SD-WAN 接続グループの作成
接続グループを作成する前に、次の事項について理解しておく必要があります。
- Central Orchestration ライセンスがあり、SFOS 18.5 MR1 以降を実行しているファイアウォールを選択する必要があります。
- SD-WAN 接続グループにあるファイアウォールは、他の接続グループでは使用できません。
- 接続グループを作成するには、少なくとも 2つのファイアウォールを選択する必要があります。
注
共有リソースと参加ネットワークを持つ SD-WAN 接続グループを作成すると、ファイアウォールは 2つの類似した SD-WAN ルートを作成します。1つは共有リソース用で、もう 1つは参加ネットワーク用です。
接続グループを作成するには、次の手順を実行します。
- 「マイプロダクト > Firewall Management > SD-WAN 接続グループ」を参照します。
-
「接続グループの作成」をクリックします。
これによって、「 SD-WAN 接続グループの作成」アシスタントが開きます。アシスタントの指示に従ってグループを作成します。
-
まず、ファイアウォールを選択します。これには、次の手順を実行します。
- グループの名前を入力します。
- 任意: 説明を入力します。
- 少なくとも 2つのファイアウォールを選択します。
次に例を示します。
-
「次へ」をクリックします。
-
リソースを追加します。複数のリソースを追加できます。また、以前に追加したリソースを確認することもできます。リソースを追加するには、次の手順を実行します。
- グループ全体で共有するリソースのあるファイアウォールを選択します。
- 共有するリソースの IP アドレス範囲やネットワーク範囲を入力します。
- サービスの種類とオプションを選択します。
- 必要に応じて、「ファイアウォールルールを自動的に作成する」をオンにします。
- 必要に応じて、「認証済みユーザーのみにアクセスを制限する」をオンにします。
-
「Synchronized Security ハートビートの設定」をオンにして、オプションを設定します。
たとえば、「送信元ハートビートの最小値」を 「緑色」に設定し、「ハートビートがないクライアントをブロック」をオンにできます。
-
「保存」をクリックしてリソースを追加します。
次に例を示します。
-
「次へ」をクリックします。選択された設定で、ネットワーク競合がないかどうかが確認されます。表には、すべてのネットワーク競合が表示されます。
次に例を示します。
-
競合は修正する必要があります。「競合の修正」をクリックして、次のいずれかの方法を試してください。
- サブネットをオンまたはオフにする。
- 既存のサブネットに新しい NAT アドレスを割り当てる。
- ファイアウォールにカスタムネットワークを割り当てる。これには、「ネットワークの追加」をクリックします。
- WAN リンクを選択する。
- バックアップゲートウェイを選択する。
- ゲートウェイアドレスを上書きする。
たとえば、名前の競合は、競合を示すリソースの名前を変更することで修正できます。また、サブネットの競合は、「NAT」を選択して修正できます。または、次の画像にあるように、ゲートウェイアドレスを上書きして競合を修正することもできます。
「ゲートウェイアドレスを上書きする」を選択した場合、リモートゲートウェイが応答側ファイアウォールであり、SFOS 20.0以降を実行している場合は、「選択した WAN リンクのパブリック IP または FQDN」にワイルドカード (
*
) アドレスを入力できます。注
リソース共有ファイアウォールでネットワークの競合が発生した場合は、サブネットに対して異なる設定を選択することが必要になる場合があります。この操作は Sophos Firewall で行います。または Sophos Central で、競合するサブネットがグループ内で使用されないように選択することもできます。
-
競合を解決したら、「保存」をクリックします。
これにより、選択したファイアウォールを含むグループが作成されます。状態も表示されます。次の画像は、接続グループの例を示しています。