Aller au contenu

Profils SD-WAN

Dans Sophos Central, vous pouvez créer des profils SD-WAN sur les pare-feu de vos groupes de connexions SD-WAN.

Les profils SD-WAN permettent de définir une stratégie de routage SD-WAN sur les passerelles de votre réseau SD-WAN. Vous pouvez acheminer le trafic en fonction de la disponibilité ou des performances des passerelles. Ceci optimise les performances de votre réseau SD-WAN et renforce votre résilience contre les interruptions du FAI.

Remarque

Sophos Central prend en charge les profils SD-WAN à partir de Sophos Firewall 19.0.

Remarque

Les profils SD-WAN ne fonctionnent pas si l’adresse IP de l’interface XFRM ne se trouve pas dans le sous-réseau /30. Si ce n’est pas le cas, l’option Migrer s’affiche en regard du pare-feu. Cliquez dessus pour migrer toutes les adresses IP du tunnel vers le sous-réseau /30. Les adresses IP sont assignées à partir des pools 10.252.0.0/15 et 10.254.0.0/16. Une fois la migration terminée, un message s’affiche pour vous le signaler.

Contrat de niveau de service

Un Contrat de niveau de service (SLA) vous permet d’acheminer le trafic en fonction des performances des passerelles. Un SLA inclut des critères de surveillance des performances. Le pare-feu effectue un diagnostic de sécurité et sélectionne la passerelle la plus performante en fonction des critères définis dans le SLA. Vous pouvez utiliser les SLA suivantes :

  • Meilleure qualité : Sélectionne la passerelle la plus performante en fonction des critères de surveillance des performances que vous sélectionnez (latence, gigue ou perte de paquets). Par exemple, si vous sélectionnez latence comme critère de surveillance des performances, le pare-feu sélectionne la passerelle avec la latence la plus faible. Vous pouvez utiliser ce SLA pour le trafic non critique. Il s’agit de la stratégie SLA par défaut qui s’applique à tout pare-feu avec lequel vous établissez un tunnel VPN.

  • SLA personnalisé : Sélectionne la passerelle la plus performante en fonction des valeurs maximales acceptables que vous définissez pour la latence, la gigue et la perte de paquets. Utilisez cette stratégie pour remplacer la stratégie SLA par défaut. Ce SLA s’applique à un pare-feu donné avec lequel vous souhaitez établir un tunnel VPN.

Avec le SLA de Meilleure qualité, le pare-feu recherche uniquement la passerelle la plus performante en fonction d’un seul critère. Le SLA personnalisé garantit que le pare-feu sélectionne la passerelle répondant le mieux à tous les niveaux de performances spécifiés pour tous les critères.

Si aucune passerelle n’est conforme au SLA, le pare-feu achemine le trafic via la première passerelle disponible.

Créer un profil SD-WAN

Pour créer un profil SD-WAN, procédez de la manière suivante :

  1. Allez sur Gestion de pare-feu > Groupes de connexion SD-WAN et cliquez sur le groupe de connexion dans lequel vous souhaitez créer un profil SD-WAN.
  2. Dans l’assistant de Création de groupe de connexion SD-WAN, allez dans Configurer les réseaux.
  3. Cliquez sur Détails/Modifier pour le pare-feu sur lequel vous souhaitez créer un profil SD-WAN.
  4. Sur la page du pare-feu, sélectionnez Profil SD-WAN.
  5. Sélectionnez une passerelle de sauvegarde

    Sophos Central crée automatiquement une passerelle pour établir un tunnel VPN. Pour la passerelle de sauvegarde, sélectionnez une passerelle qui existe dans le pare-feu. Le pare-feu achemine ensuite le trafic via la première passerelle disponible ou la passerelle la plus performante.

  6. Sélectionnez l’une des stratégies de routage suivantes :

    Restriction

    Cette option apparaît à partir de Sophos Firewall 19.5.

    • Première passerelle disponible : Utilisez cette option pour acheminer le trafic en fonction de la disponibilité des passerelles. Le pare-feu effectue un diagnostic de sécurité sur toutes les passerelles ajoutées dans l’ordre indiqué et sélectionne la première passerelle disponible.

    • Équilibrage de charge : Utilisez cette option pour équilibrer la charge du trafic entre toutes les passerelles ou les passerelles ajoutées qui répondent au SLA. Sélectionnez une méthode d’équilibrage de charge :

      • Round Robin : Utilisez cette option pour équilibrer la charge du trafic entre toutes les passerelles dans l’ordre indiqué. Par exemple, si vous disposez de trois passerelles, le pare-feu envoie la première demande à la première passerelle, la deuxième à la deuxième passerelle, la troisième à la troisième passerelle, puis la quatrième à la première passerelle.
      • Type de persistance de session : Utilisez cette option pour conserver la même passerelle pendant la durée d’une session en fonction du type de persistance sélectionné (Adresse IP source, Adresse IP de destination, Adresse IP source et de destination ou Connexion).
  7. Activez le Niveau de service (SLA) et sélectionnez l’un des critères de surveillance des performances suivants :

    • Latence : Sélectionne la passerelle avec la latence la plus faible.
    • Gigue : Sélectionne la passerelle avec la gigue la plus faible.
    • Perte de paquets : Sélectionne la passerelle avec la perte de paquets la plus faible.

    Si vous n’activez pas le Niveau de service (SLA), le pare-feu achemine le trafic via la première passerelle disponible.

    Paramètres du SLA

  8. Spécifiez les paramètres de Diagnostic de sécurité pour l’option Défaut (tout pare-feu) de la manière suivante :

    1. Protocole : Protocole de vérification de l’état de la passerelle. Vous pouvez sélectionner soit Ping, soit TCP.
    2. Adresse IP de la cible de sondage : Adresse IP d’un appareil hôte (cible de test) derrière la passerelle. Vous pouvez ajouter 2 cibles à sonder.

      Sophos Firewall envoie des demandes d’hébergement des adresses IP derrière la passerelle. Elle considère la passerelle active si les hôtes répondent aux sondes de diagnostic de sécurité.

      Remarque

      Si l’adresse IP de la cible de test est une adresse IP publique, vous devez créer une règle de pare-feu autorisant l’acheminement du trafic de la zone VPN vers la zone WAN sur le pare-feu de destination.

    3. Port : Numéro de port sur lequel vous souhaitez envoyer les sondes de diagnostic de sécurité.

    4. (Facultatif) SLA personnalisé : Activez cette option pour acheminer le trafic via la passerelle la plus performante en fonction des valeurs personnalisées que vous définissez pour les éléments suivants :

      • Latence : Latence maximale acceptable en millisecondes.
      • Gigue : Gigue maximale acceptable en millisecondes.
      • Perte de paquets : Perte de paquets maximale acceptable en points de pourcentage.

      Remarque

      Si vous activez le SLA personnalisé, le pare-feu remplace la stratégie SLA Meilleure qualité.

  9. (Facultatif) Cliquez sur Ajouter une cible de sondage pour spécifier les paramètres de diagnostic de sécurité d’un pare-feu donné. Procédez comme suit :

    1. Dans Pare-feu de destination, sélectionnez le pare-feu voulu.
    2. Répétez l’étape 8.

    Voici un exemple :

    Paramètres de diagnostic de sécurité pour un pare-feu

  10. Spécifiez les paramètres diagnostic de sécurité suivants :

    1. Intervalle entre vérifications : Intervalle de temps entre chaque sondage de diagnostic de sécurité.
    2. Délai d’attente de réponse : La passerelle doit répondre dans ce délai pour être considérée comme active.
    3. Désactiver la passerelle après : Nombre de tentatives de vérification consécutives de l’intégrité de la passerelle. Sophos Firewall considère la passerelle inaccessible si elle ne répond pas à ces tentatives.
    4. Activer la passerelle après : Nombre de réponses consécutives après lesquelles Sophos Firewall peut considérer un lien comme actif.
    5. Taille de l’échantillon pour le SLA : Nombre d’échantillons de sondage à collecter afin de pouvoir déterminer les performances moyennes d’une passerelle donnée.
  11. Cliquez sur Enregistrer et sur Terminer.