策略路由 允许您根据自定义规则和条件,灵活地将流量引导至特定的网络接口,例如特定的 WAN 端口或 VPN 隧道。

有关 UniFi 流量和策略管理 功能的完整概述,请参阅此处

有关 UniFi 网络和网络安全 功能的完整概述,请参阅此处

需求

何时使用策略路由

策略路由有许多可能的应用场景,以下是一些常见的使用案例:

  • 跨 WAN 分流流量:将特定类型的流量引导至不同的 WAN 接口(例如 WAN1 与 WAN2)。
    • 通过专用的低延迟光纤 WAN 发送视频会议(Zoom、Teams)流量,而所有其他流量则通过默认 WAN。
    • 强制访客 VLAN 流量通过经过过滤或限速的 WAN。
  • 通过 VPN 代理流量:强制某些设备或目的地通过 VPN 隧道而不是默认 WAN 进行路由。
    • 通过安全隧道将特定服务(例如 CRM、人力资源门户)的出站流量发送到 零信任交换(例如 Zscaler 或 Cloudflare)。
    • 使用 VPN 客户端(例如 NordVPN)来克服地理内容限制。

配置策略路由

  1. 导航至策略路由规则:根据您的 UniFi Network 版本,遵循以下路径:
    • Network 9.4:设置 > 策略表 > 创建新策略 > 路由
    • Network 9.3:设置 > 策略引擎 > 策略路由 > 创建路由
  2. 创建名称:为规则指定一个名称。
  3. 选择接口:这是指定流量将通过的 VPN 隧道、WAN(互联网)或本地网络接口。
  4. (可选)配置 Kill Switch(终止开关)开关
    • 已启用:如果指定的接口断开连接,流量将完全停止。
    • 已禁用:如果指定的接口断开连接,流量将改为流向默认接口,或者根据其他路由规则具有次高优先级的接口。
  5. 配置源和目的地:符合所有指定条件的流量将通过在 (2) 中配置的接口进行路由。
    • 源 (Source)
      • 任何 (Any):适用于从本地网络内部发出的任何流量。
      • 设备 / 网络 (Device / Network):指定特定的网络(VLAN)和/或设备。
    • 目的地 (Destination)
      • 任何 (Any):适用于任何流量,无论其目的地为何。
      • IP:指定特定的 IP 地址或 IP 地址范围,以及与目的地流量相关的端口。
      • 域名 (Domain):指定一个或多个与目的地流量相关的域名。
        • 注意:需要客户端设备使用 UniFi 网关作为 DNS 服务器。
      • 地区 (Region):指定一个或多个与目的地流量相关的国家/地区。

示例

通过 VPN 发送流媒体流量

如果您想将来自 Apple TV 的特定流媒体流量发送到 VPN 客户端隧道,请创建一个包含以下选项的策略路由:

  • 类型:特定流量 (Specific Traffic)
  • 类别:域名 (Domain Name)
  • 域名:添加流媒体服务使用的一个或多个域名
  • 目标:Apple TV
  • 接口:VPN 客户端

将所有流量从虚拟网络路由到辅助 WAN

如果您想将所有流量从虚拟网络发送到辅助 WAN 端口,请创建一个包含以下选项的策略路由:

  • 类型:所有流量 (All Traffic)
  • 目标:选择虚拟网络名称
  • 接口:WAN2

有关更多信息,请参阅 WAN 故障转移和负载均衡

常见问题解答

  1. 我有一台电视,但它不支持 VPN。我可以使用策略路由通过 VPN 发送电视的流量吗?

    可以。首先配置一个指向您选择的提供商的 VPN 客户端,然后添加一个匹配该电视的流量路由。有关更多信息,请参阅示例部分。

  2. 我正在使用辅助故障转移 WAN。我可以使用策略路由将流量发送到此 WAN 端口吗?

    可以。有关更多信息,请参阅示例部分。

  3. 哪些流量会流经 VPN?

    默认情况下,只有发往远程本地网络的流量才会流经隧道。可以通过创建策略路由规则来发送所有或特定的互联网流量。

  4. UniFi 是否支持与 SASE 和/或 ZTNA 平台(如 ZScaler 或 Cloudflare)集成?

    支持。与 SASE/零信任交换创建一个 IPsec 站点到站点 VPN(基于路由),然后创建一个策略路由规则以通过隧道发送所有互联网流量。