Pokud je lokální síť připojena do Internetu více linkami s rozložením zátěže (viz kapitola 6.4 Rozložení zátěže internetového připojení), může vzniknout požadavek, aby pro určitou komunikaci byla vyhrazena jedna linka a ostatní komunikace byla směrována přes zbývající linky. Důvodem je, aby důležitá komunikace (např. e-mail nebo informační systém) nebyla zbytečně zpomalována méně důležitou komunikací (např. „brouzdání“ uživatelů po WWW stránkách či poslech internetových rádií). Pro splnění tohoto požadavku je potřeba při směrování paketů z lokální sítě do Internetu kromě cílové IP adresy pracovat také s dalšími informacemi — zdrojovou IP adresou, protokolem atd. Tato technika směrování se nazývá policy routing (inteligentní směrování).
Ve WinRoute lze policy routing definovat pomocí podmínek v komunikačních pravidlech pro přístup do Internetu s překladem IP adres (NAT). Tato koncepce nabízí velmi široké možnosti pro splnění všech požadavků na směrování a rozložení zátěže internetového připojení.
Poznámka: Komunikační pravidla pro policy routing mají vyšší prioritu než cesty definované ve směrovací tabulce (viz kapitola 18.1 Směrovací tabulka).
Předpokládejme, že firewall je připojen do Internetu dvěma linkami s rozložením zátěže o rychlostech 4 Mbit/s a 8 Mbit/s. První z linek je připojena k poskytovateli, u kterého je zároveň hostován poštovní server. Proto je požadováno, aby veškerá e-mailová komunikace (protokoly SMTP, IMAP, POP3 a jejich zabezpečené verze) byla směrována touto linkou.
Pro splnění uvedených požadavků definujeme dvě komunikační pravidla:
První pravidlo určuje, že pro e-mailové služby bude prováděn překlad IP adres (NAT) s použitím rozhraní Internet 4 Mbit.
Druhé pravidlo je obecné pravidlo pro NAT s automatickým výběrem rozhraní (viz kapitola 7.4 Základní typy komunikačních pravidel).
Nastavení překladu IP adres v pravidle pro e-mailové služby je zřejmé z obrázku 7.31 Policy routing — nastavení NAT pro vyhrazenou linku. Doporučujeme povolit použití jiné linky, pokud dojde výpadku vyhrazené linky. V opačném případě by po dobu výpadku vyhrazené linky byly e-mailové služby nedostupné.
Předpokládejme, že poštovní server poskytuje také služby Webmail a CalDAV, které používají protokol HTTP(s). Přidání těchto protokolů do prvního pravidla by způsobilo, že by přes vyhrazenou linku byla směrována veškerá WWW komunikace. Pravidlo však můžeme modifikovat tak, aby linka byla vyhrazena pro komunikaci s konkrétním serverem — viz obrázek 7.32 Policy routing — vyhrazená linka pro konkrétní server.
Poznámka: Ve druhém pravidle je použit automatický výběr rozhraní. To znamená, že i linka Internet 4Mbit bude stále využita pro rozložení zátěže internetového připojení. Přitom samozřejmě bude zohledňována e-mailová komunikace, pro kterou je linka vyhrazena podle prvního pravidla. Celková zátěž tak bude stále optimálně rozložena mezi obě linky.
Pokud bychom z nějakého důvodu požadovali, aby určitá linka byla vyhrazena pouze pro danou komunikaci a veškerá ostatní komunikace byla směrována přes jiné linky, pak v sekci Konfigurace → Rozhraní nastavíme této lince rychlost 0 Mbit/s. Linka pak nebude použita pro rozložení zátěže, ale bude přes ni směrována pouze specifická komunikace dle komunikačních pravidel.
WinRoute nabízí dva způsoby rozložení zátěže internetového připojení: podle zdrojových počítačů (klientů) nebo podle jednotlivých spojení (bližší informace viz kapitola 7.3 Definice vlastních komunikačních pravidel). Vzhledem k různorodosti aplikací na jednotlivých počítačích a různým povahám uživatelů je zřejmé, že lepšího využití jednotlivých internetových linek se dosáhne při rozložení zátěže podle jednotlivých spojení. V tomto režimu však může docházet k problémům při přístupu ke službám, kde se navazuje více spojení současně (typicky WWW stránky a další služby založené na WWW). Server může různé zdrojové adresy v jednotlivých spojeních vyhodnotit jako obnovení spojení po výpadku (pak. dojde např. k vypršení relace) nebo jako pokus o útok (služba pak může být zcela nedostupná).
Řešením tohoto problému je použít policy routing. Pro „problematické“ služby (např. HTTP a HTTPS) bude zátěž rozložena podle klientů, tzn. všechna spojení z jednoho klienta budou směrována přes jednu internetovou linku a budou tedy mít shodnou zdrojovou IP adresu. Na ostatní služby bude aplikováno rozložení zátěže podle spojení — tím bude zajištěno optimální využití kapacity jednotlivých linek.
Uvedené požadavky zajistí dvě komunikační pravidla pro NAT — viz obrázek 7.33 Policy routing — optimalizace rozložení zátěže. V prvním pravidle uvedeme požadované služby a nastavíme režim NAT podle počítačů. Druhé pravidlo bude platit pro libovolnou (jinou) službu a nastavíme zde režim NAT podle spojení.