Vai al contenuto

Profili SD-WAN

È possibile creare profili SD-WAN sui firewall nei gruppi di connessione SD-WAN, in Sophos Central.

I profili SD-WAN possono essere utilizzati per definire una strategia di routing SD-WAN tra i gateway nella rete SD-WAN. Si può instradare il traffico in base alla disponibilità o alla performance dei gateway. In questo modo si ottimizza la performance della propria rete SD-WAN e si potenzia la resilienza contro eventuali interruzioni del servizio dell’ISP.

Nota

Sophos Central supporta i profili SD-WAN su Sophos Firewall 19.0 e versioni successive.

Nota

I profili SD-WAN non funzioneranno se l’indirizzo IP dell’interfaccia XFRM non si trova nella subnet /30. Se non si trova in questa subnet, accanto al firewall verrà visualizzata l’opzione Migra. Cliccare su questa opzione per effettuare la migrazione tutti gli indirizzi IP del tunnel alla subnet /30. Gli indirizzi IP verranno assegnati dai pool di indirizzi IP 10.252.0.0/15 e 10.254.0.0/16. Una volta terminata la migrazione, verrà visualizzato un messaggio che indica che la migrazione è stata completata.

Accordo sui livelli di servizio (SLA)

Un Accordo sui livelli di servizio (SLA) consente di instradare il traffico in base alla performance dei gateway. Gli SLA includono criteri per il monitoraggio della performance. Il firewall esegue un controllo integrità e seleziona il gateway con la performance migliore, in base ai criteri definiti nello SLA. È possibile utilizzare uno dei seguenti SLA:

  • Migliore qualità: seleziona il gateway che presenta la migliore performance, in base al criterio per il monitoraggio della performance selezionato (uno a scelta tra: latenza, jitter o perdita pacchetti). Specificando, ad esempio, la latenza come criterio per il monitoraggio della performance, il firewall selezionerà il gateway con il valore più basso per la latenza. Questo SLA può essere utilizzato per il traffico non critico. Questa è la strategia SLA predefinita, che è applicabile a qualsiasi firewall con cui si stabilisce un tunnel VPN.
  • SLA personalizzato: seleziona il gateway che presenta la migliore performance, in base ai valori massimi accettabili che sono stati specificati per latenza, jitter e perdita pacchetti. Utilizzare questa strategia per eseguire l’override della strategia SLA predefinita. Questo SLA è applicabile a un firewall specifico con cui si desidera stabilire un tunnel VPN.

Con lo SLA *Migliore qualità, il firewall cercherà il gateway con la migliore performance, basandosi su un solo criterio. Lo SLA personalizzato* fa in modo che il firewall selezioni il gateway che soddisfa i livelli di performance specificati per tutti i criteri.

Se non sono presenti gateway che soddisfano lo SLA, il firewall instraderà il traffico attraverso il primo gateway disponibile.

Creazione di un profilo SD-WAN

Per creare un profilo SD-WAN, procedere come segue:

  1. Aprire Gestione del firewall > Gruppi di connessione SD-WAN e cliccare sul gruppo di connessione in cui si desidera creare un profilo SD-WAN.
  2. Nell’assistente per la creazione di un Gruppo di connessione SD-WAN, selezionare Configura reti.
  3. Cliccare su Dettagli/modifica in corrispondenza del firewall in cui si desidera creare un profilo SD-WAN.
  4. Nella pagina del firewall, selezionare Profilo SD-WAN.
  5. Selezionare un gateway di backup.

    Sophos Central creerà automaticamente un gateway per stabilire un tunnel VPN. Per il gateway di backup, selezionare un gateway esistente nel firewall. Il firewall instraderà quindi il traffico attraverso il primo gateway disponibile o attraverso quello con i migliori livelli di performance.

  6. Selezionare una delle seguenti strategie di routing:

    Restrizione

    Questa opzione viene visualizzata su Sophos Firewall 19.5 e versioni successive.

    • Primo gateway disponibile: utilizzare questa opzione per instradare il traffico in base alla disponibilità dei gateway. Il firewall eseguirà un controllo integrità su tutti i gateway aggiunti nell’ordine elencato e selezionerà il primo gateway disponibile.
    • Bilanciamento del carico: utilizzare questa opzione per bilanciare il carico del traffico tra tutti i gateway aggiunti o tra quelli che soddisfano lo SLA. Selezionare un metodo di bilanciamento del carico:

      • Round-robin: utilizzare questo metodo per bilanciare il carico del traffico tra tutti i gateway, nell’ordine elencato. Ad esempio, in presenza di tre gateway, il firewall invierà la prima richiesta al primo gateway, la seconda richiesta al secondo gateway, la terza richiesta al terzo gateway e la quarta richiesta di nuovo al primo gateway.
      • Tipo di persistenza della sessione: questo metodo consente di mantenere lo stesso gateway per l’intera durata di una sessione, in base al tipo di persistenza selezionato (indirizzo IP di origine, indirizzo IP di destinazione, indirizzi IP di origine e di destinazione o connessione).
  7. Attivare l’opzione Service Level Agreement (SLA) e selezionare uno dei seguenti criteri di monitoraggio della performance:

    • Latenza: seleziona il gateway con il valore più basso per la latenza.
    • Jitter: seleziona il gateway con il valore più basso per il jitter.
    • Perdita pacchetti: seleziona il gateway con il valore più basso per la perdita pacchetti.

    Se non si attiva l’opzione Service Level Agreement (SLA), il firewall instraderà il traffico attraverso il primo gateway disponibile.

    Impostazioni SLA

  8. Specificare le impostazioni di Controllo integrità per Impostazione predefinita (Qualsiasi firewall), procedendo come segue:

    1. Protocollo: protocollo per la verifica dello stato del gateway. È possibile selezionare Ping o TCP.
    2. Esegui probe dell’indirizzo IP di destinazione: indirizzo IP di un dispositivo host (destinazione probe) dietro il gateway. È possibile aggiungere due destinazioni per il probe.

      Sophos Firewall invierà richieste a indirizzi IP host dietro il gateway. Considererà il gateway attivo, se gli host rispondono ai probe del controllo integrità.

      Nota

      Se l’indirizzo IP della destinazione del probe è un indirizzo IP pubblico, è necessario creare una regola firewall che autorizzi il traffico dall’area VPN all’area WAN sul firewall di destinazione.

    3. Porta: numero di porta su cui si desidera inviare i probe del controllo integrità.

    4. (Facoltativo) SLA personalizzato: attivare questa opzione per instradare il traffico attraverso il gateway con i migliori livelli di performance, in base a valori personalizzati che vengono definiti per i seguenti elementi:

      • Latenza: latenza massima accettabile, in millisecondi.
      • Jitter: jitter massimo accettabile, in millisecondi.
      • Perdita pacchetti: perdita di pacchetti massima accettabile, in punti percentuali.

      Nota

      Attivando SLA personalizzato, il firewall sovrascriverà la strategia SLA Migliore qualità.

  9. (Facoltativo) Cliccare su Aggiungi destinazione probe per specificare le impostazioni del controllo integrità per un firewall specifico. Procedere come segue:

    1. In Firewall di destinazione, selezionare il firewall.
    2. Ripetere il passaggio 8.

    Ecco un esempio:

    Impostazioni del controllo integrità per un firewall

  10. Specificare le seguenti impostazioni per il controllo integrità:

    1. Intervallo tra le verifiche: intervallo di tempo tra i probe del controllo integrità.
    2. Timeout di risposta: il gateway deve rispondere entro questo intervallo di tempo per essere considerato attivo.
    3. Disattiva gateway dopo: numero di tentativi consecutivi di sondare lo stato del gateway. Sophos Firewall considererà il gateway irraggiungibile se il gateway non risponde a questi tentativi.
    4. Attiva gateway dopo: numero di risposte consecutive dopo le quali Sophos Firewall può considerare un collegamento attivo.
    5. Dimensioni del campione per lo SLA: numero di campioni di probe da raccogliere per determinare i livelli medi di performance di un gateway.
  11. Cliccare su Salva, quindi su Fine.