Saltar al contenido

Perfiles de SD-WAN

Puede crear perfiles de SD-WAN en los firewalls de los grupos de conexiones SD-WAN en Sophos Central.

Los perfiles de SD-WAN pueden utilizarse para definir una estrategia de enrutamiento SD-WAN entre las puertas de enlace de la red SD-WAN. Puede enrutar el tráfico en función de la disponibilidad o el rendimiento de las puertas de enlace. Esto optimiza el rendimiento de su red SD-WAN y mejora la resiliencia frente a posibles interrupciones del servicio del ISP.

Nota

Sophos Central admite perfiles de SD-WAN en Sophos Firewall 19.0 y versiones posteriores.

Nota

Los perfiles de SD-WAN no funcionan si la dirección IP de la interfaz XFRM no se encuentra en la subred /30. Si no lo está, la opción Migrar aparece junto al firewall. Haga clic en ella para migrar todas las direcciones IP del túnel a la subred /30. Las direcciones IP se asignan desde los grupos de direcciones IP 10.252.0.0/15 y 10.254.0.0/16. Una vez finalizada la migración, aparece un mensaje que indica que la migración se ha completado.

Acuerdo de nivel de servicio

Un Acuerdo de nivel de servicio (SLA) permite enrutar el tráfico en función del rendimiento de las puertas de enlace. Un SLA incluye criterios de supervisión del rendimiento. El firewall comprueba el estado de seguridad y selecciona la puerta de enlace que presenta el mejor rendimiento en función de los criterios definidos en el SLA. Se puede utilizar uno de los siguientes SLA:

  • Calidad óptima: Selecciona la puerta de enlace que presenta el mejor rendimiento en función de los criterios de supervisión del rendimiento seleccionados (latencia, fluctuación o pérdida de paquetes). Por ejemplo, si selecciona la latencia como criterio de monitorización del rendimiento, el firewall selecciona la puerta de enlace con el valor mínimo de latencia. Puede utilizar este SLA para el tráfico no crítico. Esta es la estrategia de SLA predeterminada y se aplica a cualquier firewall con el que se establezca un túnel VPN.
  • SLA personalizado: Selecciona la puerta de enlace que presenta el mejor rendimiento en función de los valores máximos aceptables definidos para la latencia, fluctuación y pérdida de paquetes. Utilice esta estrategia para anular la estrategia de SLA por defecto. Este SLA se aplica a un firewall específico con el que desea establecer un túnel VPN.

Con el SLA Calidad óptima, el firewall solo busca la puerta de enlace que presenta el mejor rendimiento según un criterio. SLA personalizado garantiza que el firewall seleccione la puerta de enlace que cumpla los niveles de rendimiento especificados para todos los criterios.

Si ninguna puerta de enlace cumple el SLA, el firewall enruta el tráfico a través de la primera puerta de enlace disponible.

Crear un perfil de SD-WAN

Para crear un perfil de SD-WAN, haga lo siguiente:

  1. Vaya a Firewall Management > Grupos de conexiones SD-WAN y haga clic en el grupo de conexiones en el que desea crear un perfil de SD-WAN.
  2. En el asistente para la creación de grupos de conexiones SD-WAN, vaya a Configurar redes.
  3. Haga clic en Detalles/Editar para el firewall en el que desea crear un perfil de SD-WAN.
  4. En la página del firewall, seleccione Perfil de SD-WAN.
  5. Seleccione una puerta de enlace de reserva.

    Sophos Central crea automáticamente una puerta de enlace para establecer un túnel VPN. Para la puerta de enlace de reserva, seleccione una puerta de enlace que exista en el firewall. El firewall enruta el tráfico a través de la primera puerta de enlace disponible o que presenta el mejor rendimiento.

  6. Seleccione una de las siguientes estrategias de enrutamiento:

    Restricción

    Esta opción aparece en Sophos Firewall 19.5 y versiones posteriores.

    • Primera puerta de enlace disponible: Utilice esta opción para enrutar el tráfico en función de la disponibilidad de las puertas de enlace. El firewall comprueba el estado de seguridad en todas las puertas de enlace añadidas en el orden indicado y selecciona la primera puerta de enlace disponible.
    • Equilibrio de carga: Utilice esta opción para equilibrar la carga del tráfico entre todas las puertas de enlace añadidas o que cumplen el SLA. Seleccione un método de equilibrio de carga:

      • Round Robin: Utilice esta opción para equilibrar la carga del tráfico entre todas las puertas de enlace en el orden indicado. Por ejemplo, si tiene tres puertas de enlace, el firewall envía la primera solicitud a la primera puerta de enlace, la segunda solicitud a la segunda puerta de enlace, la tercera solicitud a la tercera puerta de enlace y la cuarta solicitud de nuevo a la primera puerta de enlace.
      • Tipo de persistencia de sesión: Utilice esta opción para mantener la misma puerta de enlace mientras dure la sesión en función del tipo de persistencia que seleccione (Dirección IP de origen, Dirección IP de destino, Direcciones IP de origen y destino o Conexión).
  7. Active el Acuerdo de nivel de servicio (SLA) y seleccione uno de los siguientes criterios de supervisión del rendimiento:

    • Latencia: Selecciona la pasarela con el valor mínimo de latencia.
    • Fluctuación: Selecciona la puerta de enlace con el valor mínimo de fluctuación.
    • Pérdida de paquetes: Selecciona la puerta de enlace con el nivel mínimo de pérdida de paquetes.

    Si no activa el Acuerdo de nivel de servicio (SLA), el firewall enruta el tráfico a través de la primera puerta de enlace disponible.

    Configuración SLA

  8. Especifique la configuración de Comprobación del estado de seguridad para Predeterminado (cualquier firewall) de la siguiente manera:

    1. Protocolo: Protocolo para comprobar el estado de la puerta de enlace. Puede seleccionar Ping o TCP.
    2. Dirección IP de destino de sondeo: Dirección IP de un dispositivo host (destino de sondeo) detrás de la puerta de enlace. Puede añadir dos destinos de sondeo.

      Sophos Firewall envía solicitudes a las direcciones IP de los hosts detrás de la puerta de enlace. Considera que la puerta de enlace está activa si los hosts responden a los sondeos de comprobación de estado.

      Nota

      Si la dirección IP del destino de sondeo es una dirección IP pública, debe crear una regla de firewall que permita el tráfico desde la zona VPN a la zona WAN del firewall de destino.

    3. Puerto: Número de puerto en el que desea enviar los sondeos de comprobación de estado.

    4. SLA personalizado (opcional): Active esta opción para enrutar el tráfico a través de la puerta de enlace que presenta el mejor rendimiento en función de los valores personalizados que defina para lo siguiente:

      • Latencia: Latencia máxima aceptable en milisegundos.
      • Fluctuación: Fluctuación máxima aceptable en milisegundos.
      • Pérdida de paquetes: Pérdida de paquetes máxima aceptable en puntos porcentuales.

      Nota

      Si activa SLA personalizado, el firewall anula la estrategia de SLA Calidad óptima.

  9. (Opcional) Haga clic en Añadir destino de sondeo para especificar la configuración de comprobación de estado de un firewall específico. Haga lo siguiente:

    1. En Firewall de destino, seleccione el firewall.
    2. Repita el paso 8.

    He aquí un ejemplo:

    Configuración de la comprobación de estado de un firewall

  10. Especifique la siguiente configuración de comprobación de estado:

    1. Comprobaciones entre intervalos: Intervalo de tiempo entre sondeos para la comprobación de estado.
    2. Tiempo de espera de respuesta: La puerta de enlace debe responder dentro de este tiempo para que se considere activa.
    3. Desactivar puerta de enlace tras: Número de intentos consecutivos para comprobar el estado de seguridad de la puerta de enlace. Sophos Firewall considera que la puerta de enlace no es accesible si no responde a estos intentos.
    4. Activar puerta de enlace tras: Número de respuestas consecutivas tras las cuales Sophos Firewall puede considerar activo un enlace.
    5. Tamaño de muestra para SLA: Número de muestras de sondeo que se recogerán para determinar el rendimiento medio de una puerta de enlace.
  11. Haga clic en Guardar y, a continuación, en Finalizar.