SD-WAN プロファイル
Sophos Central で、SD-WAN 接続グループ内のファイアウォールに SD-WAN プロファイルを作成できます。
SD-WAN プロファイルを使用して、SD-WAN ネットワーク内のゲートウェイ間の SD-WAN ルーティング方法を定義できます。ゲートウェイの可用性またはパフォーマンスに基づいてトラフィックをルーティングできます。これによって、SD-WAN ネットワークのパフォーマンスが最適化され、ISP の中断に対する回復性が向上します。
注
Sophos Central は、Sophos Firewall 19.0 以降で SD-WAN プロファイルに対応しています。
注
XFRM インターフェースの IP アドレスが /30 サブネットにない場合、SD-WAN プロファイルは機能しません。ない場合、ファイアウォールの横に「移行」オプションが表示されます。トンネルのすべての IP アドレスを /30 サブネットに移行するには、これをクリックします。IP アドレスは、IP アドレスプール 10.252.0.0/15 および 10.254.0.0/16 から割り当てられます。移行が完了すると、移行が完了したことを示すメッセージが表示されます。
サービスレベル契約
サービスレベル契約 (SLA) を使用すると、ゲートウェイのパフォーマンスに基づいてトラフィックをルーティングできます。SLA には、パフォーマンスを監視するための指標があります。SLA で定義されている指標に基いてゲートウェイの正常性チェックが行われ、パフォーマンスが最良のゲートウェイが選択されます。次のいずれかの SLA を使用できます。
- 最も高品質: レイテンシ、ジッタ、パケット損失のいずれかのパフォーマンス指標に基づいて、最良のゲートウェイを選択します。たとえば、パフォーマンス指標として「レイテンシ」を選択した場合、レイテンシが最小のゲートウェイが選択されます。この SLA は、重要度の低いトラフィックに適しています。これはデフォルトの SLA 方法で、VPN トンネルを確立するすべてのファイアウォールに適用されます。
- カスタム SLA: レイテンシ、ジッタ、パケット損失の最大許容値に基づき、パフォーマンスが最良のゲートウェイを選択します。デフォルトの SLA 方法を上書きするには、この方法を使用します。この SLA は、VPN トンネルを確立する特定のファイアウォールに適用されます。
「最も高品質」では、1つの基準のみに基づいて、ゲートウェイが選択されます。「カスタム SLA」では、すべての指標に対して、指定されたパフォーマンスレベルを満たすゲートウェイが選択されます。
SLA を満たすゲートウェイがない場合、ファイアウォールは最初に使用可能なゲートウェイを経由してトラフィックをルーティングします。
SD-WAN プロファイルの作成
SD-WAN プロファイルを作成するには、次の手順を実行します。
- 「マイプロダクト > Firewall Management > SD-WAN 接続グループ」に移動し、SD-WAN プロファイルを作成する接続グループをクリックします。
- 「SD-WAN 接続グループの作成」アシスタントを使用して、「ネットワークの設定」に移動します。
- SD-WAN プロファイルを作成するファイアウォールの「詳細/編集」をクリックします。
- ファイアウォールページで、「SD-WAN プロファイル」を選択します。
-
バックアップゲートウェイを選択します。
Sophos Central は、VPN トンネルを確立するためのゲートウェイを自動的に作成します。バックアップゲートウェイには、ファイアウォールに存在するゲートウェイを選択します。ファイアウォールはその後、最初に使用可能な、または最もパフォーマンスの高いゲートウェイを経由してトラフィックをルーティングします。
-
次のいずれかのルーティング方法を選択します。
制限事項
このオプションは、Sophos Firewall 19.5 以降で表示されます。
- 使用可能な最初のゲートウェイ: ゲートウェイの可用性に基づいてトラフィックをルーティングできます。追加したすべてのゲートウェイの正常性が、指定した順にチェックされ、最初に使用可能なゲートウェイが選択されます。
-
負荷分散: 追加されたすべてのゲートウェイ、または SLA を満たすゲートウェイ間でトラフィックを負荷分散できます。負荷分散の方法を選択してください。
- ラウンドロビン: 指定した順に、すべてのゲートウェイ間でトラフィックを負荷分散します。たとえば、ゲートウェイが 3つある場合、ファイアウォールは、1つ目の要求を 1つ目のゲートウェイに送信し、2つ目の要求を 2つ目のゲートウェイに送信し、3つ目の要求を 3つ目のゲートウェイに送信し、4つ目の要求は再び 1つ目のゲートウェイに送信します。
- セッションの永続性の種類: 選択した永続性の種類 (送信元 IP アドレス、宛先 IP アドレス、送信元と宛先 IP アドレス、または接続) に基づいて、各セッション中、同じゲートウェイを維持できます。
-
「サービスレベル契約 (SLA)」をオンにして、次のパフォーマンス監視の指標のいずれか 1つを選択します。
- レイテンシ: レイテンシが最小のゲートウェイを選択します。
- ジッタ: ジッタが最小のゲートウェイを選択します。
- パケット損失: パケット損失が最小のゲートウェイを選択します。
「サービスレベル契約 (SLA)」をオンにしない場合、ファイアウォールは最初に使用可能なゲートウェイを経由してトラフィックをルーティングします。
-
「デフォルト (任意のファイアウォール)」の「正常性チェック」設定を次のように指定します。
- プロトコル: ゲートウェイのステータスの確認に使用するプロトコル。「Ping」または「TCP」を選択します。
-
プローブの対象の IP アドレス: ゲートウェイの背後にあるホストデバイス (プローブの対象) の IP アドレス。2つのプローブの対象を追加することができます。
Sophos Firewall は、ゲートウェイの背後にあるホスト IP アドレスにリクエストを送信します。ホストがこのプローブに応答すると、ゲートウェイは有効であると見なされます。
注
プローブの対象の IP アドレスがパブリック IP アドレスの場合は、VPN ゾーンから宛先ファイアウォールの WAN ゾーンへのトラフィックを許可する、ファイアウォールルールを作成する必要があります。
-
ポート: 正常性チェックのプローブの送信先のポート番号。
-
(任意) カスタム SLA: オンにすると、次のカスタム定義値に基づいて、パフォーマンスが最良のゲートウェイにトラフィックがルーティングされます。
- レイテンシ: 許容可能な最大レイテンシ (ミリ秒)。
- ジッタ: 許容可能な最大ジッタ (ミリ秒)。
- パケット損失: 許容可能な最大パケット損失 (%)。
注
「カスタム SLA」をオンにすると、ファイアウォールは、SLA 方法「最も高品質」を上書きします。
-
(任意)「プローブの対象の追加」をクリックして、特定のファイアウォールの正常性チェックを設定します。次の手順を実行します。
- 「宛先ファイアウォール」で、ファイアウォールを選択します。
- ステップ 8 を繰り返します。
次に例を示します。
-
次の正常性チェックのオプションを設定します。
- チェック間隔: プローブの実行間隔。
- 応答のタイムアウト: この時間内に応答しないゲートウェイは、無効であると見なされます。
- ゲートウェイを無効化するタイミング: ゲートウェイの正常性を連続してプローブしようとする回数。ゲートウェイがこれらの試行に応答しない場合、ゲートウェイに到達できないと見なされます。
- ゲートウェイを有効化するタイミング: リンクが有効であると見なされる連続応答の数。
- SLA のサンプルサイズ: ゲートウェイの平均パフォーマンスを調べるために収集するプローブサンプルの数。
-
「保存」をクリックし、「完了」をクリックします。