略路由。这里就出现一个问题，那就是第二条策略路由，内网和WiFi访问所有IP，都会走Wan2，那么访问内网IP，同样也会因为匹配第二策略路由，而走Wan2出去了。这样就需要再创建一条策略路由，功能是内网和WiFi的所有IP，访问内网IP地址时，停止策略路由，这样就走静态或直连路由了。

　　⑫ 策略路由是从上往下匹配，需要把有明确的源或IP地址的策略路由移动到上方。鼠标点击策略路由最前面的序号，按住拖动，可以更改上下顺序，最后创建的访问内网IP的停止策略路由，移动到最上方。这样策略路由就配置好了。

　　⑬ 分别访问国内和国外的网站，然后选择菜单【仪表板】-【FortiView源】，双击本机的源IP。如果没有显示内容，右上角下拉菜单选择【现在】。

　　⑭ 选择【目标地址】，可以看到这个IP访问的所有IP，但是并没有显示走哪个接口出去。

　　⑮ 在标题上点击鼠标右键，弹出菜单钩选【目标接口】。点击【应用】。

　　⑯ 这样就可以看到，访问国内IP时走Wan1出去，访问其非国内IP时，走Wan2出去了。这就证明了地理地址对象CHINA在策略路由中发挥了作用。

  SDWAN

　　当有多条宽带的时候，配置SDWAN可以更加充分的利用带宽。

　　① SDWAN的本质是将多条宽带接口加入到一个虚拟wan接口，统一进行管理。

　　② 这样做的好处是，只需要对虚拟wan接口创建默认路由，而不用单独为每条宽带创建默认路由。

　　③ 策略也只需要配置虚拟wan口，而不用为每条宽带独立配置策略。

　　④ 还可以监控每条宽带的状态，当某条宽带断开时，自动切换到正常的网带上网。 

　　⑤ 流量怎么走，是由SDWAN规则来控制的。选择菜单【网络】-【SD-WAN】，右边窗口选择【SD-WAN规则】-【新建】。

 　　⑥ 这条SDWAN的规则的作用是，指定IP访问国内网站时，走Wan1口，是不是看着很眼熟？和策略路由非常相似，只少了源接口和宽带网关IP。

　　⑦ 再创建一条访问所有IP走Wan2接口的规则。和策略路由不同的是，这里的流出接口可以选择多个，当第Wan2断网时，会继续走Wan1。

　　⑧ SDWAN规则和策略路由一样，匹配顺序也是从下往下区配，鼠标点击最左边序号，按住拖动可以改变顺序。和策略路由一样的地方是，并不影响访问内网IP，访问内网IP不需要建立类似于停止策略路由的操作。

　　⑨ 回到【仪表格】-【网络】下的路由小部件，右边下拉选项选择【策略路由】。

　　⑩ 可以看到SDWAN规则归类于策略路由，优先级低于策略路由，高于静态路由。

　　⑪ 可以看到地理地址对象CHINA在SDWAN规则中成功的起到了分流的作用。

 

　　【总结】地理地址对象使用防火墙上的IP地理位置数据库，来判断IP属于哪个国家，同其它地址对象一样，可以在路由中使用，对指定国家的IP的访问进行分流。

---