Zum Inhalt

SD-WAN-Profile

In Sophos Central können Sie SD-WAN-Profile auf den Firewalls in Ihren SD-WAN-Verbindungsgruppen erstellen.

Sie können SD-WAN-Profile verwenden, um eine SD-WAN-Routing-Strategie über Gateways in Ihrem SD-WAN-Netzwerk zu definieren. Sie können den Datenverkehr basierend auf der Verfügbarkeit oder Performance der Gateways weiterleiten. Dies optimiert die Performance Ihres SD-WAN-Netzwerks und erhöht die Ausfallsicherheit gegen ISP-Unterbrechungen.

Hinweis

Sophos Central unterstützt SD-WAN-Profile auf der Sophos Firewall 19.0 und höher.

Hinweis

SD-WAN-Profile funktionieren nicht, wenn sich die IP-Adresse der XFRM-Schnittstelle nicht im Subnetz /30 befindet. Ist dies nicht der Fall, wird die Option Migrieren neben der Firewall angezeigt. Klicken Sie darauf, um alle IP-Adressen des Tunnels in das Subnetz /30 zu migrieren. Die IP-Adressen werden aus den IP-Adressenpools 10.252.0.0/15 und 10.254.0.0/16 zugewiesen. Nach Abschluss der Migration wird eine Meldung angezeigt, die darauf hinweist, dass die Migration abgeschlossen ist.

Dienstleistungsvereinbarung (SLA)

Mit einer Dienstleistungsvereinbarung (Service Level Agreement, SLA) können Sie den Datenverkehr basierend auf der Performance der Gateways weiterleiten. Ein SLA umfasst Kriterien für die Performance-Überwachung. Die Firewall führt eine Sicherheitsprüfung durch und wählt auf der Basis der im SLA definierten Kriterien das Gateway mit der besten Leistung aus. Sie können eines der folgenden SLAs verwenden:

  • Höchste Qualität: Wählt das Gateway mit der besten Performance basierend auf den von Ihnen ausgewählten Performance-Überwachungskriterien (Latenz, Jitter oder Paketverlust) aus. Beispiel: Wenn Sie Latenz als Kriterien für die Performance-Überwachung auswählen, wählt die Firewall das Gateway mit der minimalen Latenz aus. Sie können dieses SLA für nicht kritischen Datenverkehr verwenden. Dies ist die Standard-SLA-Strategie und gilt für jede Firewall, mit der Sie einen VPN-Tunnel einrichten.

  • Benutzerdefiniertes SLA: Wählt das Gateway mit der besten Performance basierend auf den maximal zulässigen Werten aus, die Sie für Latenz, Jitter und Paketverlust definieren. Verwenden Sie diese Strategie, um die standardmäßige SLA-Strategie zu überschreiben. Dieses SLA gilt für eine bestimmte Firewall, mit der Sie einen VPN-Tunnel einrichten möchten.

Mit dem SLA Beste Qualität sucht die Firewall nur nach dem Gateway mit der besten Performance, das auf einem Kriterium basiert. Das benutzerdefinierte SLA stellt sicher, dass die Firewall das Gateway auswählt, das die angegebenen Performance-Level für alle Kriterien erfüllt.

Wenn kein Gateway das SLA erfüllt, leitet die Firewall den Datenverkehr über das erste verfügbare Gateway.

SD-WAN-Profil erstellen

So erstellen Sie ein SD-WAN-Profil:

  1. Gehen Sie zu Firewall-Management > SD-WAN-Verbindungsgruppen und klicken Sie auf die Verbindungsgruppe, in der Sie ein SD-WAN-Profil erstellen möchten.
  2. Gehen Sie im Assistenten zum Erstellen von SD-WAN-Verbindungsgruppen zu Netzwerke konfigurieren.
  3. Klicken Sie für die Firewall, für die Sie ein SD-WAN-Profil erstellen möchten, auf Details/Bearbeiten.
  4. Wählen Sie auf der Firewall-Seite SD-WAN-Profil.
  5. Wählen Sie ein Backup-Gateway aus.

    Sophos Central erstellt automatisch ein Gateway, um einen VPN-Tunnel einzurichten. Wählen Sie für das Backup-Gateway ein Gateway aus, das in der Firewall vorhanden ist. Die Firewall leitet dann den Datenverkehr über das erste verfügbare oder Gateway mit der besten Performance weiter.

  6. Wählen Sie eine der folgenden Routing-Strategien:

    Einschränkung

    Diese Option wird in der Sophos Firewall 19.5 und höher angezeigt.

    • Erstes verfügbares Gateway: Verwenden Sie diese Option, um den Datenverkehr basierend auf der Verfügbarkeit der Gateways weiterzuleiten. Die Firewall führt eine Zustandsprüfung auf allen hinzugefügten Gateways in der angegebenen Reihenfolge aus und wählt das erste verfügbare Gateway aus.

    • Lastverteilung: Verwenden Sie diese Option, um den Datenverkehr zwischen allen hinzugefügten Gateways oder Gateways, die das SLA erfüllen, auszugleichen. Wählen Sie eine Lastausgleichsmethode aus:

      • Round-robin: Verwenden Sie diese Option, um den Datenverkehr zwischen allen Gateways in der aufgeführten Reihenfolge auszugleichen. Zum Beispiel: Wenn Sie über drei Gateways verfügen, sendet die Firewall die erste Anfrage an das erste Gateway, die zweite Anfrage an das zweite Gateway, die dritte Anfrage an das dritte Gateway und die vierte Anfrage erneut an das erste Gateway.
      • Persistenz-Typ der Sitzung: Verwenden Sie diese Option, um das gleiche Gateway für die Dauer einer Sitzung auf der Grundlage des von Ihnen ausgewählten Persistenztyps (Quell-IP-Adresse, Ziel-IP-Adresse, Quell- und Ziel-IP-Adresse oder Verbindung) beizubehalten.
  7. Aktivieren Sie Dienstleistungsvereinbarung (SLA) und wählen Sie eines der folgenden Kriterien für die Performance-Überwachung aus:

    • Latenz: Wählt das Gateway mit minimaler Latenz aus.
    • Jitter: Wählt das Gateway mit minimalem Jitter aus.
    • Paketverluste: Wählt das Gateway mit minimalem Paketverlust aus.

    Wenn Sie Dienstleistungsvereinbarung (SLA) nicht aktivieren, leitet die Firewall den Datenverkehr über das erste verfügbare Gateway weiter.

    SLA-Einstellungen

  8. Geben Sie Einstellungen der Zustandsprüfung für Standard (beliebige Firewall) wie folgt an:

    1. Protocol: Protokoll zur Überprüfung des Status des Gateways. Sie können entweder Ping oder TCP auswählen.
    2. Prüfziel-IP-Adresse: IP-Adresse eines Host-Geräts (Prüfziel) hinter dem Gateway. Sie können zwei Prüfziele hinzufügen.

      Die Sophos Firewall sendet Anfragen an Host-IP-Adressen hinter dem Gateway. Es betrachtet das Gateway als aktiv, wenn die Hosts auf Tests der Zustandsprüfung reagieren.

      Hinweis

      Wenn es sich bei der IP-Adresse des Prüfziels um eine öffentliche IP-Adresse handelt, müssen Sie eine Firewall-Regel erstellen, die Datenverkehr von der VPN-Zone zur WAN-Zone der Ziel-Firewall zulässt.

    3. Port: Portnummer, an die Sie die Tests der Zustandsprüfung senden möchten.

    4. (Optional) Benutzerdefiniertes SLA: Aktivieren Sie diese Optionen, um den Datenverkehr auf der Grundlage der benutzerdefinierten Werte, die Sie für Folgendes definieren, durch das Gateway mit der besten Performance zu leiten:

      • Latenz: Maximal zulässige Latenz in Millisekunden.
      • Jitter: Maximal zulässiger Jitter in Millisekunden.
      • Paketverluste: Maximal zulässiger Paketverlust in Prozentpunkten.

      Hinweis

      Wenn Sie Benutzerdefiniertes SLAaktivieren, überschreibt die Firewall die SLA-Strategie Beste Qualität.

  9. (Optional) Klicken Sie auf Prüfziel hinzufügen, um die Einstellungen der Zustandsprüfung für eine bestimmte Firewall festzulegen. Gehen Sie folgendermaßen vor:

    1. Wählen Sie unter Ziel-Firewall die Firewall aus.
    2. Wiederholen Sie Schritt 8.

    Beispiel:

    Einstellungen der Zustandsprüfung für eine Firewall

  10. Geben Sie die folgenden Einstellungen für die Zustandsprüfung an:

    1. Intervall zwischen Prüfungen: Zeitintervall zwischen den Tests der Zustandsprüfung.
    2. Antwortzeitlimit: Das Gateway muss innerhalb dieses Zeitraums reagieren, um als aktiv zu gelten.
    3. Gateway deaktivieren nach: Anzahl der aufeinanderfolgenden Versuche, den Zustand des Gateways zu prüfen. Die Sophos Firewall hält das Gateway für nicht erreichbar, wenn das Gateway nicht auf diese Versuche reagiert.
    4. Gateway aktivieren nach: Anzahl der aufeinanderfolgenden Antworten, nach denen die Sophos Firewall einen Link als aktiv betrachten kann.
    5. Stichprobengröße für SLA: Anzahl der zu ermittelnden Proben-Samples zur Bestimmung der durchschnittlichen Performance eines Gateways.
  11. Klicken Sie auf Speichern und dann auf Fertig stellen.